Rappels pour le lecteur qui prendrai le fil en cours : un nouvel inscrit (rto) a initié le fil avec 'j'ai un pfsense 2.4.4 et il perd sa connexion à internet chaque semaine, que faire ? Merci'. j'ai répondu par une question qui, constate qu'il n'y a pas la moindre information et le renvoie à cette absence et la conséquence évidente. eh bien il l'a mal pris ... s'est senti 'attaqué' et 'abaissé'. et il a repris le formulaire, l'a rempli avec le minimum d'information et, bien sûr a récriminé. ensuite, il a fini par admettre n'avoir donné aucune info mais maintenu son ressenti ... et en faisant la leçon ! enfin, il a supprimé ses posts et s'est désinscrit. (d'où les manques ...) (je note lui avoir donné plus qu'une piste, mais même pas vu !) Ce fil est, hélas, typique et tout à fait caractéristique. Ces dernières années, il est hyper fréquent de voir ce type de fil : initié par un nouveau (ou presque), pas d'infos, pas de recherches et récrimination quand on souligne l'absence d'infos et bien sur l'absence de formulaire rempli, bien sûr avec 'sur les forums ceci' et la 'leçon' pour que les sachants transmettent leur savoir et ne lèvent pas la tête ... Eh bien non, les forums existent et font partie de la vie, avec tout ce qui peut la rendre agréable ou désagréable ... En particulier, sur un forum, quel qu'il soit, la politesse est ABSOLUMENT nécessaire et TOTALEMENT indispensable : quand on sollicite une aide à des gens qui ont plus de savoirs et qui ne refusent pas de le transmettre (avec le temps nécessaire, il parait évident que l'on doit le demander poliment. Qui peut attendre un bon résultat quand il commence par manier un fouet ? De plus, il est PARFAITEMENT évident que, pour obtenir une réponse adaptée, il faut fournir au préalable des informations, voire des informations supplémentaires quand les premières n'ont pas suffit ou qu'il faille faire des tests avoir le retour. Qui veut aller à une certaine distance sans mettre le moindre centi-litre d'essence dans son véhicule ? Cela n'est qu'un bon sens totalement élémentaire ... Cette dérive inexorable, je vais en donner l'issue (mais pas l'échéance !). Parce que vous ne voulez pas le croire, mais c'est ni plus ni moins que LA MORT de ce forum. Et je suis d'autant plus à l'aise pour l'annoncer que j'ai participé plusieurs années à un autre forum du même type qui est MORT et disparu. Vous ne me croyez pas ? Allez ... Les questions réellement intéressantes, combien y en a-t-il eu la dernière année ? 200, non, plutôt 20 ou 10 ou peut-être moins ... La faute à qui ? les sachants ? Non, bien sûr, ils ont fait vivre le forum. On les insulte, on les décrie, on les rabroue, et on ne les défend pas ! Oh ils ne demandent pas à être remerciés, juste à n'être pas en permanence écrasés d'insultes ... Ils partent, les uns après les autres. Où sont-ils, combien en restent ils : une poignée, c'est dire si la fin est proche ... Surement moins de 2 mains et encore celles d'un amputé ... les nouveaux (de génération Y ou Z, les assistés)? Oui évidemment. Mais ils n'en auront aucune conscience, une question et puis s'en va ... la modération ? Oui, bien sûr un peu ... La modération, ici, est NEUTRE, totalement neutre et effacée : ne pas prendre partie, ne pas blesser. Mais la neutralité n'a jamais produit quelque chose de bon (à part la Suisse, et encore si on apprécie les gens qui ont de l'argent à y placer ...) Personnellement, la modération doit s'exercer et la sanction doit exister pour les emmerdeurs, ceux qui poussent le bouchon, ceux qui provoquent inutilement, et il y en a et en a eu ! Rto a pris la bonne décision ... car il a compris, un peu tard, mais il a encore trop de fierté, alors autant griller le pseudo ! En ce qui me concerne, je travaille en entreprise depuis plus de 30 ans, et avec aujourd'hui, plus de responsabilités que jamais. Et transmettre mon savoir ne m'a pas posé de problèmes. J'ai même commencé par un service national au service de la ... formation ... de chômeurs. Après 10 ans (+ ?) sur ce forum, d'ici 1 semaine, je n'aurais plus le moindre pfsense sous la main, alors ... Il y en a qui ne veulent pas comprendre que le forum n'est que ce que la somme y apportent ... Et la somme use ... à force d'abuser ! J'espère avoir écrit une conclusion plus qu'honorable ... d'un tout petit fil, inintéressant et inutile. Bien évidemment, je n'attends aucune réponse à ce post, cela va de soi ! Il faut quand même terminer par Chris, l'homme qui tente de s'approprier ce forum (il répond sur tout, en moins de 20 minutes, plus de posts en 2 ans que moi en 10 ans, et encore sur l'année passé il a molli ... faute de fils !), l'homme à la réponse floue (à force de dire une chose et son contraire dans le fil suivant), qui conteste tout (à commencer par excuser qui ne fournisse aucune information, à continuer en ridiculisant le formulaire, et multipliant 'sur ce forum'), solidaire de rien ni de personne, toujours prêt à enfoncer les autres (ce fil en est le pur exemple), et ... qui est arrivé trop tard sur ce fil où, faute d'infos il n'y avait pas grand chose à dire ! Oh mais il n'a pas oublié d'apporter son seau (sa citerne ?) d'huile à mettre sur un feu ... qui n'a jamais existé. Il aime les mots et en joue, veut faire la morale (lisez ce qu'il écrit après le départ de rto) : qui tu es 'gros connard' pour venir faire ta morale aux autres et découragez les autres sachants ? (Regardez le nombre de répondants juste avant son arrivée et aujourd'hui ... navrant !)

