Merci à tous ceux qui n’y connaissent rien en informatique de ce retenir de parler pour ne rien dire!

@jdh Bonjour, je dirais ni la 3 et ni la 4 car m’entêtant à croire que malgré la couche Network Manager c’était le fichier /etc/dhcp/dhclient.conf qui était utilisé, j'ai commencé a douté du fait que je saisissait mal le Client Identifiant dans Pfsense.
Avec la modification du fichier de conf de Network-Manager pour qu'il n'utilise pas sa librairie mais bien le fichier dhclient.conf, ce qu'il se passait ensuite était plus logique.
En sniffant les paquets envoyé depuis ma machine cliente vers le DHCP Pfsense, le client Identifant est bien celui du fichier dhclient.
Par défaut, le dhclient envoie comme dhcp-client-identifier l'adresse MAC de la machine et je souhaiterai mettre le hostname de la machine ou l'UID Machine, il faut que je creuse encore.
Maintenant, pourquoi je veux utiliser le Client Identifier, la raison est toute simple, avec la recrudescence des adaptateurs USB/RJ45, la réservation d'IP / MAC Address n'a plus de sens si on veut que celle-ci soit liée a un seul et unique portable qu'on autorise sur un réseau.
Pour l’exercice piégé :-) en parcourant tout ce que je pouvais trouver, j'ai lu que W10 n'envoyait pas le client identifier comme un serveur DHCP digne de ce nom l'attend, donc, pas de réponse pour l'instant.

@gregoire Bonjour et merci pour ton retour.
Moi, j'ai 12 phases 2 et seulement 2 (toujours les mémés) sur les 12 restent activent.
On a vérifié des deux coté et les configurations sont semblables. je vais essayer de spliter afin de voir ce que ça donne.

Merci encore et bonne journée.

Dans mon ordre de lecture

le fil "Problème de DNS entre VLAN"

vous intervenez (plus d'1 mois 1/2 après le dernier post) avec un post désagréable : la plus belle connerie ... il est recommandé ... meilleure sécurité ...
En fait, ce que vous écrivez est du pipeau et de la frime, et vous ne l'avez sans doute jamais mis en oeuvre ! S'il est facile de créer un srv linux avec DNS secondaire du DC (Isc Bind) et DHCP principal (Isc Dhcp), MAIS il est très difficile que le DHCP mette à jour le DNS du DC Windows comme on l'attend. Parce que Isc DHCP met à jour les enregistrements DNS via TSIG alors que le DNS Windows demande des mises à jour via ticket Kerberos !
Des liens indiquant le problème :

https://ubuntuplace.info/questions/435437/isc-dhcp-and-microsoft-dns : très exactement le problème https://serverfault.com/questions/32605/using-bind9-and-dhcpd-to-support-a-windows-domain : la même chose en anglais

Or il y a une solution : https://blog.michael.kuron-germany.de/2011/02/isc-dhcpd-dynamic-dns-updates-against-secure-microsoft-dns/ C'est assez complexe, et je ne suis pas certain que ça fonctionne avec 2016 ou 2019 ....

Ce n'est pas nouveau, et j'ai indiqué un Linux Magazine où j'avais vu une telle solution ... limité à Windows 2000: Magzaine n° 45 de Décembre 2002 http://eric.gerbier.free.fr/linuxmag_index.html

Ma réponse est factuelle, et je viens de la compléter de manière finale (le DHCP de pfSense ne pourra jamais convenir, et il faut être bien plus calé que moi pour la mettre en place, bonne chance).

le fil "pfsense et ActiveDir"

Je n'ai pas vu que vous en êtes l'auteur (sinon je me serais abstenu de répondre).

Je réponds encore factuellement : tant d'imbéciles écrivent 'j'ai appliqué le tuto' sans avoir rien compris !

Je poursuis que vous semblez chercher et que vous ne devriez pas être loin ... enfin c'est le sens.

(On aurait pu écrire que, vous, le champion du DNS/DHCP hors de Windows, voulez quand même utiliser l'AD avec pfSense, mais ce serait trop facile ...)

Et vous le prenez mal. Mais posez vous la question : pourquoi prenez vous mal ce qui ne vous agresse nullement ? Ca pourrait vous servir toute votre vie .... et rendre celle de vos voisins plus facile !

le fil "DHCP maping Client Identifier"

La question a pourtant été clairement posée.

Vous fournissez le lien vers Wikipedia, (probablement déjà vu par l'auteur de la question) et le renvoyez à MAC Address ... dont il a expliqué qu'il ne veut pas faire ça !

Probablement vous n'avez même pas lu complétement la page car, et je le rapporte, des versions récentes de RFC de DHCP le permette.

Factuellement votre réponse n'est pas bonne (parce que vous ignorez 'Client Identifier' comme beaucoup, et c'est logique puisque rare).

Conclusion

Vous venez de vous inscrire, vous réagissez sur 3 fils de manière stupide et même désagréable sur l'un. Vous m'insultez. Et tout ça en 2 jours !! Trop fort !!

Qui êtes vous pour vous permettre ce genre de comportement ?

En fait vous êtes un guignol, et vous allez bien vite disparaitre parce que, et vous le savez déjà, rien sur ce forum (mourant) ne vous est utile, et vous n'avez sans doute aucune fibre à transmettre votre précieuse expérience. Je vous renvoie vos insultes ...

