La probabilité est forte pour que le dysfonctionnement soit lié à un problème matériel. Il serait donc utile que vous donniez des informations sur le matériel utilisé pour faire fonctionner Pfsense, notamment en ce qui concerne les cartes réseaux.

j'ai essayer les autres en 100 méga aussi mais rien n'y fait.

Je ne comprend pas. Il doit manquer un mot.
En résumé c'est une SDSL 100Mbits et avec le Sonicwall vous tenez le débit, sans perte de paquets. C'est bien cela ?

je pense que nous ne sommes pas compris

la 4g ou autre mode utilisé par les réseaux gsm ne peuvent pas servir de serveur vpn parce que

d'une part l'ip fourni par l'opérateur est partagée d'autre part le débit entrant et sortant ne permet que l'utilisation en mode client une autre part qui elle est implicite, cette fois ci coté opérateur, les ports sont le plus souvent fermés en plus du partage d'ip pour du multi client gsm.

++

Mise à jour avec les informations nécessaires :)

Le XG 7100 est un produit tordu. Nous en avions commandé deux (cluster) pour un client. Nous les avons renvoyé car pas moyen de faire ce que l'on souhaitait. En particulier présence de vlans quasi incontournable et impossibilité de dédier un port physique à l'administration et au wan donc incompatible avec la politique de sécurité. Séparation physique des flux insuffisante.
Je ne sais pas si vous avez lu cette doc :
https://www.netgate.com/docs/pfsense/solutions/xg-7100-1u/switch-overview.html

il faut definir ces services dans ton reverse proxy, y compris collabra (je suppose que tu l'as fait) mais il ne faut pas que l'appel à wopi se fasse par son adresse IP: un fqdn est obligatoire.
A défaut, l'autre option consiste à réécrire l'URL au niveau du reverse proxy.
Pas sûr que ce soit simple avec Squid.
Tu peux faire ça avec Nginx en revanche mais pas avec pfSense 😉

Tout remettre à plat soigneusement semble nécessaire, tout comme le dépôt d'une plainte.

Bonjour,

webserverone a l'adresse 172.16.0.10/24 il est dans ma partie DMZ.
10.0.0.254/24 est l'adresse de la carte pfsense, mon WAN est lui sur l'adresse 10.0.0.10/24.

Je viens de découvrir la commande "9) pfTop.
Quand je fais un nmap -Pn -p80,443,8080 10.0.0.254 par exemple, je vois bien mon adresse source et la bonne adresse de destination 172.16.0.3:8080 mais je n'y accède pas !
0_1538493692335_pfTop.PNG

Si cela peut aider ?

Merci pour la réponse.
C'est bien ce que je pensais, en fait ce n'est pas nécessairement un besoin mais c'était pour être sûr.
En gros, il ne faut pas mettre à jour les différents package directement dans FreeBSD.
Je ne vais donc rien toucher et mettre à jour qd c'est nécessaire juste à travers l'interface Web de pfSense.
Encore merci.

desole du temps de reponse
je n'avais jamais parlé de radius cqr jusque la ils n'y en avais pas.
Malheureusement, le projet est annulé.

@tatave said in OpenVPN nomades avec certificats pour multi-sites:

sujet de plus en plus intéressant.

Certes mais qui est bien loin de pfSense, sans formulaire en plus 😂 😂 😂 cependant, tant qu'on ne se fait pas repérer par la police, profitons-en :
les fonctionnements diffèrent selon les éditeurs de solution. Un produit comme packetfence, que je ne trouve pas terrible comme NAC au niveau de la gestion des policy, peut directement aller mettre à jour les règles des FW.
Pas pfSense cependant pour autant que je sache 😕

un exemple d’implémentation assez similaire à ce que tu veux faire, si je comprends bien.

Et à lire également: https://redmine.pfsense.org/issues/5112

Bonjour,

j'ai une partie de la solution, il faut encore que je teste quelques points.

Sur le pfsense client (home dans mon cas), j'ai ajouté dans la configuration du client openvpn, section customs la directive :

redirect-gateway def1;

Ensuite, dans les règles du firewall, section LAN, je choisis la gateway de sortie. Donc pour résumer, la sortie internet par défaut, est celle se trouvant sur le pfsense ovh, et j'adapte les gateway via les règles du firewall pour les équipements de mon réseau à domicile.

Encore quelques tests, mais ça me semble bien. Merci Tatave pour le tuyau.

Bien sûr, on ne parle pas ici de proxy en mode transparent parce que dans ce cas, c'est trivial mais le mode transparent du proxy présente de gros inconvénients.

La réponse n'est pas dans WPAD mais éventuellement dans la gestion des exceptions:

WPAD n'est que le moyen d'automatiser la découverte du proxy si ton proxy est "avant" le portail captif, tu as compris que ça ne marche pas car le premier qui accède à un site va faire déclencher la règle qui va autoriser le proxy à traverser le FW... pour tous les utilisateurs du proxy. si ton proxy est "après" ton portail captif, alors ça ne marche pas car tu n'atteindras pas le proxy tant que le portail captif n'aura pas autorisé le flux... sauf si tu définis, manuellement au niveau du browser ou du proxy.pac une exception qui dit au browser que pour accéder à certaines pages, il faut y aller sans passer par le proxy.
Mais ça impose bien sûr à l'utilisateur d'accéder "manuellement" à cette page avant de naviguer sur internet via le proxy une fois les flux autorisés.
A partir de là, en en accédant à cette page "autorisée" tu vas y aller en direct, être intercepté par le portail captif qui va autoriser ensuite les flux venant de ton IP, y compris vers le proxy.

