alors, juste une petite remonté d'info, j'ai reçu la bestiole,
bon, c'est austère, pas un papier, rien...et le pfsense n'était pas pré-installé (peut être que j'avais pas bien compris)

bon, j'ai donc installé un pfsense, j'ai pas formaté en zfs, j'avais lu un commentaire comme quoi les perf au boot étaient meilleur en ufs, alors je suis resté là dessus, aucune idée si c'est pertinent ou pas.

après , j'ai juste fait mes manip d'importation de conf, et ça marche nickel

mon premier ressenti :

les perf sur ntop sont légèrement supérieur à mon i3 optiplex (genre entre 7 et 10% je dirais)

ça chauffe pas trop, le silence est appréciable, et c'est super réactif, mieux que mon dell, c'est peut etre lié au ssd

pour l'instant j'ai juste transféré le flux du portail captif dessus pour voir la stabilité sur plusieurs jours, je vais faire des test de crash intempestifs (coupure de courant , même si il est sur onduleur, je veux tester toutes les possibilités)

puis à la fin je basculerai tout, en tout cas je suis assez content pour l'instant

J'ai qu'une seule arrivée internet et 2 lan. Il y a des serveurs sur les 2. Sur le premier pas besoin de dmz ou autre. sur le second il y a effectivement une dmz et les serveurs n'accèdent pas directement à internet. C'est proxyfié avec du squid.

Le 'problème' d'accéder en local avec la même url que sur internet, est très classique et souvent évoqué ici : split-dns ...
(ce n'est pas un problème pfSense)

Le problème de reverse proxy est lié à un défaut de maitrise de HA-Proxy (il existe d'autre reverse proxy probablement plus simple comme Nginx et qui supporte très bien le protocole ACME pour certificat Let's Encrypt).
(ce n'est pas un problème pfSense)

Je recommande d'utiliser le formulaire de présentation de problème A LIRE EN PREMIER.
C'est l'occasion de réfléchir à son problème, et c'est important ...
En particulier les règles existantes devraient être décrites ...

Là, il y a visiblement une sérieuse incohérence ... que je laisse chercher ...

'je souhaite ouvrir' : quelle difficulté ? Créer une règle est une chose basique pour un firewall ...

Bonjour,

Je m’excuse pour ma réponse tardive, j’ai eu beaucoup d’imprévu.

1000 merci à vous deux.

@jdh
Je comprends un peu mieux avec ton explication, car pas toujours facile de trouver explication, je ne suis pas anglophone je ne comprends pas toujours très bien sur les documents de pfsense, donc j’ai du mal à trouver les bonnes infos et je regarde avec tutos que je trouve sur le net, ce qui n’ai peut-être pas toujours le mieux.

@couteauabeurre
Superbe ton explication, je n’aurai jamais trouvé ce que tu as expliqué, cela fonctionne parfaitement et en plus tu as résolue un autre problème, car je voulais passer avec cloudflare.

J’aimerais bien trouver livre pfsense en français apparemment il n’est toujours pas sorti.

Le problème est résolu, j’ai juste le LAN2 qui n’est pas accessible via LAN1 lorsque le VNP est activer, ce qui fonctionne sens le VPN. Je vais regarder comment régler cela.

Encore un très grand merci à vous pour votre aide 😉 👍

J'ai passé trop de temps à chercher à résoudre cette problématique insoluble.
J'ai donc exporté toute la configuration et suis reparti d'une VM avec Pf 2.7 vierge.
Aucune excentricité de sa part, tout fonctionne.

@jdh @couteauabeurre

C’est bon ca marche . J’ai ajouter les P2 sur les sites A et B comme vous le l’avez conseillé sans avoir besoin de toucher aux paramètres des tunnels sur le site C vpc .

Merci beaucoup pour votre temps et vos conseilles .

Bonjour

Désolé de vous répondre tardivement mais le client était en congé et je ne pouvais pas faire de test.

J'ai regardé ce qui ne se charge pas. En fait ca bloque car c'est des scripts JS qui mettent bcp de temps à se charger et ensuite la page s'affiche

Cdt

@algama07
(Curieuse config et gros moyen pour config perso ...)

Perso, je suis dubitatif pour un bridge avec des interfaces de vitesse différente ... D'ailleurs, je suis toujours dubitatif avec des bridges dans un pfSense ...
Donc je laisserai le rôle de 'bridge' à un switch ...

Le message pourrait être lié à un problème de table ARP qui est compliqué dans le cas d'un bridge ...

Je ne vois pas bien l'utilité de 2 adresses DHCP et statique ... ni l'utilité de port 10G sur un firewall

Outlook vers O365 n'utilise probablement pas/plus smtp/imap/pop mais plutôt ActiveSync avec https.

Proxy ? Oui mais avec quels choix de paramétrages ?

Un proxy explicite et sans SSLBUMP est une NECESSITE : il y a tellement de gens qui décident de paramétrage sans en comprendre ni le sens ni les conséquences ...
En particulier HSTS va détruire tous ces choix inconséquents ...

voici la capture...pas très bavard je trouve....
Capture trafic ntp.JPG

ouf j'ai eu peur
Documente toi, forme toi
lis, lis beaucoup

@couteauabeurre
mais tu as parfaitement raison, ça marche
merci

@couteauabeurre

Oui effectivement je n'ai pas ajouté les cartes dans la VM.
le problème est réglé
Merci