@free4 Merci je vais voir ça et je vous revient

@ccnet Merci pour l'information

@gertjan Merci Monsieur mais je ne retrouve pas la section ou je doit choisit la langue Française.
Merci pour l'aide

@chris4916 said in Pfsense1 proxy & Pfsense2 Portail captif:

Quel est l'intérêt de faire croire au navigateur que le proxy est en 10.10.0.1 pour ensuite faire un forward/NAT depuis pfSense ?

D'autant que l'exploitabilité des logs du proxy va être dégradée.

@joseph-watever-j said in Connexion IPSec Site to Site:

@chris4916 j'ai pas compris

Qu'est-ce que vous ne comprenez pas ?
La question est de vérifier si l' identifiant du système distant est bien l'ip publique du wan (distant).

C'est dommage que vous fournissiez des copies d'écran mais aucun adressage ! Utilisez de préférence le formulaire A LIRE EN PREMIER.

Il est notable, et nous l'avons maintes et maintes répété, qu'il est difficile de comprendre ce qu'il se passe dans un environnement virtualisé car il faut être expérimenté et dans le firewall et dans la virtualisation !

Mais, et c'est la principale raison, vous n'avez pas de bases très sérieuses en 'réseau' car quand vous écrivez des règles en fixant le port source, elles ne risquent pas de fonctionner !

J'autorise une machine à accéder à un serveur DNS, c'est :

ip source = la machine port source = * (et non 53) ip destination = le serveur dns port destination = 53 (là c'est essentiel !) protocole = udp (voire udp+tcp)

Vos règles sont toutes écrites avec un port source fixé, ce qui ne peut fonctionner !

Perso, je décrit mes règles avec
l2w srvDC flux dns
pour l2w = LAN to WAN, srvDC = le serveur que j'autorise à accéder à DNS, flux dns = parce que la règle concerne ce flux
et bien sûr j'utilise à fond les alias avec une normalisation des nom d'alias en fonction de l'usage :
lanXXXX (les réseaux),
extXXX (les ip publiques externes de prestataires),
ipXXX (les ip publiques présentes),
srvXXX (les serveurs internes),
portXXX (les n° de ports).

Ccnet, qui reste le seul secours sur ce forum, a raison de vous indiquer que FTP est à banir, et est déjà banni de pfSense (sauf ...).

Salut,

pfSense, une fois installé avec paramétrage par défaut n'est guère différant qu'un "box" de base. Si quelque chose cloche, faut chercher up-stream (t'as bien dit IP publique comme 192.168.87.10 : donc t'as un routeur en face de pfSense)
Cad : rien est filtré. Toutes les connections LAN vers WAN (normalement : Internet) sont permis.
"captcha " n'est qu'un tas de script (Java ou autre) présent dans un flux html, un routeur comme pfSense n'a pas influence sur le données (normalement) T'as changé de navigateur ou procédé à un reset de ton cache navigateur ?

NAT ? Il suffit de rien toucher pour que tout marche. NAT, c'est utile dès qu'on utilise le vieux protocol comme IPv4 et on cherche à rendre accessible un appareil derrière pfSense (sur ton ton LAN par exemple).

PS : Décoche "Block private networks and loopback addresses" sur l'interface WAN.

Ce n'est pas ce qui manque. Il y a juste un petit problème : vous n'avez pas le droit de surveiller les utilisateurs de cette façon. Le droit à la vie privée reste incontournable, quand bien même l'utilisateur commet une faute. Il y a une jurisprudence assez constante sur le sujet.

Bonjour,
Je suis désolé, si le ton du post est pris comme de la haine, c'est à 100 milles lieux de mes pensées.
C'est tout au plus un agacement.
J'ai passé pas mal de temps à lire la doc sur certains sites et celui-ci en particulier, et je n'ai pas trouvé ou compris ce que je cherchais. Alors après avoir passé du temps à lire des documents ou références, j'ai oublié d'écrire que j'avais lu la documentation. Mea Culpa
Après je comprends bien par expérience que l'on soupçonne vite les personnes de ne pas chercher avant de demander....
Si mon second message a été mal pris, je m'en excuse (surtout à ccnet)...

