@ccnet said in Questionnement sur PfSense- R&D: @hujino said in Questionnement sur PfSense- R&D: Sur le schéma j’ai indiqué les noms DNS que j’utiliserai afin d’attaquer le fw et mes serveurs web. Pas très clair. C’est surtout du IDS / IPS que j’aimerais implanter. Encore une fois ce type d'outils est gros consommateur de temps, de stockage et d'expertise. Dans une installation personnelle, je ne vous pas bien ce que vous allez pouvoir en faire. Vous ne dormez pas la nuit ?

Parce qu'on serait en mode 'test', on configurerait un serveur OpenVPN en choisissant udp/1194, puis on écrirait une règle onglet WAN sans reprendre udp/1194 ? Ca c'est super crédible ! (Le tout en ajoutant une règle onglet LAN qui autorise une sortie vers udp/1194.) Vous n'avez vraiment pas peur du ridicule ! En fait vous avez déjà décrit votre méthode : quand on vous demande pourquoi telle option, vous répondez 'a vrais dire je ne sais pas vraiment je l’ai mis la par déséspoir…' Eh bien non, configurer un matériel ou une solution logicielle, ce n'est pas espérer que ça va 'tomber en marche' ! Initialement, je voulais écrire que faire de l'OpenVPN en mode bridge était stupide, puis je me suis ravisé et écrit sur le site de référence (forcément), le site d'OpenVPN où on trouve nécessairement tous les bons conseils. Je me disais, un débutant devrait parcourir le site pour apprendre comment s'y prendre (comme je l'ai fait moi-même, il y a 15 ans ou plus). Peine perdue.

Oui c'est vrai. comme quoi il ne faut négliger aucune piste dans la recherche de solutions. C'est une bonne leçon.

Bonjour, J'ai résolu pas mal de problème, cependant, il en reste 1 dernier.. Le portail arrive bien à communiquer avec mon LDAP, car en allant sur le portail et en tapant mes logs, je reçois des trames sur mon serveur ldap. Cependant, il me dit "Invalid Crédentials specified" quand j'essaie de me logger. Les logs de PFSense "Jun 14 08:20:29 check_reload_status Reloading filter Jun 14 08:22:52 radiusd 99929 rlm_ldap (ldap): Opening additional connection (0), 1 of 2 pending slots used Jun 14 08:22:52 radiusd 99929 Need 1 more connections to reach min connections (2) Jun 14 08:22:52 radiusd 99929 rlm_ldap (ldap): Opening additional connection (1), 1 of 1 pending slots used Jun 14 08:22:52 radiusd 99929 (0) Login incorrect (Failed retrieving values required to evaluate condition): [randy.nguyen/mdp] (from client portail port 2222 cli 00-24-be-66-bd-38) " Au niveau du serveur ldap (/var/Log/dirsrv/slapd......./access) [14/Jun/2018:08:26:04.007943915 +0200] conn=1969 fd=119 slot=119 connection from 10.0.113.2 to 192.168.66.30 [14/Jun/2018:08:26:04.008424518 +0200] conn=1969 op=0 BIND dn="uid=admin,cn=users,cn=accounts,dc=connect,dc=e-serenity,dc=fr" method=128 version=3 [14/Jun/2018:08:26:04.009824503 +0200] conn=1969 op=0 RESULT err=0 tag=97 nentries=0 etime=0.0001815706 dn="uid=admin,cn=users,cn=accounts,dc=connect,dc=e-serenity,dc=fr" [14/Jun/2018:08:26:04.043873690 +0200] conn=1969 op=1 SRCH base="cn=users,cn=accounts,dc=connect,dc=e-serenity,dc=fr" scope=2 filter="(&(uid=randy.nguyen))" attrs="radiusauthtype radiussimultaneoususe radiuscalledstationid radiuscallingstationid lmpassword ntpassword sambaLMPassword sambaNTPassword dbcspwd userPassword acctflags radiusexpiration radiusnasipaddress radiusservicetype radiusframedprotocol radiusframedipaddress radiusframedipnetmask radiusframedroute radiusframedrouting radiusfilterid radiusframedmtu radiusframedcompression radiusloginiphost radiusloginservice radiuslogintcpport radiuscallbacknumber radiuscallbackid radiusframedipxnetwork radiusclass radiussessiontimeout radiusidletimeout radiusterminationaction radiusloginlatservice radiusloginlatnode radiusloginlatgroup radiusframedappletalklink radiusframedappletalknetwork radiusframedappletalkzone radiusportlimit radiusloginlatport radiusreplymessage radiustunneltype radiustunnelmediumtype radiustunnelprivategroupid radiuscontrolattribute radiusrequestattribute radiusreplyattribute" [14/Jun/2018:08:26:04.044930547 +0200] conn=1969 op=1 RESULT err=0 tag=101 nentries=1 etime=0.0001405252 [14/Jun/2018:08:26:04.166541519 +0200] conn=1970 fd=129 slot=129 connection from 10.0.113.2 to 192.168.66.30 [14/Jun/2018:08:26:04.166827485 +0200] conn=1970 op=0 BIND dn="uid=admin,cn=users,cn=accounts,dc=connect,dc=e-serenity,dc=fr" method=128 version=3 [14/Jun/2018:08:26:04.167635995 +0200] conn=1970 op=0 RESULT err=0 tag=97 nentries=0 etime=0.0001028495 dn="uid=admin,cn=users,cn=accounts,dc=connect,dc=e-serenity,dc=fr" Au niveau des configurations LDAP du portail : [image: 1528957784508-ldap-c-resized.png] Merci de vos futures réponses !

