J'ai un peu de mal à comprendre : vous avez tout cassé mais vous avez pu faire des sauvegardes après coup ?

Quand on restaure un firewall, en ayant un bon fichier de sauvegarde, une bonne méthode consiste en :

install d'un pfSense neuf, depuis l'iso d'origine ajout des packages voulus

Puis selon le résultat,

restauration avec le fichier de sauvegarde COMPLET restauration "par étapes'

La restauration par étapes consiste à

sauvegarder le nouveau firewall incorporer des 'sections' du fichier de sauvegarde complet et restaurer; et on boucle en incorporant 'sections' après 'sections'.

C"est de la couture mais en agissant ainsi on progresse par étapes :

les config d'interfaces et de vlan, puis les config d'interfaces créés par les vlans, les alias, les rules, les services tel DHCP, DNS, VPN, ... Les sections concernant les packages ...

C'est long mais ça permet souvent de remonter sûrement le firewall.

C'est de la chance ! (mea culpa pour mon doute.)
Mentionnez les marques, modèle du matériel qui fonctionnent, cela sera utile pour ceux qui recherchent une telle fonction.

(Toutefois, en pro, je ferais plus confiance à de vraies interfaces ethernet.)

@adm_ryu said in Problème PfSense/SquidProxy/SSL:

j'ai bien intégré le fait que vous soyez réticent à l'utilisation de Squid pour intercepter le trafic HTTPS.

Non, vous ne m'avez pas bien compris, je pensais pourtant être clair, je réécris donc mon point de vue :

je conteste l'utilisation de Squid en mode transparent, à cause de l'activation possible de SSL-Bump pour casser HTTPS, je préconise l'utilisation de Squid en mode explicite, car il n'y a pas besoin de casser HTTPS.

Avec Squid en mode explicite, on peut visualiser, avec LightSquid (vos 3 images jointes), tous les accès : tant HTTP que HTTPS.

Bien évidemment, on interdit aux machines un accès direct à Internet pour HTTP et HTTPS et on autorise l'accès au proxy seulement. De facto les machines (IoT) sans config du proxy n'accèdent pas à Internet.

La démarche usuelle est

une règle LAN to 'any', parce que par défaut, le package NtopNg créé les stats machine par machine du flux sortant proto par proto (sans précision ni des url pour HTTP/HTTPS ni du dns), mise en place d'un proxy, dédié pour les entreprises et dans l'idéal, config en manuel ou en auto (avec WPAD) pour les PC standard.

A ce niveau, on est capable d'identifier les autres machines qui accèdent à Internet et les proto utilisés. Et on constate que bien des machines sont comme beaucoup de logiciels, ils se croient tout seul et 'exigent' un accès direct à Internet !

Je conçois que c'est difficile :

le mode 'transparent' est tellement tentant, il fonctionne sans défaut pour HTTP (sauf Authentification), Il peut fonctionner avec HTTPS via une astuce qui 'brise' le certificat en le remplaçant, ce qui 'annule' la confiance qu'il est sensé apporter, la mise en place de HSTS va annuler l'astuce.

Or les sites web sont maintenant majoritairement passés en HTTPS (depuis déjà plusieurs années), et vont aussi passer à HTTPS + HSTS ruinant l'astuce. Je vous sensibilise en fait à l'inexorable échec croissant.

On pourrait raisonner en cloisonnant :

un réseau standard avec proxy explicite pour les PC standard, un réseau 'd'identification' avec mode tranparent + cassage HTTPS pour les machines inconnues' (mais sans accès depuis les PC standard)

Pas facile à la maison !
(Moi le firewall, les protos c'est mon métier depuis des années ...)

Bonjour,

J'ai avancé sur mon problème.

Le remplacement du modem en bridge par une autre référence n'a pas solutionné mon problème.
Le défaut est toujours le même... le NAT sortant ne se fait pas.

Ma configuration habituelle :
Habituellement, je configure le NAT sortant en mode hybride et je crée une règle spécifique pour mon autocom pour que le port source soit statique pour les flux UDP (prérequis au bon fonctionnement des trunk SIP).

Il reste donc les règles par défaut pour les autres flux sortants, qui eux, on l'air de fonctionner après une déco/reco.

Mes tests en cours :
Sur 2 sites où je rencontre le soucis, j'ai passé le mode NAT sortant en manuel et j'ai modifié la règle générique qui englobe tous les flux depuis mon réseau privé pour coché la case "port statique".

Je vous ferai un retour avec les résultats obtenus.

Bonne journée.

Concernant les ACL, non pour un firewall on utilise le mot 'règles' ou 'Rules'. Pour un switch, on peut utiliser ACL mais il n'y a pas de suivi de connexion comme dans un firewall !

Vous avez 3 serveurs web = vous avez besoin d'un reverse proxy, lequel va analyser le flux HTTP/HTTPS et le dispatchez selon le nom dns vers le bon serveur web.

Il n'y a pas que HAProxy : nativement les serveurs web (Apache, Nginx ou IIS) savent forcément le faire (y compris renvoyer vers un autre serveur !). Squid sait aussi le faire, et d'autres (Vulture p.e.)

Une bonne logique est de confier une tâche donnée à une machine (même virtuelle). C'est d'ailleurs bien suggéré par MisterMagoo (et qui l'utilisent lui-même) : les packages de pfSense sont pratiques mais il faut les utiliser de la façon prévue ... qui n'est pas forcément votre besoin !

Voilà un fil avec une demande mais sans indication de la réflexion ni aucune recherche !