Sur le fond :
Bref historique avant migration :
Plusieurs sites distants raccordés à mon site principale. Ces liens sont fournis en niveau 2 par Covage en fibre optique.
Sur chaque sites distants j'ai un switch d-Link sg-1100, dans lesquels sont paramétrés mes vlans.
Mes différents Vlans sont remontés sur la pfsense,le réseau marche bien, les dhcps sont bien actifs sur mes vlans.
Tout marche nickel.

En cours de migration : (mon problème :) )
Nous avons décidé d'upgrader nos sites en terme de débit.
Le fournisseur est venu installer un nouveau tronc de collecte, et nous fournit aujourd'hui les liens toujours en niveau 2.
Aujourd'hui, le fournisseur fournit ses liens en QinQ avec un vid distinct pour chaque site.
Si le switch est vierge de toute configuration, je récupère bien sur la pfsense les différents vlans fournisseurs et je peux travailler avec.
Seulement sur certains sites avec un switch configuré pour faire passer plusieurs vlans (port trunk vers le rad optique) je ne voyais arriver sur la pfsense.
Je pense avoir compris la décapsulation du côté de la pfsense, en créant un interface QinQ et en lui associant mes vlans, bien que je ne sois pas sûr quels interfaces assignés (ceux des vlans encapsulés et/ou le QuinQ lui-même).
Du côté du switch (site distant) par contre je sèche, après avoir essayé plusieurs config ; dès que je 'trunk' le port du switch vers le rad ou que je le met explicitement en tagged, je n'ai plus rien... Je me demande en fait si mon switch est bien compatible ou bien si c'est moi :) J'ai cherché sur le net, mais les réponses sont parfois contradictoires.

J'espère avoir fourni + d'explications.

dsl encore du mauvais ton qui n'en était pas un ;)

Entendons nous bien : si j'écris 'rare', c'est que le besoin est 'rare' (voire très), le cas normal est le mode NAT avec tous les réseaux protégés de WAN (et des autres) derrière le firewall.

Je ne fais pas peur, j'explique certaines utilisations de certains protocoles, et cette utilisation est souvent méconnue ! Avec un bridge, par nature 'transparent', des choses incompréhensibles apparaissent, alors que les mêmes sont compréhensibles 'à cause du NAT'. Pour donner un exemple, je dirais NFS qui utilise Udp et signale avec Icmp.

Avec un firewall, sur la patte Wan, il y a lieu d'autoriser Icmp/8 = echo : ça répond au ping ne donne que peu d'informations.

@jdh said in filtrage https avec wpad:

Il est factuel que vous écrivez 3 lignes : rien à voir avec le fil de 40 lignes, les bons liens, les bons conseils

😂 😂 😂
Ce n'est pas la taille qui compte 😉

Effectivement, ce fil risque fort de disparaitre.
Je dois reconnaitre que de ce point de vue, tu es assez efficace.

@arso96 : le filtrage par adresse MAC, ce n'est pas très efficace et assez facilement contournable. Un proxy avec de l'authentification utilisateur, c'est mieux, d'autant que selon le cadre de déploiement de ta solution, tu risques de devoir fournir une information "nominative".

Bonsoir à tous,
Merci pour vos réponses.
En effet l'usage d'un VPN serait moins dangeureux.
Je vais tenter de le mettre en service.
Cela protégera un peu plus mes équipements.

Je m'occupe de l'infra d'un groupe muti-sites (en cours d'intégration).
Ainsi j'ai une certaine variété de firewall, de messagerie, de ...

J'ai plusieurs Exchange : certains avec relais mail, d'autre non, et tous sans reverse proxy pour la partie HTTPS. Donc je sais que c'est mal.

Le minimum c'est d'avoir un relais mail, et ça c'est assez facile : une debian avec Amavis/SpamAssassin/Clamav (ou, mieux, RSpamd).
Ensuite, il faudrait un reverseproxy pour https (OWA et ActiveSync alias EAS pour les smartphone). Mais à partir d'Outlook 2013, il y a possibilité d'utiliser EAS aussi quand on n'a pas d'accès direct par réseau local ou presque, il ne faut pas l'oublier !

IIS en reverse proxy, oui bien sûr, mais quel contrôle ? Je ne vois aucun contrôle possible avec IIS, mais je ne suis pas spécialiste.

