Bonjour,

Mes excuses pour le titre en anglais.
Par réflexe j'avais commencé à rédiger en anglais ... mais j'ai oublié de modifier le titre ;-).

Sam.

ah ok :)

Vous commencez à fournir des infos, c'est une bonne chose ... mais c'est encore incomplet : cf A LIRE EN PREMIER.

En particulier, il est surprenant que vous ne fassiez pas de copies d'écran des règles que vous avez écrites : comment voulez vous que nous comprenions quelque chose ?

Pour la première question : quelles sont les règles sur l'interface WAN ? Il est probable qu'il y en a une qui correspond à l'accès à l'interface web de pfsense : créer une telle règle est une erreur car il ne faut pas administrer un firewall depuis le WAN ! (règle de bon sens)

Pour la deuxième question : qu'avez vous créé ? Un accès à un serveur web interne nécessite de créer une seule règle dans NAT Port Forward (qui en créé une automatique dans WAN, qui n'est pas à modifier !).

Non, non, vous avez bien 2 WAN : un primaire et un de secours, certes.

Vos clients sont sur le LAN, et ils ne doivent avoir qu'une seule gateway.

Plutôt vous vous organiserez de cette façon, plutôt vous y verrez clair.

Peut-être même que votre upload sera correct ...

Je sais bien que le portail captif est pour un usage local. La on veut l'utiliser pour gerer plusieurs site distant.

Bonsoir,
j'aurais une question est ce possible d'utiliser le portail captive d'un serveur pfsense installé sur google cloud dans un reseau local?
Merci d'avance !

@Gertjan said in CONFIGURATION ACME:

Salut,

Inutile poser la question ici : il suffit de lire d’abord.
Et t'as du voir que ça parle uniquement en VO ici - et le VO n'est pas Français, mais Anglais et/ou Américain. Autrement dit, perso va comprendre votre question. Donc : pas de réponse.

Regarde :

7454f310-b6b5-4db1-8a47-b94f076698d1-image.png

Je te conseille : Youtube => Netgate et regarde toutes les vidéos concernant le portail captif et 'acme'.
Puis, le manuel de pfSense est obligatoire.
Puis des milliers d'autres sites/vidéos etc.

grosso modo : un portail captif avec pfSense : ça se monte dans 10 minutes environ. Les vrais notions "IP" et "DNS" peuvent aider ici.
Du moment qu'on utilise le pacquet pfSense "acme" on a vu forcement le site de Letsenscrypt avant, on sais pourquoi ils sont là, ce qu'il font, que c'est, un certificat. les conditions nécessaires pour l'obtenir, etc.

merci mon portail est opérationnel seul acme me pose quelques soucis de configuration

en même temps, comme il n'y a pas (plus) de description du problème, c'est intéressant de marquer celui-ci comme résolu, avec une petite description succincte de la solution 😂

Bonjour à tous,

Tout d'abord, MERCI pour vos réponses et votre passion pour aider les autres.

Comme convenu, je reviens vers vous pour vous informer du résultat attendu sur un serveur de tests.
En effet, la fonction port forwarding fonctionne correctement (ce que je ne doutais pas). j'arrive donc bien à rediriger mes ports 80 et 443 sur mon serveur Web. Mon nginx me fait la partie RP. Pour le moment, je n'ai essayé qu'avec un seul site web, mais je pense que pour plusieurs ca sera identique dans la mesure ou mon nginx prend la charge et la redirection.

Merci pour votre aide sur ce sujet.

@jdh said in Question sur la configuration de Squid pour du multi-domaine (1 IP):

Je ne suis pas certain que le firewall soit le bon lieu pour faire du reverse-proxy (Squid est un package donc n'est pas créé par la Team Firewall ! En sus cela alourdit et fragilise le firewall !))

Il me semble bien plus logique de dédier une machine (en DMZ) à la fonction de Reverse Proxy.

Par exemple avec le projet Vulture

Bonjour @jdh ,

L'idée de Vulture est pas mal, j'en prends note et je vais voir pour l'intégrer à mon infrastructure.

Je t'en remerci.

Non pas de squid ici. Il n'y a aucun package complémentaire sur le pfsense hormis shellcmd (pour setter la gateway ovh) et open-vm-tools.

Capture du 2020-04-01 15-09-18.png

Je vais être encore plus explicite:
WAN --> interface internet
TOOLS --> lan pour l'industrialisation
DMZ --> lan pour front dmz
MIDDLE --> lan pour serveurs applicatifs --> 192.168.3.0/24
BACK --> lan pour les bases de données --> 192.168.4.0/24
MONITORING --> lan pour la supervision

Là j'essaie de ne permettre la communication entre MIDDLE et BACK uniquement sur le port 5432 (postgresql).

Sur MIDDLE:
Capture du 2020-04-01 15-03-01.png

Sur BACK:
Capture du 2020-04-01 15-05-22.png

Donc comme il est indiqué sur les captures, MIDDLE a droit de sortir vers 5432, mais ne devrait pas pouvoir rentrer sur BACK. Or là ça passe. Est-ce que l'ouverture est implicite pour pfsense et ne prend pas en compte la rule sur BACK ?

Wireshark voit des paquets OpenVPN, c'est bien.
(Mais il ne peut voir l'intérieur, et c'est heureux !)

Au niveau de pfSense, il y a le package ntop-ng (enfin je n'ai pas de pfsense depuis plusieurs années).

je n'y comprends rien, désolé.
quelle est la conf et le design, de quoi on parle ?

c'est sur ... Merci car en faisant cet effort j'ai trouvé :)

526f9e15-2bac-4a5d-9432-efda4776a29a-image.png

"Leftauth" c'est bien pour l'authentification en local?

La valeur pubkey est-elle bonne?