Quand on install un cluster avec CARP il faut impérativement rebooter les noeuds successivement pour être sûre que tout est OK.
Certains drivers ne digèrent pas le carp init ailleurs qu'au boot.

ouf, j'avais mal compris  ;D

oui chez "moi"  c'est du dhcp et détection auto de proxy, j'utilise du wpad derrière et pour les mêmes raisons que toi,
au moins, mes utilisateurs ne m'appellent pas quand ils sont à l'extérieur !

bon, tampi pour mes visiteurs  !!
et aussi pour moi,  je suis curieux et j'aurais bien aimé comprendre comment ils avaient fait pour passer outre l'ip fixe qui n'est pas sur le même plan d'adressage que le dhcp.

enfin, pas grave,

au fait, tu me donnera le nom du stagiaire,  au caz ou il postule chez moi  :)

Je ne vois pas en quoi cela gène de répondre strictement à la question.
J'indique le moyen de comprendre pourquoi OpenVPN fourni des adresses de cette façon,
et j'indique une limite qui peut être rencontré.
Dans tous les cas, ma remarque est utile.

Votre ton est désagréable. Merci d'éviter ce genre de remarque déplacée.

Beh euh, si la source est "LAN Net" c'est que c'est une rules de … LAN !

(Ne pas oublier que l'onglet de rules désigne la carte par laquelle arrive le flux quel qu'il soit et quelque soit la destination : dans l'onglet LAN, on a les flux qui viennent de LAN à destination de WAN, DMZ, VPN ...)

Il est probable qu'une session d'un client OpenVPN du type ssh par exemple (sur base tcp ou udp) doit pouvoir fonctionner.
Mais un ping ne doit pas fonctionner parce que le paquet icmp retour (de LAN vers OpenVPN) n'est sans doute pas susceptible d'être "suivi" (équivalent de conntrack).
D'où ma règle.

Comme le mentionne Titofe, il n'est pas possible avec les versions actuelles de pfSense, il n'y a pas d'onglet de rules pour OpenVPN permettant de limiter l'accès de clients OpenVPN.

Salut j'ai été confronté à un problème similaire
Pour palier a ce problème j'ai utiliser 2 machines sous pfsense

La première (coté wan) qui a en charge la gestion du load balancing et du failover
La seconde (coté lan) qui gère le portail captif avec squid

la pate LAN de la première machine relié via un cable croisé rj45 sur la pate WAN de la seconde machine.

Merci à tous

Je vais commander tout ça le mois prochain, il faut encore que je fasse quelque recherche pour le boitier ainsi que pour le systeme de refroidissement (fanless cela risque d'etre trop chaud ). En tout cas je vous remercie pour votre réactivité. Je ferais un petit feedback dès que j'aurai tout reçu.

(Cherchez vous VRAIMENT à résoudre le problème ?)

L'adressage LAN n'est pas RFC1918 compliant … ce qu'il faut éviter.

Une adresse ip sans masque réseau ne sert à rien !

Les bases du réseau sont très clairement et pédagogiquement expliquées chez Christian CALECA (merci à lui).

Si vous ne savez pas résoudre un ping qui ne fonctionne pas entre 2 PC reliés par un câble, le reste va être difficile ...

Avec la masse d'informations que vous donnez, on va surement trouver une explication !

Cela devrait en effet fonctionner.  ;D

Le moteur de NAT intervient avant le filtrage donc les actions s'effectuent dans cet ordre :
  - configuration du NAT (1:1 dans votre cas)
  - création d'une règle de filtrage pour autoriser le traffic (selon vos besoins), sur la carte ou se présente le paquet (donc WAN pour vous) en direction de la machine cible (le NAT étant déjà effectué, la destination est donc une IP privée).

Merci Titoffe tu est en or!
en effet j'avais vu cette case mais je l'avais lu trop vite j'avais juste retenue "en général laissez cette option sur on"^^ .
En tous cas j'aurais pus chercher un moment vraiment merci car 2 jours pour pinguer un wan dur dur :)

@Juve:

Dans ce genre de situation,

Faites un backup total de votre configuration sans la configuration des package "case à cocher dans le menu backup", réinstaller pfsense et réinjectez la configuration vous repartirez sur de bonnes base. Vous pourrez alors réinstaller vos package.

OK merci du conseil,
dès que j'ai 5 mn je met en oeuvre ton conseil et remonte l'info sur ce topic

PC avec 3 cartes réseau (pci).

A la maison, si on souhaite séparer la fonction firewall (pfSense) et la fonction hébergement-test-nas-…, l'idéal serait d'avoir un petit boitier embarqué pour le firewall.
Donc j'ai une vielle Debian avec Shorewall + tous les services qu'il me faut ...

En entreprise, c'est direct un PC en salle info, et souvent c'est 2 PC : pfSense sait faire du failover si rapidement !

Enfin ça marche tant que tu ne clique pas sur save dans services –> captive portal sinon ça te remet tout par defaut. Donc toujours le même probléme.

Cherchez dans mes posts, j'explique celà de nombreuses fois.
;D

oki, merci :)

Donc voici comment cela fonctionne finalement:
Nous avons déclaré les IP's vituelles en Proxy ARP étant donné que nous n'utilisons pas d'option de Forwarding vers ces IPs.
En suite nous établissons des règles de port forwarding depuis ces IPs vituelles vers une IP locale.
Mise en place des règles de firewall autorisant le trafic depuis Any vers le adresse IP locales sur les ports désignés dans le NAT.

Constatation:
Si nous voulons que les réponses portent la même source que l'interface par laquelle ils sont entrés il faut quand même utiliser la fonction 1:1 et associer les IPs vituelles aux IPs locales concernées.

Avez-vous fait cette même constatation?

Néanmoins, je trouve dommage de devoir passer par cette technique car enfin ce serait plus prorpre à mon sens de pourvoir déclarer ces IPs en tant qu'interface et gérer les règle de NAT et de Firewall exactement de la même manière que l'interface WAN par défaut.

v tester
merci pour l'info

J'ai trouver …..

J'ai toujours créer mes VPN avec comme port utiliser UDP, je n'ai jamais eu de souci, et sur pfsense, il y a en pas non plus si vous le faite avec une seul interface, par contre avec CARP donc IP virtuel puisque deux firewall ça ne marche pas" et je ne sais pas pourquoi !!!

Donc il faut utiliser comme port TCP et tous rentre dans l'ordre.

Titofe

Cela ne pouvez être que quelque chose d'aussi simple pour que je passe au travers, … plus mes 80 et quelque heures de cette semaine. ;D

Ps: encore merci jdh

les règles étaient OK. Le problème venait d'une erreur de masque
(erreur de frappe)
merci.