Merci pour la doc sur ce type de faille. J'abandonne l'idée de la virtualisation  ;D

Une anecdocte vécue :

Pour une entreprise, avec environ 35 utilisateurs nomades, avec une messagerie en POP, avec des clients Outlook et Thunderbird, il a bien fallu gérer le mail sortant en mode nomade.
Le smtp authentifié (TLS) sur le port 587 convient bien pour passer au travers de n'importe quelle box … quand la messagerie était chez Orange.

Mais nous avons changé de lignes SDSL et donc d'hébergeur de messagerie ! (Passage à SFR).

La procédure a été bien balisée : bascule le vendredi soir des MX, une dernière récup le lundi matin puis modif des serveurs POP.

Mais SFR ne proposait pas alors smtp authentifié !

Il a bien fallu monter une Debian avec un Postfix + SASL Auth + les mêmes identifiants/mots de passe (dans une base SQL) et relais via SDSL vers SFR pour y arriver :
9 jours pour savoir que SFR ne propose pas smtp authentifié, 1/2 journée pour monter la solution !

Pour les nomades en POP, il faut un SMTP qui traverse n'importe quelle box : soit l'hébergeur sait le faire, soit vous le faites. C'est simple.

Pour ceux que ça intéresse pour faire l'image je me met sur mon pfsense, je monte une clé usb et je lance la commande dans le repertoire de montage : dd if=/dev/da0s1 > backup.img. Ensuite je peux utiliser physdiskwrite pour écrire mon backup sur une autre cf :).

Merci

Ok dacc merci beaucoup je vais regarder le forum US.

Youhou, c'est bon j'ai trouvé. Pour tout ceux que ça intéresse j'ai fait l'installation en mettant ma cf sur un PC et en installant pfsense comme si je le faisait sur un poste normal. Ensuite suivez ceci : http://www.freebsdonline.com/content/view/589/506 et le tour est joué :).

Merci à tous

Une remarque d'ordre général. Le proxy n'a rien à faire sur le firewall. Cette configuration est tolérable pour des structures ne dépassant pas une dizaine d'utilisateurs. Ce point a été développé mainte fois ici et sur Ixus.

Ensuite comme je n'ai pas vu les messages d'erreurs impossible de dire si le rejet vient de Squid ou Squidguard.

Par ailleurs la section du forum consacrée à Pfsense V2 RC1 utilisé comporte plusieurs posts sur les problèmes qui existent encore avec Squid + Squidguard.

Oui. Et si vous alliez jusqu'à lire la documentation vous y apprendriez que lorsque vous créez le transfert de port Pfsesne va vous proposer de créer automatiquement la règle d'accès qui convient.

Bon voilà les résultats de mes captures de trames :
Lorsque je pingue depuis un PC vers Pfsense :

dans wireshark je vois bien les ARP partir mais pas de réponse de pfsense en lancant une capture de trame sur pfsense, aucun paquet capturé

Lorsque je pingue de la pfsense vers le PC :

dans wireshark je capture bien les requêtes ARP de pfsense ainsi que les réponses de mon PC, mais elles ne semblent pas être prise en compte par pfsense puisqu'il ré émet des requêtes ARP.

Pour vérifier si le problème venait d'ARP, j'ai ajouté une entrée statique à ma table ARP de mon PC, et lancé une requête ping.

Je vois bien les requêtes ICMP partir, mais pas de réponse.

J'en déduis donc qu'aucun paquet "in" n'est pris en compte, ce qui est confirmé par le screenshot de la page "Status:Interface" ci joint.

Je ne sais plus quoi penser …

Capture.JPG
Capture.JPG_thumb

Bonjour,

Si vous n'êtes pas à l'aise avec les terminaux, je vous conseille d'utiliser l'outil "PhysGUI.exe", une fois que vous l'avez télécharger,
http://m0n0.ch/wall/downloads/physdiskwrite-0.5.2-PhysGUI-bundle.zip, on dézippe, puis lancer l'exécutable, ensuite faites un clic-droit sur votre CF, puis "image laden" et ensuite "Öffnen" vous chargez alors votre image sur votre CF… Si vous avez une carte de plus de 2G cochez la case, sinon faites Ok, Ok, et laisser l'appli chargée l'image. Une fois que vous avez ce message “PhysDiskWrrite beendet" vore carte est prête.

PS : N'hésitez pas à me faire part de vos remontées.

pkg-add blabla

^_^

Yes ! c'est ok.
J'ai décoché "Disable the userland FTP-Proxy application" du WAN2

merci pour la rapidité, qualité,clarté et efficacité de ta réponse.

Tu pousses : tu dis 3000$, je propose 10x moins et c'est encore trop !  :D

Chez Bechtle, on trouve la carte Intel 2 ports entre 120 et 150€, et la carte Intel 4 ports entre 320 et 384€ (prix public).
Ce sont des cartes dites "serveurs", elles permettent de créer un firewall à 5 ou 6 ports réseau physiquement distincts.

C'est à répartir sur un investissement 5 ans …

Je viens de configurer le routeur pour OpenVpn. Je vais faire le test ce soir.

Vous pourriez commencer par vous assurer qu'il n'y a aucun filtrage actif, sur aucune des interfaces si ce n'est pas une configuration en production.
Ensuite il n'est pas étonnant qu'une machine ne puisse pinguer l'autre. A l'évidence le routage par défaut ne peut convenir.
Sur les interfaces Wan qu'en est il des réseaux RFC 1918 ?
Il y a beacoup de questions en suspend à traiter avant de pouvoir se lancer dans le test d'un tunnel IPSEC entre les deux machines. Sur le principe le test me semble possible.

Bon apparemment, en sélectionnant un des pool du load balancer comme passerelle sa fonctionne. Quelqu'un pourrait me confirmer la bonne configuration?

Bonjour,

J'ai joué la simplicité :

Réservation dans le DHCP des adresses IP par rapport aux adresses MAC des téléphones Définition dans PF d'une règle pour que cette plage IP passe par l'interface WAN dédié.

Je n'ai plus qu'à trouvé une carte réseau avec double WAN et ça roulera.

Nusa