To moderators : please move this post to the French section. Thanks ! (ping @johnpoz ) Ensuite, le problème du portail captif qui réapparaissais après l'authentification peut avoir plusieurs causes. J'en vois au moins 2 la comme ça : Peut être que tu n'as pas remplis de "Pre authentication URL" ? C'est une URL "par défaut" que tu peut rentrer dans les paramètres...en gros le portail captif redirigera un visiteur sur cette URL uniquement s'il ne sait pas vers quel site le rediriger après une authentification réussie. Peut être que tu as tenté de modifier les paramètres du portail captif alors que tu était connecté ? (cf message de @Gertjan ) Il y en a peut être d'autres....Mais pourquoi ne pas installer la version 2.4.4 comme tout le monde ? la v2.3.5 est EOL et des bugs ont été résolus sur le captive portail depuis....

Avez vous lu la doc de ce produit : https://www.netgate.com/docs/pfsense/solutions/xg-7100-1u/# et en particulier : https://www.netgate.com/docs/pfsense/solutions/xg-7100-1u/switch-overview.html

ben j'ai essayé avec le navigateur opera et ça fonctionné même en tapant https://www.google.com comme s'est mentionné dans le lien que vous avez envoyé, apparemment s'est lié au navigateur, et que s'est la mise à jours de chrome à causé ça

bonjour, Merci a tous, j'installer sur du matériel physique le pfsense est du HP en tour et le sonicwall est le boitier du propriétaire je sais pas si c'est un problème avec les cartes réseau ou un problème avec le mtu Merci

@Norris : Pouvez vous cesser de poster ce type de message qui ne servent à rien ?

Why would you be hiding a local rfc1918 address? Why would you tell your clients to use 2 different DNS that can not resolve the same thing... 8.8.8.8 for sure is not going to resolve your local stuff... Nor would you ever want to be sending to the public internet your local names in the first place.. You can never be sure which NS a client will use when you give them more than 1.. If they happen to ask 8.8.8.8 for host.localdomain.tld they would get back NX and never go and ask the other NS listed..

@dirisi Personne n'est en mesure de m'aider?

donc, si je reformule: "lorsque des règles de FW sont modifiées, la connexion entre les sites interconnectés en OpenVPN tombe et ne remonte pas de manière automatique" c'est ça ? dans l'affirmative, cette description est l'opposé de ce que le titre de ton fil décrit d'où la confusion. Bien que ça ne réponde pas exactement à t question: pourquoi ne le fais-tu pas en IPSec ? J'ai plusieurs réseaux maillés en IPSec qui se reconnectent seuls sans aucun souci. Dans l'exemple que tu montres, la déconnexion est normale puisque l'IP WAN a changé (ou en tous cas, le FW le pense). Quel coté du tunnel redémarres-tu ?

Merci. J'examinerai la question plus tard aujourd'hui.

Merci beaucoup de ces réponses rapides et précises. Effectivement mes recherche simples sur le sujet ne m'avait pas permis de trouver cette cause, mais maintenant je comprend mieux (d'autant que forcément je touchais le setup en faisant mes différents tests...). Je vais aussi poursuivre mes expériences avec ce que tu m'a détaillé... ++

Je comprend mal cet entêtement avec une solution qui ne marche pas et qui n'est vraiment pas sûre. et pour renforcer la sécurité nous avons souhaiter mettre la box et la carte wan de pfsense dans un >autre vlan 520 d'autre vlan son défini pour le réseau d'entreprise ou l'accès à internet s'en trouve plus restreint L’élément de base d'une segmentation réseau ne saurait être l'usage de Vlan. C'est d'abord une question d'architecture liée au firewall. Les Vlans ne venant qu'ensuite pour partager les supports physiques. Dans votre cas vous devriez ne pas avoir besoin de Vlan. nous souhaitons faire du proxy transparent car la box est en accès libre pour nos utilisateur via, pour 90% des cas, de leur propre devices personnel. Donc nous ne pouvons pas nous permettre une authentification proxy. Cette solution n'est pas défendable par rapport aux obligations réglementaires. En cas de problème, le représentant légal est pénalement responsable et le restera dans votre cas.