La reco que je fais est adaptée au public !
Et elle est parfaitement valable pour une PME de 50 ou 300 pers. (ETI) ... sans informaticien très expérimenté ! D'ailleurs je réponds au cas précis de ceux qui veulent utiliser le DHCP de pfSense au lieu du DHCP mise en route sur le DC (le DHCP de pfSense ne sera pas capable de mettre à jour le DNS du domaine ... sans une config dont je doute qu'elle soit accessible depuis l'interface ... ce que vous oubliez totalement de dire !)

Utiliser un autre DHCP et un autre DNS qu'un DC, est bien évidemment possible (sans toutefois assurer que cela soit plus secure) ! (Dans mon entreprise actuelle, il n'y a même pas d'AD pour environ 8000 machines actives sous Windows et Linux alors un DHCP sous Windows, la blague !)

Trouver une page décrivant comment configurer un ISC Bind et ISC Dhcp en relation avec un domaine Windows, est une autre paire de manche que de porter un jugement. A ma connaissance, il y a eu un article dans Linux Magazine sur le sujet, il y a plus de 10 ans (et au mieux avec 2003) ... mais je peux me tromper (moi).

Pas cordialement ...

@Tueurdragon hello
Quand tu dis que ce n'est plus valable pour la version 2.5, çà veut donc dire que certaines étapes que tu détailles ne sont plus applicables ? Ou bien que ce n'est plus nécessaire ?

Cordialement

Bonjour, J'ai exactement le même problème sur deux boitiers.... Il y a une solution sans réinstaller ? Merci.

@jdh Bon.. merci quand même pour ton aide.

On en est où ?
(Je n'ai pas écrit pour décourager mais sur ce qu'il faut faire, sur une organisation claire, simple et logique.)

Pour le LAN, le pfSense est serveur DHCP et serveur DNS, ce qu'il fallait préciser.

Il faut maintenant interroger le serveur DNS pour savoir s'il donne les bonnes infos ... (= s'il est bien configuré)

Bonjour @chris4916,

Merci pour ta réponse, effectivement j'ai des réseaux avec une grande plage d'adresse IP c'est un peu un vestige d'une ancienne configuration quand je comprenais encore mais ce que je fais 😆

Pour répondre à ta question j'ai désactivé l'IPV6 sur le client vu que je ne l'utilise pas de base je sais pas trop pourquoi c'était activé.
J'ai regardé les logs des rejets de règle et le seul moment ou ça m'affiche quelque chose c'est quand je désactive ma règle de pare feu (logique donc).

Peut-être une option que j'ai désactivé un jour qui bloque le routage par pfsense?

Sinon avoir une règle spéciale pour Ping je vois pas trop l’intérêt étant donné que j'ai activé tout juste en dessous, sauf si j'ai pas compris un truc dans cette remarque.

On gagne à regarder A LIRE EN PREMIER et à respecter ce formulaire de présentation.

Quand on est débutant, on gagne à suivre (s'inspirer) des tutos qui ne manquent pas ... (Je rappelle qu'un tuto 'ça s'adapte', c'est à dire que l'on ne le suit pas à la lettre en faisant les mêmes réglages ... sans les comprendre !)

Dans votre cas, il est peu compréhensible, et donc injustifié, de ne pas mettre en oeuvre des certificats ! Et bien sûr d'ouvrir 2 fils sur le même sujet !!

Sur G. avec "pfsense openvpn tuto", 6 sur les 7 liens de la première page sont des tutos avec certificats ... Franchement vous n'avez pas cherché !!

Bon, j'ai plutot bien avancé sur le sujet et je voudrais tous vous remercier du temps que vous m'avez accordé.

tout fonctionne très bien.
pour les machines dans le domaine, c'est nickel.
seul interrogation, malgré un certificat valide, l'ouverture de la page web depuis le contrôleur de domaine continuait a m'afficher le message (site pas de confiance), mais des le lendemain et sans action de ma part, ça a disparu (le cache du navigateur ??)

pour une machine hors domaine, j'ai ajouter le CA Root dans les stratégies local et ça fonctionne

j'ai meme réussi (en convertissant les fichier auto signé PFX d'un serveur IIS a les signer et les re importer

un grand pas en avant

Encore merci a tous

Très débutant surement. Alors prenez connaissance de A LIRE EN PREMIER. Etre débutant n'est pas un défaut, alors si on veut progresser, il faut commencer par n'oubliez aucune chose ... N'ayez pas peur de faire 'long', craignez plutôt d'être incomplet ! (C'est ce qui explique que personne n'avait répondu !)

Dans le post initial, une phrase telle 'il y a 2 sites avec les adressages suivants' aurait au moins donné l'impression que vous présentiez le problème un peu complètement.

Comment voulez vous être aidé si vous ne dévoilez qu'une toute petite partie de la situation ???? Certes vous n'êtes pas seul à agir ainsi, mais c'est la base de la base !

Vous connaissez 'phase 1' et 'phase 2', c'est bien, mais savez vous que vous pouvez avoir plusieurs 'phase 2' ? Avec plusieurs 'phase 2' aucun besoin d'un NAT de bricolage et difficile à mettre en oeuvre ...

(Avec IPsec, chaque extrémité doit être configuré de façon totalement identique = aux paramètres près, donc autant de phases 2 de chaque côté, cela va sans dire, donc je l'écris ...)