La probabilité est forte pour que le dysfonctionnement soit lié à un problème matériel. Il serait donc utile que vous donniez des informations sur le matériel utilisé pour faire fonctionner Pfsense, notamment en ce qui concerne les cartes réseaux. j'ai essayer les autres en 100 méga aussi mais rien n'y fait. Je ne comprend pas. Il doit manquer un mot. En résumé c'est une SDSL 100Mbits et avec le Sonicwall vous tenez le débit, sans perte de paquets. C'est bien cela ?

je pense que nous ne sommes pas compris la 4g ou autre mode utilisé par les réseaux gsm ne peuvent pas servir de serveur vpn parce que d'une part l'ip fourni par l'opérateur est partagée d'autre part le débit entrant et sortant ne permet que l'utilisation en mode client une autre part qui elle est implicite, cette fois ci coté opérateur, les ports sont le plus souvent fermés en plus du partage d'ip pour du multi client gsm. ++

Mise à jour avec les informations nécessaires :)

Le XG 7100 est un produit tordu. Nous en avions commandé deux (cluster) pour un client. Nous les avons renvoyé car pas moyen de faire ce que l'on souhaitait. En particulier présence de vlans quasi incontournable et impossibilité de dédier un port physique à l'administration et au wan donc incompatible avec la politique de sécurité. Séparation physique des flux insuffisante. Je ne sais pas si vous avez lu cette doc : https://www.netgate.com/docs/pfsense/solutions/xg-7100-1u/switch-overview.html

il faut definir ces services dans ton reverse proxy, y compris collabra (je suppose que tu l'as fait) mais il ne faut pas que l'appel à wopi se fasse par son adresse IP: un fqdn est obligatoire. A défaut, l'autre option consiste à réécrire l'URL au niveau du reverse proxy. Pas sûr que ce soit simple avec Squid. Tu peux faire ça avec Nginx en revanche mais pas avec pfSense

Tout remettre à plat soigneusement semble nécessaire, tout comme le dépôt d'une plainte.

Bonjour, webserverone a l'adresse 172.16.0.10/24 il est dans ma partie DMZ. 10.0.0.254/24 est l'adresse de la carte pfsense, mon WAN est lui sur l'adresse 10.0.0.10/24. Je viens de découvrir la commande "9) pfTop. Quand je fais un nmap -Pn -p80,443,8080 10.0.0.254 par exemple, je vois bien mon adresse source et la bonne adresse de destination 172.16.0.3:8080 mais je n'y accède pas ! [image: 1538493687385-pftop.png] Si cela peut aider ?

Merci pour la réponse. C'est bien ce que je pensais, en fait ce n'est pas nécessairement un besoin mais c'était pour être sûr. En gros, il ne faut pas mettre à jour les différents package directement dans FreeBSD. Je ne vais donc rien toucher et mettre à jour qd c'est nécessaire juste à travers l'interface Web de pfSense. Encore merci.

desole du temps de reponse je n'avais jamais parlé de radius cqr jusque la ils n'y en avais pas. Malheureusement, le projet est annulé.

@tatave said in OpenVPN nomades avec certificats pour multi-sites: sujet de plus en plus intéressant. Certes mais qui est bien loin de pfSense, sans formulaire en plus cependant, tant qu'on ne se fait pas repérer par la police, profitons-en : les fonctionnements diffèrent selon les éditeurs de solution. Un produit comme packetfence, que je ne trouve pas terrible comme NAC au niveau de la gestion des policy, peut directement aller mettre à jour les règles des FW. Pas pfSense cependant pour autant que je sache

un exemple d’implémentation assez similaire à ce que tu veux faire, si je comprends bien. Et à lire également: https://redmine.pfsense.org/issues/5112

Bonjour, j'ai une partie de la solution, il faut encore que je teste quelques points. Sur le pfsense client (home dans mon cas), j'ai ajouté dans la configuration du client openvpn, section customs la directive : redirect-gateway def1; Ensuite, dans les règles du firewall, section LAN, je choisis la gateway de sortie. Donc pour résumer, la sortie internet par défaut, est celle se trouvant sur le pfsense ovh, et j'adapte les gateway via les règles du firewall pour les équipements de mon réseau à domicile. Encore quelques tests, mais ça me semble bien. Merci Tatave pour le tuyau.

