@chris4916 merci pour la réponse

Serait-il de supprimer un fil de discussion ?

Merci de prendre mes propos avec prudence : je ne suis pas certain d'avoir écrit avec la plus grande justesse, et je ne suis pas complet. Par exemple, je n'ai pas mentionné que chaque FAI a sa méthode de fourniture d'adresse IPV6.

J'encourage ceux qui veulent s'y mettre de regarder :

la doc de pfSense : https://docs.netgate.com/pfsense/en/latest/network/ipv6/index.html une video youtube des bases (de 2015) : https://docs.netgate.com/pfsense/en/latest/network/ipv6/index.html

oui c'est en raccourci ce que j'ai écrit: comme la 2.5 est passé en prod, la dev est en 2.6, nous sommes d'accord

@ervan said in Solution de collecte de flux HTTP/HTTPS pour HotSpot Public:

J'avais commencer par monter un Squid, c'est OK pour du HTTP mais pas pour du HTTPS car je n'aurais pas accès aux PC venant de l’extérieur pour leur installer un certificats et faire du proxy HTTPS.

Mais il n'y a pas besoin de certificat pour logger dans le proxy le fluc HTTP. Même avec HTTPS, HTTP CONNECt passe en clair.

Tu n'as besoin de truster le certificat exposé par le proxy que si tu veux te positionner au milieu du tunnel (Man in the middle) pour par exemple analyser du contenu.
Mais juste pour lister les connexions des utilisateurs, ce n'est pas nécessaire

@jdh

Je suis tout a fait d'accord avec vous pour le réseau non privé, ceci sera revu lors du remplacement des serveurs.
Il est souvent délicat de reprendre un infrastructure qui ne respecte pas les standards.
Vu l'échelle du client, 65 postes réparti sur 2 sites, je qualifierais les deux réseaux de disproportionné.
Malheureusement un changement en l'état n'est techniquement pas possible et le temps off possible non souhaitable.

PfSense supporte des packages : ce sont des logiciels, avec une interface web intégrée à l'interface pfSense. Mais ce n'est ni standard ni supporté par la team pfSense.

Parmi les packages, le proxy Squid et son addon usuel SquidGuard permettant de traiter de blacklist d'URL.

(Perso je recommande, à partir d'un certain volume, de ne pas utiliser le proxy sur pfSense. Depuis longtemps je créé des VM dédiées avec Debian / Squid / Squiguard / LightSquid / qq outils de maj de blacklist ...)

Une page de doc sur la redirection dans SquidGuard est http://www.squidguard.org/Doc/redirect.html (avec en exemple une redirection vers une url en HTTP).

Il n'est pas précisé si cela fonctionne sur HTTP et HTTPS, mais avec les proxy explicites que j'ai créé, je constate que les requêtes HTTP interdites sont bien renvoyées vers une page (HTML) dument configurée alors que les requêtes HTTPS deviennent 'blanches'.

A la réflexion cela ne me parait pas très surprenant et finalement logique. D"un, il faudrait une redirection pour les pages HTTP et une autre pour HTTPS, de deux HTTPS est normalement crypté depuis le début de la session.

@ elliryc
"Le NAT est utile quand tu ne connais pas le réseau privé distant."

Le concept m'échappe.

@jdh
mais en local, cela fonctionne : pas besoin d'ajouter "index.php"
et pas en distant

mais c'est pas grave, j'ai mon acces depuis l'exterieur

Encore merci de votre aide a tous

Du coup, pour vous permettre de m'aider, voici les seules informations que j'ai de mon FAI :

Adresse IPv6 de la box: 2a01:XXXX:XXXX:9c00:a63e:51ff:fecb:b8d6
Le préfixe IPv6 est : 2a01:XXXX:XXXX:9c00::/56

Qu'est-ce que je dois en faire pour configurer correctement les différentes interfaces ?

C'est la base du filtrage que réalise un firewall.

@philippe34 said in *net /*address/ ce pare feux/tout ?????:

SOURCE =172.16.1.2 et DESTINATION=lan1 net (il ne peut communiquer qu'avec le réseau lan 1)vrai??

