Brute, la réponse est non. Pendant quelques années, j'ai géré, pour une entreprise PME, des pfsense (que j'avais choisi). Il y a eu des questions que je n'avais aucunement préparé lors de la mise en place: j'en fait part parce que cela peut être utile ... La gestion de certificats de pfSense est simple et facile à utiliser, mais incomplète. Si elle a le mérite d'être là, il y a des choses à savoir pour bien la faire fonctionner ... La gestion de certificats c'est un certificat AC = Authorité de Certification = signature des certificats des certificats pour serveurs, des certificats pour utilisateurs, des listes de révocation de certificats (CRL). Les questions majeures sont le renouvellement, la révocation. En fixant 3650 jours (option par défaut) pour un certificat, on ne pense pas au renouvellement : on voit la révocation avant bien souvent ! Première chose à BIEN comprendre : ne JAMAIS supprimer un certificat !! Cela ne révoque pas celui-ci et empêche de créer une liste de révocation correcte (un certificat supprimé ne peut apparaitre dedans) : le certificat continuera à fonctionner !!! Grave erreur. (Je ne supprime même pas ceux expirés ou renouvellés.) Deuxième chose : si on révoque un certificat, recréer DE SUITE la liste de révocation (et redémarrer OpenVPN) car c'est elle qui indique au serveur OpenVPN que le certificat est révoqué. La liste devient de plus en plus grande à chaque révocation ! Troisième chose : le renouvellement est juste un nouveau certificat qui se créé assez automatiquement (il faut demander 'Renew'), et il faudra le fournir à l'utilisateur 'comme le certificat initial'. Mon conseil : si la AC doit avoir une durée longue (10 ans), les certificats serveurs devraient être moins longs (p.e. 4 ans), et les certificats utilisateurs devraient être court (1 ou 2 ans). En fait, pour la AC, il serait mieux que la durée soit plus courte (2 ans) et que ce soit même un certificat importé = acheté pour l'occasion, ce qui peut éviter la diffusion de la clé publique, mais dans une PME ... Comprenez moi bien clairement : vos certificats utilisateurs créés pour 10 ans doivent être conservés jusqu'au bout ! Ce qui manque à cette interface : un bouton pour cacher/montrer les certificats révoqués : ne donnerait pas la tentation de les supprimer ! un serveur web OCSP pour la diffusion de la CRL NB : j'ignore comment on renouvelle la AC ...

Je ne suis pas convaincu concernant les smartphones. Il me semble qu'un smartphone qui se connecte à un réseau Wifi privé utilise le Dns fourni. (D'ailleurs en pro, le signal Wifi Guest n'a pas le Dns interne pour ne même pas montrer des entrées Dns vers des serveurs inaccessibles par filtrage !) A noter que dans une box ou un firewall, faire de la 'réflexivité' est délicat (très ?) : le flux sensé traverser le matériel devrait 'rebrousser chemin' pour atteindre un serveur interne, du fait d'une règle NAT port forward. Formé il y a 20 ans à Netfilter/Iptables, je ne vois pas comment traiter cela (mais je sais que quelque firewall le font). Et d'ailleurs pfSense a une option ... Je suis par un Kevin, mais un (très) pragmatique, donc je mets en place des systèmes qui fonctionnent. (Simple and Stupid) Encore une fois, vous faites comme bon vous semble. (Hors moi et quelques braves, il n'y a plus grand monde pour répondre sur ce forum, où on reçoit plus d'insultes que de merci, ce qui explique cela !) NB : Ce fil ne concerne pas pfSense ...

Bonjour, S'il vous plait, il y a t-il quelqu'un qui peut m'aider? J'en ai urgemment besoin que sa marche. Je remercie d'avance celui qui m'accordera un peu de son temps et de ses connaissances pour que je puisse avancer sur se dossier. Tres cordialement. BryanPurple.

@pascalb41 je ne pense pas que citer explicitement le nom du fork soit très durable sur le forum du concurrent ;-) si tu cherche pfsense fork dans google ça devrait le faire ... Jusqu'a maintenant j'utilisait pf sur les machine lointaines auxquelles je n'avait pas accès facilement ; le fork sur les machines proches , surtout a cause de sa sale manie d'avoir un système de fichier en lecture écriture ce qui est une stupidité sans nom quand on utilise des disques non magnétiques (SSD, flash, compactflasg, emmc, etc...). Mais l'avantage du fork est sa possibilité de se backuper sur un nextcloud toutes les nuits donc le gag est gérable. Si pfsense gratuit disparait, espéreront qu'un nouveau fork naitra et que cette fois ci, les mecs n’auront pas l'idée idiote de supprimer le readonly parce que 'cétropduragérer'.