Je serai assez intéressé pour connaitre votre référence juridique le fait qu'utiliser une ip publique évite de loguer. Les FAI aussi seraient intéressés ! Nous préférons utiliser l'ip publique individuelle plutôt que de loguer. A notre avis, c'est largement suffisant pour répondre à toute demande judiciaire du type "qui était derrière telle ip tel jour à telle heure ?". Loguer ne sert à rien dans notre cas. D'autant que la loi (règles Arcep) n'accompagnent leurs règles d'aucune obligation de moyens. Par ailleurs vous cherchez absolument à faire fonctionner Pfsense (comme n'importe quel firewall) d'une façon qui ne correspond pas à la réalité. Je conviens effectivement que je me sers davantage de Pfsense comme d'un routeur plutôt que d'un firewall. Et c'est pas bien ... mais c'est historique dans notre réseau. Oui effectivement, il faut changer ça. A bientôt.

normalement avec freeradius ces possible

Bonjour Chris4916, Merci de ta réponse. Alors sur pfs-1, quand je vais dans la conf du serveur openvpn, j'ai le champ "IPv4 Local Network/s" : 10.0.0.0/10,10.64.0.0/10,10.128.0.0/10 10.128.0.0/10 c'est une autre partie du réseau que je n'ai pas mis dans le schémas, parce que la problématique est identique, et que j'adapterais la solution à cette partie là aussi. ET, pfs-1 sait communiquer auprès de 10.64.0.0/10 (puisqu'Alice et Bob communiquent sans problème). Coté client, voici les routes que j'ai une fois connecté au VPN : IPv4 Table de routage =========================================================================== Itinéraires actifs : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 0.0.0.0 0.0.0.0 172.17.255.254 172.17.2.2 25 10.0.0.0 255.192.0.0 10.250.0.5 10.250.0.6 35 10.64.0.0 255.192.0.0 10.250.0.5 10.250.0.6 35 10.128.0.0 255.192.0.0 10.250.0.5 10.250.0.6 35 10.250.0.1 255.255.255.255 10.250.0.5 10.250.0.6 35 10.250.0.4 255.255.255.252 On-link 10.250.0.6 291 10.250.0.6 255.255.255.255 On-link 10.250.0.6 291 10.250.0.7 255.255.255.255 On-link 10.250.0.6 291 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 172.17.0.0 255.255.0.0 On-link 172.17.2.2 281 172.17.2.2 255.255.255.255 On-link 172.17.2.2 281 172.17.255.255 255.255.255.255 On-link 172.17.2.2 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 10.250.0.6 291 224.0.0.0 240.0.0.0 On-link 172.17.2.2 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 10.250.0.6 291 255.255.255.255 255.255.255.255 On-link 172.17.2.2 281 =========================================================================== A titre de comparaison, voici les routes de Alice: IPv4 Table de routage =========================================================================== Itinéraires actifs : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 0.0.0.0 0.0.0.0 10.2.1.1 10.1.6.13 25 10.0.0.0 255.192.0.0 On-link 10.1.6.13 281 10.1.6.13 255.255.255.255 On-link 10.1.6.13 281 10.63.255.255 255.255.255.255 On-link 10.1.6.13 281 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 10.1.6.13 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 10.1.6.13 281 =========================================================================== Dernière chose, j'ai essayé de reprendre la manip depuis le début, et donc de suivre le parcours utilisateur "lambda". Depuis pfsense, en exportant la conf client, je télécharge l'installeur .exe avec la conf pour "moi". Une fois installé sur le pc, je n'arrive pas à me connecter. J'ouvre la conf avec blocnote (le fichier .openvpn) et surprise : remote 192.168.3.1 1194 J'ai remplacé par : remote 56.xxx.xxx.xxx 1194 <- l'ip publique de BOX 1 et non son ip privé : je suis connecté, mais je me retrouve dans le cas indiqué dans mon message précédent. J'ai quand même cherché dans PFsense pourquoi l'ip privé est indiqué, et sur la page pfs-1/vpn_openvpn_export.php -> l'onglet client export d'openvpn, j'ai le champ "Host Name Resolution" : interface IP address Or si je change sur "Other" avec la valeur : 56.xxx.xxx.xxx (L'ip publique de Box 1), je n'ai pas de bouton pour enregistrer ... Je ne sait pas si le problème est lié ?

@jdh said in carte reseau usb: @ccnet : dis moi, c'est la combien-tième fois que tu écris qu'il y a une HCL ? 100, 200, ... Heureusement pour ma santé mentale, je n'ai pas compté !! Cela pourrait finit par me déprimer.

@ccnet oui