Autres choses à vérifier:

Qu'il n'y a pas de switch utilisant HSRP, VRRP ou XRRP sur le VLAN, ou si oui que ton choix de VHID n'entre pas en collision avec. Qu'il n'y a pas de filtrage multicast dans ton réseau qui pourrait empêcher le flux des paquets CARP. Que le VLAN trunk sur VMWare indique le VLAN 4095 pour que tous les VLANs connus par la vSwitch sont livrés à l'instance. Que les mêmes configs (promiscuité, changements d'adresse MAC et permettre les transmissions forgées) sont appliqués au VLAN trunk. Que l'interface au niveau pfSense est la même des deux cotés (ex: vmx1 des deux cotés). Que les VLANs sont mappés 1 pour 1 (c-a-d VLAN 10 sur l'instance primaire = VLAN 10 sur l'instance backup). Que chaque VLAN utilise un VHID unique, ainsi que des VHID unique pour IPv4 et IPv6 si les deux sont présents dans un même VLAN.

Après toutes les vérifs ci-haut, sur l'instance qui devrait être backup, fermer le HA et ensuite en SSH faire:
tcpdump -e -n -i <interface> -s 0 -T carp multicast et voir si tu reçois les paquets VRRPv2 en provenance de l'instance primaire.
Ça devrait ressembler à ceci:

09:04:00.077221 00:00:5e:00:01:f6 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 70: xxx.xxx.176.43 > 224.0.0.18: CARPv2-advertise 36: vhid=246 advbase=1 advskew=0 authlen=7 counter=11725467964364491931 09:04:01.089294 00:00:5e:00:01:f6 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 70: xxx.xxx.176.43 > 224.0.0.18: CARPv2-advertise 36: vhid=246 advbase=1 advskew=0 authlen=7 counter=11725467964364491931

Bref la fin de l'adresse MAC source correspond au VHID, dans mon cas 246 = 0xf6, et l'adresse IP source xxx.xxx.176.43 correspond à mon instance primaire.

Si tu vois les paquets arriver, vérifie les valeurs Advertising frequency et Skew au niveau de l'adresse virtuelle CARP sur l'instance backup.
Personnellement, je trouve que ADV FREQ=10 et SKEW=100 sur l'instance backup marche mieux que les valeurs par défaut.

Finalement, si tu ne vois pas les paquets arriver, le problème est dans ton infra VMWare ou réseau, donc faire du sondage de la source jusqu'à la destination pour voir où ça drop.

Je te confirme que ce que tu veux faire marche, j'ai plusieurs paires en VMWare montés en HA qui marchent A-1.
Bon courage!

@jdh
Comme je l'ai expliqué dans ma réponse à ccnet, j'ai fait cette recherche, mais vous avez le droit de ne me pas me croire.

Par ailleurs, la réponse que je vous ai faite concernait plus les rapports entre êtres humains que les compétences professionnelles de chacun. Le "factuel" n'empêche pas d'être mesuré dans ses propos.

@ccnet Merci pour ce retour.
J'ai effectivement trouvé de nombreux articles sur le sujet mais aucun n'arrive "au bout" du problème. (Parfois de simple message du type : finalement j'ai trouvé la solution merci...).
Concernant les logs et la conf je ne l'ai volontairement pas exposé car, de la ou je viens, on regarde si des personnes sont prêtes à nous aider avant de dérouler une conf + log.
En tout cas je note vos remarques et vais me réorienter vers un forum/catégorie dédié à squid plutôt que pfsense.
Merci au passage d'avoir pris 5min pour répondre à ma demande tout de même ! :)

Salut, @ccnet

Merci je vais essayer!!

Concernant le VPN, il y a 2 possibilités (distinctes) :

le serveur VPN est sur le firewall, le serveur VPN n'est pas sur le firewall,

Le fait d'avoir le serveur VPN sur le firewall impacte celui-ci sur la performance mais c'est la place logique et naturelle pour filtrer les users VPN.

Inversement, si le serveur VPN est une machine interne, il faut intégrer à cette place le filtrage des machines accédées user par user, ce qui est moins simple.

De plus, quid du routage retour vers le client VPN ? Le site OpenVPN ou les tutos que l'on trouve pour créer un serveur OpenVPN interne (sous Linux) incluent souvent des lignes " iptables postrouting -j MASQUERADE" pour résoudre le problème de routage, ce qui est très loin d'être idéal !

Je préfère donc nettement la solution serveur VPN sur le firewall. (Même si je pratique aussi l'autre ...)

bonjour problème à moitié résolut.

Le problème venait de mon parefeux client sur mon ordinateur portable (bitdefender) je suis obligé de désactiver mon antivirus pour que ça fonctionne, quelqu'un a une solution svp ?

