@sallain Vous vouliez un retour : une fois le VPN établi (valable pour OpenVPN ou IPsec), vous avez tout loisir de faire ce que vous voulez avec quelques serveurs que ce soit en interne, sans difficulté. (En dehors d'un filtrage plus précis réalisé au niveau du serveur VPN ou d'une mauvaise config des serveurs : exemple une autre passerelle définie.) C'est d'ailleurs une grande confusion : un accès autorisé par VPN ne devrait pas être un 'open bar' pour accéder au réseau interne ! Une bonne et saine gestion d'un VPN devrait différencier 'authentification' et 'autorisation' : authentifier : s'assurer de l'identité de l'utilisateur qui se connecte en VPN, autorisation : droits d'accès à certains services en étant connecté en VPN. ... La précision TUN/TAP est juste pour rappel : choisir TUN, c'est le meilleur mode. (D'autant que TAP est 'mort' pour Apple.)

@jdh Pour la feuille je l'ai fait (mais certainement mal car je n'ai pas trouvé la solution)! je penser qu'il fallait rajouter une route par défaut sur le lan obligeant a passer via le firewall , mais pfsense me dit qu'il y a un conflit d’adresse avec le LAN (normal j'essaye de router tout les flux du 192.168.1.0/24 vers le 192.168.1.1) je n'ai toujours pas trouvé la solution !

Merci à tous ceux qui n’y connaissent rien en informatique de ce retenir de parler pour ne rien dire!

@jdh Bonjour, je dirais ni la 3 et ni la 4 car m’entêtant à croire que malgré la couche Network Manager c’était le fichier /etc/dhcp/dhclient.conf qui était utilisé, j'ai commencé a douté du fait que je saisissait mal le Client Identifiant dans Pfsense. Avec la modification du fichier de conf de Network-Manager pour qu'il n'utilise pas sa librairie mais bien le fichier dhclient.conf, ce qu'il se passait ensuite était plus logique. En sniffant les paquets envoyé depuis ma machine cliente vers le DHCP Pfsense, le client Identifant est bien celui du fichier dhclient. Par défaut, le dhclient envoie comme dhcp-client-identifier l'adresse MAC de la machine et je souhaiterai mettre le hostname de la machine ou l'UID Machine, il faut que je creuse encore. Maintenant, pourquoi je veux utiliser le Client Identifier, la raison est toute simple, avec la recrudescence des adaptateurs USB/RJ45, la réservation d'IP / MAC Address n'a plus de sens si on veut que celle-ci soit liée a un seul et unique portable qu'on autorise sur un réseau. Pour l’exercice piégé :-) en parcourant tout ce que je pouvais trouver, j'ai lu que W10 n'envoyait pas le client identifier comme un serveur DHCP digne de ce nom l'attend, donc, pas de réponse pour l'instant.

@gregoire Bonjour et merci pour ton retour. Moi, j'ai 12 phases 2 et seulement 2 (toujours les mémés) sur les 12 restent activent. On a vérifié des deux coté et les configurations sont semblables. je vais essayer de spliter afin de voir ce que ça donne. Merci encore et bonne journée.

Dans mon ordre de lecture le fil "Problème de DNS entre VLAN" vous intervenez (plus d'1 mois 1/2 après le dernier post) avec un post désagréable : la plus belle connerie ... il est recommandé ... meilleure sécurité ... En fait, ce que vous écrivez est du pipeau et de la frime, et vous ne l'avez sans doute jamais mis en oeuvre ! S'il est facile de créer un srv linux avec DNS secondaire du DC (Isc Bind) et DHCP principal (Isc Dhcp), MAIS il est très difficile que le DHCP mette à jour le DNS du DC Windows comme on l'attend. Parce que Isc DHCP met à jour les enregistrements DNS via TSIG alors que le DNS Windows demande des mises à jour via ticket Kerberos ! Des liens indiquant le problème : https://ubuntuplace.info/questions/435437/isc-dhcp-and-microsoft-dns : très exactement le problème https://serverfault.com/questions/32605/using-bind9-and-dhcpd-to-support-a-windows-domain : la même chose en anglais Or il y a une solution : https://blog.michael.kuron-germany.de/2011/02/isc-dhcpd-dynamic-dns-updates-against-secure-microsoft-dns/ C'est assez complexe, et je ne suis pas certain que ça fonctionne avec 2016 ou 2019 .... Ce n'est pas nouveau, et j'ai indiqué un Linux Magazine où j'avais vu une telle solution ... limité à Windows 2000: Magzaine n° 45 de Décembre 2002 http://eric.gerbier.free.fr/linuxmag_index.html Ma réponse est factuelle, et je viens de la compléter de manière finale (le DHCP de pfSense ne pourra jamais convenir, et il faut être bien plus calé que moi pour la mettre en place, bonne chance). le fil "pfsense et ActiveDir" Je n'ai pas vu que vous en êtes l'auteur (sinon je me serais abstenu de répondre). Je réponds encore factuellement : tant d'imbéciles écrivent 'j'ai appliqué le tuto' sans avoir rien compris ! Je poursuis que vous semblez chercher et que vous ne devriez pas être loin ... enfin c'est le sens. (On aurait pu écrire que, vous, le champion du DNS/DHCP hors de Windows, voulez quand même utiliser l'AD avec pfSense, mais ce serait trop facile ...) Et vous le prenez mal. Mais posez vous la question : pourquoi prenez vous mal ce qui ne vous agresse nullement ? Ca pourrait vous servir toute votre vie .... et rendre celle de vos voisins plus facile ! le fil "DHCP maping Client Identifier" La question a pourtant été clairement posée. Vous fournissez le lien vers Wikipedia, (probablement déjà vu par l'auteur de la question) et le renvoyez à MAC Address ... dont il a expliqué qu'il ne veut pas faire ça ! Probablement vous n'avez même pas lu complétement la page car, et je le rapporte, des versions récentes de RFC de DHCP le permette. Factuellement votre réponse n'est pas bonne (parce que vous ignorez 'Client Identifier' comme beaucoup, et c'est logique puisque rare). Conclusion Vous venez de vous inscrire, vous réagissez sur 3 fils de manière stupide et même désagréable sur l'un. Vous m'insultez. Et tout ça en 2 jours !! Trop fort !! Qui êtes vous pour vous permettre ce genre de comportement ? En fait vous êtes un guignol, et vous allez bien vite disparaitre parce que, et vous le savez déjà, rien sur ce forum (mourant) ne vous est utile, et vous n'avez sans doute aucune fibre à transmettre votre précieuse expérience. Je vous renvoie vos insultes ...