@willis Avec les images ça donne ça : On configure la passerelle pour le VLAN [image: 1622051823284-d47a6fc1-d732-4a0d-913e-0651ed245259-image.png] Ensuite on assigne cette passerelle à l'interface vlan [image: 1622051964472-5eeb07d6-265d-4777-b8e8-2539ef999b20-image.png] On définit l'ip virtuelle (la même que la passerelle) [image: 1622051946495-505fdc0a-29b9-46ee-88a4-1a0e103222dc-image.png] Et sur les switchs, on défini la passerelle. Du coup, depuis le LAN, je ping et j'accède à l'interface d'administration qui est dans le VLAN3.

Visiblement il manque pas mal de choses : pas d'utilisation du formulaire de présentation : plusieurs aller et retour pour demande de précision, connaissance limitée de la virtualisation Quand on écrit que la virtualisation est plutôt destiné aux utilisateurs expérimentés ... Le minimum est de bien comprendre les concepts réseau de la solution de virtualisation. Si on veut tester pfSense avec la virtualisation, la config minimale à recommander est : un pc fixe (et non portable), 2 interfaces ethernet. Virtualbox n'est pas adapté à tester pfSense, surtout avec un portable et en Wifi ! (D'ailleurs avec un portable, il faut se contenter de virtualiser juste une VM simple interface, quel que soit le système de virtualisation.)

Je reviens rapidement concernant l'impossibilité d'avoir un accès ssh. J'ai réussi à y accéder depuis une machine virtuelle en lui affection une adresse IP, comme dans le premier post. Ça commence à être pas très clair. Explications : Dans le premier post, sous Archlinux, l'adresse du client est la suivante : 192.168.2.40 Dans le second post, l'adresses des clients sont les suivantes : 192.168.2.111 (sous un live USB avec Fedora) et 192.168.2.115. Se sont des adresses IP affectées automatiquement, par pfSense, à des « invités » qui viennent se brancher sur le réseau. Dans ce post, l'adresse du client est la suivante (sous un live USB avec Fedora) : 192.168.2.47. C'est abitraire... C'est dans les adresses de « confiance ». Mais c'est la même machine virtuelle dans le second post. Et là, j'y arrive sans soucis. Je passe sur pas mal d'étapes... Conclusion : Avec l'adresse 192.168.2.40 affecté au live USB : connection en SSH OK Avec le poste sous Archlinux, j'ai affectué l'adresse IP 192.168.2.4 : connection en SSH OK Avec le poste sous Archlinux (avec l'adresse IP 192.168.2.40), j'arrive à me connecter à autre serveur en SSH mais pas à pfSense... Je regarde plus profondement du côté d'Archlinux. Si vous avez des idées pour m'éclairer, je en dis pas non. Bonne soirée.

Bonsoir jdh, Je te remercie pour ton retour. @jdh said in [Alimentation] Contrôle des tensions (EN COURS...): Bravo pour la description du problème ! Merci. (Néanmoins, il y en a peut-être un peu beaucoup : le détail très fin des règles n'est pas forcément utile ici. Il ne faut pas passer de l'absence à un trop plein !) Peut-être une info sur la carte mère (et le boitier) serait plus adaptée ... J'en prends note pour la suite. La CM est une Supermicro X11SBA-LN4F Sous Linux, il y a l'excellent 'lm-sensors', mais pfSense c'est FreeBsd ! Avec OpenBsd, il y a hw.sensors qui doit être dispo sans doute sous FreeBsd : cf https://en.wikipedia.org/wiki/Hw.sensors OK, merci je vois de ce côté. Il y a le projet bsdhwmon : https://github.com/koitsu/bsdhwmon On voit que des packages sont dispo pour FreeBsd 11, 12, 13. Peut-être télécharger le paquet pour le bon FreeBsd, installation, puis lancement en ligne de commande cf le man https://github.com/koitsu/bsdhwmon/blob/master/bsdhwmon.8.txt Merci aussi pour le tuyaux. Toutefois cela ne sera qu'une solution très ponctuelle et non intégrée à pfSense. Peut-être qu'un volontaire pour créer un package pfSense avec une interface web ... (je doute un peu puisque la seule température est déjà prise en compte par pfSense.) Après la ligne de commande, ça ne me fais pas peur. Je ne connais pas du tout pfSense au niveau de la gestion des paquets, et pas le temps non plus. Mais je ne dis pas non. Il y a-t-il un wiki ou des tutos sur le sujet ? Je teste de mon côté au niveau des tests et te tiens informé. Bonne soirée et bon week-end.