Une copie d'écran de vos règles sur l'interface lan visiteur serait plus utile pour comprendre .
La congif des interfaces et le routage en place aussi.

Un site full https est hautement souhaitable aujourd'hui. Surtout lorsque l'on affiche les prétentions professionnelles qui sont les vôtres.
Pour le formulaire de contact il y a un truc qui s'appelle RGPD aussi ...

Ce sujet a été traité une bonne dizaine de fois sur le forum. Avec un peu de recherche vous trouverez les réponses détaillées.

c'est la configuration et celui qui configure qui fait le résultat !

Et cela va encore mieux en le rappelant.
Enigma aurait pu être plus sûre si elle avait été mieux utilisée.

Voici les logs jusqu'au moment ou j'ai redémarrer la machine.

alt text

Merci @ccnet pour votre retour.

Alors depuis mon espace OVH je vois bien une passerelle mais sur mon VPS, il n'y a aucune passerelle de configurer...

2001:41d0:0305:2100:0000:0000:0000:0001

Effectivement le but de ma démarche et d'obtenir une passerelle afin d'interconnecté mon VPS avec un réseau exterieur.

Bonjour,

Je poste la réponse pour une personne qui en aurait besoin. Il fallait ajouter le certificat fullchain dans l'interface du reverse proxy au niveau certificat intermédiaire.
Merci pour toute votre aide
Cordialement

Tu pourrais par exemple mettre en place un portail captif pour un réseau wifi dédié auquel se connecteraient ces tablettes et qui n'aurait accès qu'su site que tu souhaites autoriser.

C'est vraiment succinct comme description de problème. difficile de t'aider.
Squidguard fonctionne en redirecteur de Squid. Donc je suppose que tu as également installé Squid et que celui ci fonctionne correctement.

salut salut

je ne pense pas, que dit le site officiel des développeur sarg ? il va etre plus rapide de passer par là.
N'étant pas un partisan de squid sur un router/parfeu, je vous invite plus a monter une vm ou un machine physique pour dédié, vous pourrez plus faire ce que vous voulez avec squid, il est notable qu'installer un squid ne permet pas toujours d'ajouter des add on et leur support n'est pas souvent assuré ou avec un gros décalage de version.

cordialement.

nota avec le peu d'information il est difficile de vous répondre au mieux.

Salut,

Je peut comprendre que "Windows" détecte très facilement que la connexion vers un serveur de vérification des licences n'est pas sure, car MITM. la consultation fonctionne plus, il va l'afficher.

A mon avis il n'y rien à faire pour contrer ça - et le jour que tu arriveras, t’auras trouvé une astuce pour duper l'authentification de ton OS ......

Bonsoir,

Merci pour ses réponses constructives :)

Avec du recul j'ai pas du tout été clair dans ma requête et je m'en excuse sa concernait l'interdiction du ping vers une machine mais c'est résolu.

@ccnet said in Configuration OpenVPN dans pfSense:

Je ne vois pas comment cela peut fonctionner !

Moi non plus 😕
De plus, avoir un service qui écoute sur le LAN pour des connexions qui viennent d'internet, c'est très étrange. Bref, il y a peu de chances que ça marche comme ça.

@ccnet said in Questionnement sur PfSense- R&D:

@hujino said in Questionnement sur PfSense- R&D:

Sur le schéma j’ai indiqué les noms DNS que j’utiliserai afin d’attaquer le fw et mes serveurs web.

Pas très clair.

C’est surtout du IDS / IPS que j’aimerais implanter.

Encore une fois ce type d'outils est gros consommateur de temps, de stockage et d'expertise. Dans une installation personnelle, je ne vous pas bien ce que vous allez pouvoir en faire. Vous ne dormez pas la nuit ?

Parce qu'on serait en mode 'test', on configurerait un serveur OpenVPN en choisissant udp/1194, puis on écrirait une règle onglet WAN sans reprendre udp/1194 ? Ca c'est super crédible ! (Le tout en ajoutant une règle onglet LAN qui autorise une sortie vers udp/1194.) Vous n'avez vraiment pas peur du ridicule !

En fait vous avez déjà décrit votre méthode : quand on vous demande pourquoi telle option, vous répondez 'a vrais dire je ne sais pas vraiment je l’ai mis la par déséspoir…'

Eh bien non, configurer un matériel ou une solution logicielle, ce n'est pas espérer que ça va 'tomber en marche' !

Initialement, je voulais écrire que faire de l'OpenVPN en mode bridge était stupide, puis je me suis ravisé et écrit sur le site de référence (forcément), le site d'OpenVPN où on trouve nécessairement tous les bons conseils. Je me disais, un débutant devrait parcourir le site pour apprendre comment s'y prendre (comme je l'ai fait moi-même, il y a 15 ans ou plus). Peine perdue.