La reco que je fais est adaptée au public ! Et elle est parfaitement valable pour une PME de 50 ou 300 pers. (ETI) ... sans informaticien très expérimenté ! D'ailleurs je réponds au cas précis de ceux qui veulent utiliser le DHCP de pfSense au lieu du DHCP mise en route sur le DC (le DHCP de pfSense ne sera pas capable de mettre à jour le DNS du domaine ... sans une config dont je doute qu'elle soit accessible depuis l'interface ... ce que vous oubliez totalement de dire !) Utiliser un autre DHCP et un autre DNS qu'un DC, est bien évidemment possible (sans toutefois assurer que cela soit plus secure) ! (Dans mon entreprise actuelle, il n'y a même pas d'AD pour environ 8000 machines actives sous Windows et Linux alors un DHCP sous Windows, la blague !) Trouver une page décrivant comment configurer un ISC Bind et ISC Dhcp en relation avec un domaine Windows, est une autre paire de manche que de porter un jugement. A ma connaissance, il y a eu un article dans Linux Magazine sur le sujet, il y a plus de 10 ans (et au mieux avec 2003) ... mais je peux me tromper (moi). Pas cordialement ...

@Tueurdragon hello Quand tu dis que ce n'est plus valable pour la version 2.5, çà veut donc dire que certaines étapes que tu détailles ne sont plus applicables ? Ou bien que ce n'est plus nécessaire ? Cordialement

Bonjour, J'ai exactement le même problème sur deux boitiers.... Il y a une solution sans réinstaller ? Merci.

@jdh Bon.. merci quand même pour ton aide.

On en est où ? (Je n'ai pas écrit pour décourager mais sur ce qu'il faut faire, sur une organisation claire, simple et logique.)

Pour le LAN, le pfSense est serveur DHCP et serveur DNS, ce qu'il fallait préciser. Il faut maintenant interroger le serveur DNS pour savoir s'il donne les bonnes infos ... (= s'il est bien configuré)

Bonjour @chris4916, Merci pour ta réponse, effectivement j'ai des réseaux avec une grande plage d'adresse IP c'est un peu un vestige d'une ancienne configuration quand je comprenais encore mais ce que je fais Pour répondre à ta question j'ai désactivé l'IPV6 sur le client vu que je ne l'utilise pas de base je sais pas trop pourquoi c'était activé. J'ai regardé les logs des rejets de règle et le seul moment ou ça m'affiche quelque chose c'est quand je désactive ma règle de pare feu (logique donc). Peut-être une option que j'ai désactivé un jour qui bloque le routage par pfsense? Sinon avoir une règle spéciale pour Ping je vois pas trop l’intérêt étant donné que j'ai activé tout juste en dessous, sauf si j'ai pas compris un truc dans cette remarque.

On gagne à regarder A LIRE EN PREMIER et à respecter ce formulaire de présentation. Quand on est débutant, on gagne à suivre (s'inspirer) des tutos qui ne manquent pas ... (Je rappelle qu'un tuto 'ça s'adapte', c'est à dire que l'on ne le suit pas à la lettre en faisant les mêmes réglages ... sans les comprendre !) Dans votre cas, il est peu compréhensible, et donc injustifié, de ne pas mettre en oeuvre des certificats ! Et bien sûr d'ouvrir 2 fils sur le même sujet !! Sur G. avec "pfsense openvpn tuto", 6 sur les 7 liens de la première page sont des tutos avec certificats ... Franchement vous n'avez pas cherché !!