@jdh merci du conseil, mais j'ai pas attendu pour consulter vos appliances qui ne m'intéressent pas et puis, je suis ravi de ma VM pfsense qui a gagné en débit depuis. Vous me dites d'utiliser des drivers éprouvés, mais ce n'est pas le cas avec les drivers présents dans bsd/pfsense ?

je pense qu’ un bon Archer C7 devrait vous donner satisfaction et vous permettra de faire évoluer votre réseau en mesh si nécessaire ... En ce qui concerne les autres problèmes, vous pouvez voir plus d'informations ici.

Un extrait de la doc : 'The User Manager in pfSense software provides the ability to create and manage multiple user accounts. These accounts can be used to access the GUI, use VPN services like IPsec and OpenVPN, and use the Captive Portal. The User Manager is located at System > User Manager. From there users, groups, servers may be managed, and settings that govern the behavior of the User Manager may be changed. The User Manager can also be used to define external authentication sources such as RADIUS and LDAP.' Je n'avais pas été suffisamment précis : on utilise les 'users' en particulier pour OpenVpn ou Ipsec, et le portail captif. Je peux présumer que, dans l'ordre de fréquence, ce soit pour OpenVpn et pour Squid ... (D'ailleurs ces utilisateurs définis ont en parallèle accès à l'interface web : il vaut mieux verrouiller cela : un utilisateur OpenVPN n'a aucune raison d'accéder à l'interface web du firewall !) La doc décrit votre besoin mais n'a pas été lue, semble-t-il (mais je doute que cela s'adapte avec LDAP). Néanmoins, dans une entreprise 'standard', il y a très peu d'utilisateurs qui sont 'administrateur réseau' et qui ont les compétences pour configurer un firewall et en particulier qui ont besoin de ssh (je l'ai très peu utilisé pour pfSense). Donc cela reste un besoin très atypique ... (que vous garderez pour vous, cela importe peu)

@fireodo said in PPPoE et Vlan: @baou29 said in PPPoE et Vlan five nights at freddy's: Bonjour, Bonjour, mon francais n'est pa tres ferme ... Je ne sais pas comment faire ma connexion PPPoe avec un Vlan et le "priorité code à 2". Allez au dialogue "Interface" -> Vlan et crée une nouveau Vlan avec les paramétrés donne de votre fournisseur Internet. Le Vlan doit être attache au carte de resaux/interface ou est connecte le Modem. Dans le dialogue pppoe vous allez attache la interface pppoe au nouveau vlan crée. Pourriez vous me guider pour cela s'il vous plaît ? J'ai essaye ... Bonne journée, fireodo Merci pour votre aide

@jdh Je comprend votre recommandation. Cependant, est-ce la seule possibilité dans mon cas et avec le matériel que j'ai pour interconnecter mes réseaux entre eux ? Mon routeur ASUS AC5300 me permet d'avoir des services utiles en mode routeur (Une historisation des sites visités bien détaillés par devices ... Ma Freebox, malheureusement doit rester en mode routeur pour mon système d'alarme et caméra quelle gère que dans ce mode ... Mes routeurs peuvent avoir les services DHCP/DNS désactivés pour que pfSense puisse gérer cela ?! Merci d'avance !

(L'adresse 20.0.0.1 n'est pas privée : ce n'est pas recommandé !) Je ne comprends pas que vous ayez utilisé le MEME réseau pour le VPN site-à-site et le VPN roadwarrior ! Ce réglage ne peut que perturber le pfSense ! Il faut configurer des réseaux différents pour le client OpenVPN et le serveur OpenVPN, en sus, pour les clients roadwarrior, il faudra ajouter une route (push route) pour qu'il atteigne le site Bureau.