Ce n'est pas aussi sexy qu'un mode "tout automatique" et transparent.
Mais quel est l'usage de ce portail captif ? D'informer les utilisateurs de manière obligatoire ou bien de les authentifier ?

Merci pour vos reponses mais là je crois que je n'ai pas le niveau requis je comprends tout ce que vous dites mais ne sait comment le faire

@pHoEnIxFuRy, la raison la plus probable que cela marche pas en UDP est fréquemment relié à l'une des deux choses suivantes:

La longueur du certificat client ou serveur dépasse 1472 octets;

Il y a un élément dans le réseau entre ton serveur et ton Smartphone qui bloque les paquets UDP fragmentés, ou plus précisément les paquets ICMP indiquant que la fragmentation est nécessaire, et donc par conséquent toute donnée UDP dépassant 1472 octets. En utilisant plutôt TCP la fragmentation est gérée automatiquement par le protocole, mais en générale, en bout de ligne, c'est moins efficace.

Tu peux essayer les éléments suivants dans la config client pour voir si en réduisant la taille des paquets ça aide. 1200 c'est drastique mais c'est un essai avant tout, si ça marche tu peux essayer des valeurs plus élevées.

mssfix 1200 tun-mtu 1200

Je suggère aussi de faire une recherche sur OpenVPN et MTU.

Salut salut

au final il y a deux écoles ou plutôt deux courants

ceux qui mettent des pf derrière des box ou routeur de FAI et on la pleine gestion de leur réseaux à partir du PF ceux qui mettent des pf en lieu et place des box ou routeur de FAI et c'est à partir de ce point qu'ils ont la pleine gestion de leurs réseaux.

Pour débuter il conseiller de commencer par le premier point, les embûches sont moindre et facilement surmontables.
A contrario, le deuxième point est plus conseiller pour des utilisateurs avertis et expérimenté dans les en général et de solide compétence dans les réseaux type FAI.

Pour avoir vu les deux montages avec des liaison fibre, j'ai vu effectivement des différences notable coté débit mais coté technique la mise en œuvre cela à été bien velu et hors de mon niveau actuel je le reconnais bien volontiers. De plus cela demande aussi l'acquisition de matériels en plus et donc de penser au budget qui y est associé, comme des téléphone IP par exemple et monter une machine pour la gestion de la téléphonie IP physique ou virtuelle, donc des compétences en plus.
Au final cela des compétences du niveau d'un gars ayant suivit les formations cisco en téléphonie, FAI, réseaux, et aussi sécurité. perso c'est du très haut niveau pour un particulier qui n'est pas forcement de la partie, même là s'il est de la partie l'investissement peu en rebuter et refroidir certain.

Bon courage

J'aime beaucoup cette conception particulière (mais oh combien répandue) qui consiste à poser une question dans un forum comme si c'était un centre de support:
le "client": - j'ai un problème avec tel ou tel point
le "support: - ça peut être ceci ou cela
le "client" : - merci ça marche

De mon point de vue, et probablement du point de vue des autres participants au forum, ça ne présente aucun intérêt. Sans un minimum d'explication sur quel était finalement le problème et comment il a été résolu, je pense que le sujet n'intéresse que celui qui a posé la question, donc pas les membres du forum. Est-ce bien alors le bon endroit pour obtenir "du support" ?

La CNIL aussi a un avis ...

Un proxy oui si on considère que le flux est principalement du HTTP (ce qui, avec la tendance à aller de plus en plus vers tout as a service est de plus en plus vrai) mais il y a en effet d'autres solutions comme darkstat pour obtenir une compréhension un peu plus fine de comment, par protocole, la bande passante est consommée.
Au final il est assez probablement que le résultat soit HTTP mais au moins, comme ça, tu sais le quantifier.
Ceci dit, si l'objectif est de faire de la QoS, comme celle-ci va se gérer par protocole... la solution présente, à mon avis, un intérêt limité et la question risque fort de se terminer par comprendre qui consomme quoi dans le flux HTTP, ce qui nous ramène au proxy avec des delay pools, par exemple

Non effectivement je n'y ai vraiment pas pensé du tout!...

Merci pour les liens et les explications je m'en vais potasser la doc et faire mes testes, vous risquer peut être de me revoir sous peux... ^^!

effectivement je ne trouve pas cela très pratique d'utilisé un smartphone et encore moins du Mac..., mais à vrais dire j'ai quelque clients pro qui utilise des iPad par exemple et qui souhaite accéder aux ressources réseaux, surtout les partages réseau, d'ou mes quelques recherches pour si un jours je doit remplacer les Sonicwall en question, ( et surtout par ce que je débarque sur PFsense et qu'il me plait énormément du coup je voudrait connaitre toutes les possibilité!)

pour ce qui est de ton exemple je crois que l'ont peux le mettre sur beaucoup de choses dans ce domaine, les gens ne cherche pas a comprendre quoi que ce sois ce qui est grisent certaine fois pour nous...

dans tous les cas un grand merci pour votre temps et vos conseille!

je passe le sujet en résolut!