Trop d'information tue l'information ... néanmoins j'ai respecté les posts https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-à-respecter-pour-la-demande-d-aide https://forum.netgate.com/topic/63434/a-tous-les-débutants https://forum.netgate.com/topic/9157/règles-section-française sachant que pour demander du support je comprends tout à fait qu'il faille présenter le contexte. Bref, une journée pour faire mon message avec des allers et retours .... et progrès aussi car au début pas de connexion VPN, plus d'Internet LAN / WIFI et sans compter le fait que pour poster ma demande de support (avec images logs et tout ce qui va bien) j'ai pleuré 5 réputations (Merci encore à Rico). Le problème OpenVPN Client connexion ok avec erreurs dans les logs Je route mon traffic WIFI sur le VPN, et je n'ai pas de retour INTERNET : IN (qu'on voit d'ailleurs dans le graphique) Par contre .... vu le graphique toutes mes données partent dans le Tunnel alors que j'ai très peu voir pas d'activité sur le WIFI Brefs, les tutoriels n'ont rien donnés pour moi, ils sont au début identiques et c'est vers la fin où je me plante. Sinon, SNORT : détection d'intrusion, est à mon sens une couche supplémentaire sur le Firewall (du coup je viens de jeter un oeil rapide sur les logs : RAS). D'avance merci.

Bonjour, Oui merci de votre conseil. Ceci dit je suis sur une installation "home made" et donc mon problème "presque" insoluble est déjà le hardware. Il faudrait que je double le QOTOM (350 Euro tout de même). Mais outre le problème Hard, qui me prendra du temps à régler, j’aimerai pouvoir à réception de la nouvelle machine, remettre tout en route sans perdre d'information. Pour l'externalisation, en fait, je parle d'un NAS local. L'aspect externalisation c'est par rapport au QOTOM qui héberge le pfsense. Mais croyez moi dès que je peut j'en achète un second au cas où. D'ailleurs en réfléchissant à votre réflexion, je vais commencer par stocker un SSD de remplacement. Cela devrait déjà être un premier pas. Merci en tout cas. Pat.

Bonjour, Mes excuses pour le titre en anglais. Par réflexe j'avais commencé à rédiger en anglais ... mais j'ai oublié de modifier le titre ;-). Sam.

ah ok :)

Vous commencez à fournir des infos, c'est une bonne chose ... mais c'est encore incomplet : cf A LIRE EN PREMIER. En particulier, il est surprenant que vous ne fassiez pas de copies d'écran des règles que vous avez écrites : comment voulez vous que nous comprenions quelque chose ? Pour la première question : quelles sont les règles sur l'interface WAN ? Il est probable qu'il y en a une qui correspond à l'accès à l'interface web de pfsense : créer une telle règle est une erreur car il ne faut pas administrer un firewall depuis le WAN ! (règle de bon sens) Pour la deuxième question : qu'avez vous créé ? Un accès à un serveur web interne nécessite de créer une seule règle dans NAT Port Forward (qui en créé une automatique dans WAN, qui n'est pas à modifier !).

Non, non, vous avez bien 2 WAN : un primaire et un de secours, certes. Vos clients sont sur le LAN, et ils ne doivent avoir qu'une seule gateway. Plutôt vous vous organiserez de cette façon, plutôt vous y verrez clair. Peut-être même que votre upload sera correct ...

Je sais bien que le portail captif est pour un usage local. La on veut l'utiliser pour gerer plusieurs site distant.

Bonsoir, j'aurais une question est ce possible d'utiliser le portail captive d'un serveur pfsense installé sur google cloud dans un reseau local? Merci d'avance !

@Gertjan said in CONFIGURATION ACME: Salut, Inutile poser la question ici : il suffit de lire d’abord. Et t'as du voir que ça parle uniquement en VO ici - et le VO n'est pas Français, mais Anglais et/ou Américain. Autrement dit, perso va comprendre votre question. Donc : pas de réponse. Regarde : [image: 1585642444187-7454f310-b6b5-4db1-8a47-b94f076698d1-image.png] Je te conseille : Youtube => Netgate et regarde toutes les vidéos concernant le portail captif et 'acme'. Puis, le manuel de pfSense est obligatoire. Puis des milliers d'autres sites/vidéos etc. grosso modo : un portail captif avec pfSense : ça se monte dans 10 minutes environ. Les vrais notions "IP" et "DNS" peuvent aider ici. Du moment qu'on utilise le pacquet pfSense "acme" on a vu forcement le site de Letsenscrypt avant, on sais pourquoi ils sont là, ce qu'il font, que c'est, un certificat. les conditions nécessaires pour l'obtenir, etc. merci mon portail est opérationnel seul acme me pose quelques soucis de configuration

en même temps, comme il n'y a pas (plus) de description du problème, c'est intéressant de marquer celui-ci comme résolu, avec une petite description succincte de la solution

Bonjour à tous, Tout d'abord, MERCI pour vos réponses et votre passion pour aider les autres. Comme convenu, je reviens vers vous pour vous informer du résultat attendu sur un serveur de tests. En effet, la fonction port forwarding fonctionne correctement (ce que je ne doutais pas). j'arrive donc bien à rediriger mes ports 80 et 443 sur mon serveur Web. Mon nginx me fait la partie RP. Pour le moment, je n'ai essayé qu'avec un seul site web, mais je pense que pour plusieurs ca sera identique dans la mesure ou mon nginx prend la charge et la redirection. Merci pour votre aide sur ce sujet.

@jdh said in Question sur la configuration de Squid pour du multi-domaine (1 IP): Je ne suis pas certain que le firewall soit le bon lieu pour faire du reverse-proxy (Squid est un package donc n'est pas créé par la Team Firewall ! En sus cela alourdit et fragilise le firewall !)) Il me semble bien plus logique de dédier une machine (en DMZ) à la fonction de Reverse Proxy. Par exemple avec le projet Vulture Bonjour @jdh , L'idée de Vulture est pas mal, j'en prends note et je vais voir pour l'intégrer à mon infrastructure. Je t'en remerci.

Non pas de squid ici. Il n'y a aucun package complémentaire sur le pfsense hormis shellcmd (pour setter la gateway ovh) et open-vm-tools. [image: 1585746569208-capture-du-2020-04-01-15-09-18.png] Je vais être encore plus explicite: WAN --> interface internet TOOLS --> lan pour l'industrialisation DMZ --> lan pour front dmz MIDDLE --> lan pour serveurs applicatifs --> 192.168.3.0/24 BACK --> lan pour les bases de données --> 192.168.4.0/24 MONITORING --> lan pour la supervision Là j'essaie de ne permettre la communication entre MIDDLE et BACK uniquement sur le port 5432 (postgresql). Sur MIDDLE: [image: 1585746220062-capture-du-2020-04-01-15-03-01.png] Sur BACK: [image: 1585746339091-capture-du-2020-04-01-15-05-22.png] Donc comme il est indiqué sur les captures, MIDDLE a droit de sortir vers 5432, mais ne devrait pas pouvoir rentrer sur BACK. Or là ça passe. Est-ce que l'ouverture est implicite pour pfsense et ne prend pas en compte la rule sur BACK ?

Wireshark voit des paquets OpenVPN, c'est bien. (Mais il ne peut voir l'intérieur, et c'est heureux !) Au niveau de pfSense, il y a le package ntop-ng (enfin je n'ai pas de pfsense depuis plusieurs années).

je n'y comprends rien, désolé. quelle est la conf et le design, de quoi on parle ?