A minima, essayer avec un Squid en reverse proxy sur une bête Debian. Mais autant c'est simple en http, autant le problème de certificat complique le problème en https. L'idéal serait de savoir si Exchange peut faire OWA et EAS sans https, parce que le problème du certificat serait ainsi limité au reverse proxy.

C'est hors scope, mais je préconise fortement un relais mail.
Rien que pour tracer les mails entrants et sortants, parce que voir quelque chose sur le serveur Exchange, bon courage ...

Il y a un formulaire A LIRE EN PREMIER : pensez à l'utiliser ...

Vous fournissez assez peu d'informations : vous risquez d'obtenir des réponses incorrectes a cause de cela ! Mieux vaut fournir trop que pas assez !

Je suppose que votre pfsense connait 2 réseaux WAN et LAN.

Un serveur Openvpn fonctionne de la façon suivante :

un client se connecte, se met d'accord sur les protocoles et s'authentifie, le client reçoit une adresse parmi le 'tunnel network' le client reçoit le réseau auquel il peut accéder = le 'local network'

Ici, le 'local network' est forcément le LAN.

Ce qu'il y a à faire

créer un alias LANVPN créer une règle onglet LAN : accept ip LAN vers LANVPN créer une règle onglet OpenVpn : accept ip LANVPN vers LAN

@focheur91300 said in Problème SquidGuard ACL avec inspection SSL:

en fessant de l'inspection SSL.

En dehors du fait qu'elle va peut être crier ( à force de la fesser), c'est une très mauvaise idée à la fois pour des raisons juridiques (RGPD entre autre) et techniques quid avec les sites qui ont activé la PFS ?

Je vais essayer tout ca
merci pour ton aide

Merci @ccnet

C'est parfait, pour WAN et La Management Network. Tout ça va être fait.

Par contre, pour l'histoire des synology et le serveur des développeurs, je m'excuse de ne pas m'être expliqué.
Toute cette configuration est vieillissante et va complètement disparaître, tout ça va être remplacé par :

4 VM pour les développeurs (Gestion de projet, Plateforme et BDD) 1 VM pour FreeNAS (Nouvelles directives) 1 VM pour ONLYOFFICE (Nouvelles directives) Le rôle des Synology sera changé (temporairement) à des fins de sauvegarde, ils seront gardés probablement jusqu'à l'achat d'une solution plus adéquate.

Le DL380 g8 date lui aussi de 3 ans mais tiendra la route. 2CPUs et 64Gb de RAM et 8 HDD SAS.
Donc, mon souci, faire intégrer le réseau des développeurs temporairement jusqu'au changement d'où le besoin immédiat de faire fonctionner les 2 cartes LAN et une fois que s'est fait, plus tard, une seule de ces cartes me suffira pour la connexion aux Synology.

Merci @ccnet et je m'excuse encore fois d'avoir omis de parler de ça.

@elberton said in recherche dans les journaux:

Je n'arrive pas à trouver où je peux visualiser les journaux

Hallucinant !
En admettant que ce soit un peu difficile (ce qui est loin d'être le cas) il y a la doc de pfsense.

Ensuite FTP est proscrire absolument.

To moderators : please move this post to the French section. Thanks ! (ping @johnpoz )

Ensuite, le problème du portail captif qui réapparaissais après l'authentification peut avoir plusieurs causes. J'en vois au moins 2 la comme ça :

Peut être que tu n'as pas remplis de "Pre authentication URL" ? C'est une URL "par défaut" que tu peut rentrer dans les paramètres...en gros le portail captif redirigera un visiteur sur cette URL uniquement s'il ne sait pas vers quel site le rediriger après une authentification réussie. Peut être que tu as tenté de modifier les paramètres du portail captif alors que tu était connecté ? (cf message de @Gertjan )

Il y en a peut être d'autres....Mais pourquoi ne pas installer la version 2.4.4 comme tout le monde ? la v2.3.5 est EOL et des bugs ont été résolus sur le captive portail depuis....

Avez vous lu la doc de ce produit : https://www.netgate.com/docs/pfsense/solutions/xg-7100-1u/#
et en particulier : https://www.netgate.com/docs/pfsense/solutions/xg-7100-1u/switch-overview.html