Depuis l'interface d'un pfsense, on peut, manuellement, réaliser une sauvegarde (sous la forme d'un fichier .xml qui se trouve alors dans 'Téléchargements').

Le premier point d'une sauvegarde automatique est, nécessairement, de réaliser et de stocker les sauvegardes sur UNE AUTRE MACHINE ! Donc le cron sur pfSense est à oublier !

Quelle recherche avez vous réalisée ? Ici ce n'est pas un juke box ...

Et pourtant la doc décrit 2 moyens ...

comme ca avec peu d'info

réponse
fail over et ou bgp

j'opterais plus a du bgp, il faut pour cela que les deux fai accepte ce protocole sauf erreur

en terme cisco vous devriez trouver certaine explications sur le sujet et aussi un addon coté pfsense

Il faut bien s'incliner devant toutes ces certitudes : vous n'avez, en effet, aucunement besoin de mon aide.

Salut ici !

J'ai un peu revu ma copie concernant l'utilisation du /56 fournis par Orange.

Je n'utilise plus le fichier de configuration /usr/local/etc/dhcp6c_wan_new.conf, je suis revenu à une configuration tel que décrite ici : https://wiki.virtit.fr/doku.php/kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense

Au niveau de l'interface WAN j'ai juste ajouté DHCPv6 Prefix Delegation size = 56, voici la configuration de l'interface (seulement pour l'IPv6):

WAN

Le fait de déterminer le préfixe côté WAN permet d'avoir côté LAN (ou autres interfaces) la possibilité d'utiliser l'option Track Interface:

LAN: Track interface

Mais en l'état rien ne fonctionne, les clients n'obtiennent pas d'adresse IPv6 😧

Du coup côté LAN je me suis résigné à détermine l'adresse IPv6 de façon statique:

LAN: Static IPv6

Quelqu'un a déjà eu l'expérience d'utiliser l'option Track interface avec succès ?

J'imagine qu'on n'est vraiment pas loin du tout en terme de configuration mais j'ai beau tout retourner je n'y parviens pas.

Certes le fonctionnement actuel est correct, mais j'aurai souhaité atteindre la perfection en n'ayant pas à écrire le préfixe en dur dans les interfaces...

Sujet Clos j'ai finalement décidé d'opter vers un reverse proxy , et j'ai un créer un autre post

@Drthrax74 said in Résolution de Nom depuis un DNS en amont:

Le DNS Virtuel enverra toutes les entrées de résolution au réseau BOX.

Je dois bien dire que j'ai aussi du mal à comprendre cette phrase et d'autres choses encore.

Je confirme que pour accéder à une machine, un service interne, (comme rdp, quelle folie !) depuis l'extérieur le dns interne .... ne sert à rien.

Un schéma 'normal' est basé sur un ESXi a 2 vswitchs WAN et LAN. Le vswitch LAN est interne et destiné aux VM internes. WAN est destiné à l'ESXI et la patte WAN du pfSense. Seules ces 2 machines peuvent faire des requêtes IP v6, d'ailleurs inutiles vraisemblablement.

Les VM internes doivent avoir aussi IP v6 désactivé.

Pour Debian, suivre https://www.memoinfo.fr/tutoriels-linux/desactiver-ipv6-sur-debian/ (modif de /etc/sysctl.conf et rechargement par 'sysctl -p').

Tout cela est peu constructif :

l'initiateur pose une question en 1 phrase : c'est se moquer du monde : a minima, il aurait fallu expliquer le pourquoi, donner la config, quels essais ont été réalisés, quels résultats, ... 2 réponses arrivent et sont 'cohérentes' (= aussi longues).

Si vous avez les moyens d'avoir 3 lignes Internet, vous devriez

avoir la compétence ou faire les expériences pour l'acquérir, avoir un matériel avec suffisamment d'interfaces, car l'idéal est d'avoir 1 interface par ligne, connaitre les techniques utiles (ici VLAN).

EDIT : l'iniiateur vient de supprimer son post initial, encore plus constructif ...

Yep, bon juste voilà, je suis Technicien supérieur systèmes et réseau et je prépare une licence en bachelor donc je pense savoir de quoi on parle, mais merci de rappeler les notions.

Bonjour,

Vous pouvez aussi avoir une autre approche, consistant à mettre un schedules sur une règle de firewall.

Cordialement

Question bête Astina,

Avez-vous regardé les .log quand le client essaye de se connecter au pfsense.

Je vous balance, ce que personnellement j'ai checké pour trouver ma panne.

Pour ma part l'adresse IP publique n'était pas a jour.

Dans un autre contexte, j'avais l'IP de mon réseau local à la place de la publique.

Je n'avais pas ouvert les ports sur la Livebox vers l'adresse du pfsense.

Cordialement

A deux cerveaux, on finit par s'en sortir :).
Du coup, si tu pouvais cliquer sur le petit pouce jaune pour moi...
Je suis franchement inscrit sur le forum et j'ai besoin d'accumuler des points de réputation ;)

Merci !

@jdh
Bonjour effectivement tout cela se passe en virtualisation, mes machines sont sous Vmware et je simule le réseau sous gns3 et ça fait pas mal de temps que je travaille sous Vmware et gns3 4 ans je suis pas expert mais je trouve que je me débrouille pas mal.
Pour les pièces jointes désolé erreur de manipulation.

Image1: log du pare-feu
Image2: Architecture du site 1 et ces 3 vlans comta, direction, labo-info
Image3: Requête dhcp du Directeur et offre du serveur mais sans réponse.

problemes3.jpg problemes2.jpg problemes.jpg