Et plutôt désagréable à utiliser. Avec 2900 messages je suis un nouvel utilisateur et de ce fait je ne peux pas poster deux messages à moins de 3 minutes intervalle.

Avez vous correctement mis en place les routes retour ? Sur le fond votre configuration réseau semble inutilement compliquée.

La présentation peut VOUS paraitre inutile dans ce cas ... Mais il s'est passé quelque chose et probablement cela tient à la 'connectivité', donc un examen détaillé du schéma de connexion est nécessaire ! Et comme vous ne pensez pas que cela soit utile ... La théorie est simple : entre A, où cela fonctionne, et B, où cela ne fonctionne plus, il s'est passé quelque chose et, nécessairement, il faut faire la liste des éléments qui ont changé, et n'en négliger aucun ! Pas d'infos, pas d'aide (possible) !

Nikel merci ça marche.

salut du coup j'ai reset et recommencé et depuis ça fonctionne , javais du faire une erreur mais ou je ne sais pas le problème est résolu merci de ton aide :)

Merci à tous d'avoir essayé de m'aider.

@focheur91300 said in OpenVPN DNS interne: Mais malheureusement pas les noms externes. Problème classique maintes fois traité sur ce forum (je ne sait ce qu'il reste de l'historique depuis cette migration avec cette interface ALC). Vous avez raison sur votre choix de principe pour dns. 192.168.1.1 doit utiliser un forwarder pour les noms qu'il ne connait pas. Il fourni une résolution pour les noms locaux.

Problème résolue et c'était un problème matériel, mais vraiment que vous vous intéressez sur des détails vraiment sans importance, qu'on perd le sujet sans trouver une solution.... j'ai mes raison de ne pas suivre RFC1918 et ça ne causera pas un problème, au lieu de parler sur ça vous avez pus me dire que vous ne connaissez pas la raison de problème ou bien ne me rependez pas. Franchement, j'ai participé à plusieurs forum surtout dans mon domaine d’expertise (administration système) et c'est le seule forum dont je le trouve louche au niveau des repenses avec respect pour quelques uns. Etre professionnel c'est d'aider même les gros nul sans les faire sentir qu'ils ne connaissent rien.

@awebster Hi.. i have put the dns of google 8.8.8.8 but the same problem!

;-)