Non : plus simple : le flux ne passe pas par le firewall !!

Il faut commencer par de bonnes pratiques : noms courts et simples des interfaces, alias systématique avec normage des noms (ext_xxx pour les ip externes, lan_xxx pour les réseaux, srv_xxx pour les serveurs accédés, ....).

J'ai écrit au moins les bonnes questions à se poser, je vous laisse réfléchir. Exemple : pourquoi n'utilise-ton jamais 'WAN net' ?

Pierre DAC : rien ne sert de penser, il faut réfléchir avant.

On est là dans l'erreur classique d'avoir les yeux focalisés, et on ne voit donc pas tous les éléments en jeu. D'où l'importance de passer par le formulaire A LIRE EN PREMIER : on doit exposer peut-être plus de choses, et parfois cela permet de voir plus loin.

WireGuard est une solution qui pourrait prendre la suite d'OpenVPN (surtout pour le mode Roadwarrior). Je ne pense pas que le produit soit encore en phase de mise en prod ...

(Plus performant ? Avec des concepts plus sûr, oui ! Exemple : une faiblesse de tous VPN consiste en la négo de protos d'authentification ou cryptage, qui peuvent être obsolète et sont conservés pour compatibilité ...)

Quelques remarques :

bravo pour l'utilisation du formulaire : il y a des infos, je n'ai aucunement aidé, l'origine du pb n'est pas indiquée.

Si vous le voulez, merci de préciser l'origine : est ce un suppression sauvage ? est ce un rafraichissement dns ? est ce un test unique ?

Je considère qu'utiliser le package Squid est généralement une erreur. Ici faute d'infos je n'ai pas initié sur ce sujet, et bien que Squid peut traiter HTTP et HTTPS.

Toutefois, j'ai souvent écrit que, rédiger le formulaire prend un peu de temps et oblige à lister pas mal de choses ... et parfois ce temps met le doigt sur le problème ...

Je pense que tout a été dit sur UPnP (et DLNA qui se base dessus).

réseau local exclusivement, au niveau des TV, il faut les sélectionner sur les protos autre que DLNA qu'elles supportent (la découverte en moins).

Pour les sources type NAS, ils disposent généralement d'autres protos en sus du DLNA.

(Sur une Debian, on ajoute Samba pour le proto SMB et uShare pour DLNA : la même arborescence est accessible pour les protos.)

Il y a des solutions qui fonctionnent : les routeurs 4G.

Exemple : https://routeur-5g.fr/routeur-4g-fixe/

Un smartphone en connexion USB, cela (me) semble hautement improblable ...

Bonjour Sébastien

si vous pouvez connecter un clavier et un écran sur le boitier/serveur (atalante ?), il y a de bonnes chances que la console soit accessible directement. Le menu permet un reset du compte administrateur (ca dépend peut-etre de la version, mais si ça date de 2 ans ça devrait y etre). C'est surement le plus rapide.

Sinon, il y a quelques étapes supplémentaires pour reprendre la main.
https://superuser.com/questions/625346/reset-pfsense-web-interface-password-through-main-console

C'est plus dur à lire qu'à faire 😊

@+

Bonjour,

Je ;e suis penche sur les docker, c est pas mal en effet !
j ai pu sur une seule vm mettre plusieurs containers "proxy" pour aller taper sur ceux de la dmz.
Me reste a faire pareil pour la dmz. De ce que j qi pu lire , pfsense sous docker cq marchent pas top..
Merci en tout cas.

Sujet clos avant que ca ne degenere plus.

J'ai résolu mon probleme

PfSense fonctionne très bien

J'avais bien déclaré mes Vlan dans mes 2 switchs, mais oublié de les déclarer dans mon contrôleur wifi Aruba (qui, comme un switch véhicule tous les Vlan sur son trunk)

En tous cas, merci du temps que vous m'avez accordé

Je reviendrai bientôt vous ennuyer avec d'autres problèmes (notamment la mise en place du serveur VPN IPSec, mais ce sera dans un autre post