Bien sûr, on ne parle pas ici de proxy en mode transparent parce que dans ce cas, c'est trivial mais le mode transparent du proxy présente de gros inconvénients. La réponse n'est pas dans WPAD mais éventuellement dans la gestion des exceptions: WPAD n'est que le moyen d'automatiser la découverte du proxy si ton proxy est "avant" le portail captif, tu as compris que ça ne marche pas car le premier qui accède à un site va faire déclencher la règle qui va autoriser le proxy à traverser le FW... pour tous les utilisateurs du proxy. si ton proxy est "après" ton portail captif, alors ça ne marche pas car tu n'atteindras pas le proxy tant que le portail captif n'aura pas autorisé le flux... sauf si tu définis, manuellement au niveau du browser ou du proxy.pac une exception qui dit au browser que pour accéder à certaines pages, il faut y aller sans passer par le proxy. Mais ça impose bien sûr à l'utilisateur d'accéder "manuellement" à cette page avant de naviguer sur internet via le proxy une fois les flux autorisés. A partir de là, en en accédant à cette page "autorisée" tu vas y aller en direct, être intercepté par le portail captif qui va autoriser ensuite les flux venant de ton IP, y compris vers le proxy. Ce n'est pas aussi sexy qu'un mode "tout automatique" et transparent. Mais quel est l'usage de ce portail captif ? D'informer les utilisateurs de manière obligatoire ou bien de les authentifier ?

Merci pour vos reponses mais là je crois que je n'ai pas le niveau requis je comprends tout ce que vous dites mais ne sait comment le faire

@pHoEnIxFuRy, la raison la plus probable que cela marche pas en UDP est fréquemment relié à l'une des deux choses suivantes: La longueur du certificat client ou serveur dépasse 1472 octets; Il y a un élément dans le réseau entre ton serveur et ton Smartphone qui bloque les paquets UDP fragmentés, ou plus précisément les paquets ICMP indiquant que la fragmentation est nécessaire, et donc par conséquent toute donnée UDP dépassant 1472 octets. En utilisant plutôt TCP la fragmentation est gérée automatiquement par le protocole, mais en générale, en bout de ligne, c'est moins efficace. Tu peux essayer les éléments suivants dans la config client pour voir si en réduisant la taille des paquets ça aide. 1200 c'est drastique mais c'est un essai avant tout, si ça marche tu peux essayer des valeurs plus élevées. mssfix 1200 tun-mtu 1200 Je suggère aussi de faire une recherche sur OpenVPN et MTU.

Salut salut au final il y a deux écoles ou plutôt deux courants ceux qui mettent des pf derrière des box ou routeur de FAI et on la pleine gestion de leur réseaux à partir du PF ceux qui mettent des pf en lieu et place des box ou routeur de FAI et c'est à partir de ce point qu'ils ont la pleine gestion de leurs réseaux. Pour débuter il conseiller de commencer par le premier point, les embûches sont moindre et facilement surmontables. A contrario, le deuxième point est plus conseiller pour des utilisateurs avertis et expérimenté dans les en général et de solide compétence dans les réseaux type FAI. Pour avoir vu les deux montages avec des liaison fibre, j'ai vu effectivement des différences notable coté débit mais coté technique la mise en œuvre cela à été bien velu et hors de mon niveau actuel je le reconnais bien volontiers. De plus cela demande aussi l'acquisition de matériels en plus et donc de penser au budget qui y est associé, comme des téléphone IP par exemple et monter une machine pour la gestion de la téléphonie IP physique ou virtuelle, donc des compétences en plus. Au final cela des compétences du niveau d'un gars ayant suivit les formations cisco en téléphonie, FAI, réseaux, et aussi sécurité. perso c'est du très haut niveau pour un particulier qui n'est pas forcement de la partie, même là s'il est de la partie l'investissement peu en rebuter et refroidir certain. Bon courage

J'aime beaucoup cette conception particulière (mais oh combien répandue) qui consiste à poser une question dans un forum comme si c'était un centre de support: le "client": - j'ai un problème avec tel ou tel point le "support: - ça peut être ceci ou cela le "client" : - merci ça marche De mon point de vue, et probablement du point de vue des autres participants au forum, ça ne présente aucun intérêt. Sans un minimum d'explication sur quel était finalement le problème et comment il a été résolu, je pense que le sujet n'intéresse que celui qui a posé la question, donc pas les membres du forum. Est-ce bien alors le bon endroit pour obtenir "du support" ?

La CNIL aussi a un avis ...