Mes excuses. j'ai manqué de préciser qu'au niveau des sous réseaux des VLANs que c'était aussi du 192.168 (ça tombait sous le sens pour moi vu que j'avais dit que le LAN était 192.168.33.0/24 donc je n'ai pas pas pris le temps de réécrire 192.168 devant) Je reprends. Réseau LAN: 192.168.33.0/24. Gateway: 192.168.33.110 (addresse du pfsense) DHCP et DNS un windows server en 192.168.33.210 Réseau VLAN 45: 192.168.200.0/24 (réseau mis en place pour tests) Gateway : 192.168.200.1 (Ip du pfsense) DHCP range (192.168.200.10-192.168.200.20) DNS: 192.168.200.1 (Le pfsense) Réseau VLAN 180: 192.168.35.0/24 (Réseau de téléphonie) Gateway : 192.168.35.1 (Ip du pfsense) DHCP range (192.168.35.10-192.168.35.230) DNS: 192.168.35.1 (Le pfsense) Réseau VLAN 170: 192.168.192.0/24 (Sert à un seul équipement et sort via une IP publique différente des autres réseaux) Gateway : 192.168.192.254 (Ip du pfsense) DHCP range (192.168.192.10-192.168.192.20) DNS: 192.168.200.1 (le pfsense) Réseau VLAN 180: 192.168.36.0/24 (Réseau Wifi public) Gateway : 192.168.36.1 (Ip du pfsense) DHCP range (192.168.36.10-192.168.36.200) DNS: 192.168.36.1 (Le pfsense)

@Lanstack said in VPN Ipsec - relay DHCP : NOK: https://goopics.net/i/ntusa5 Le lien de mon lab : https://goopics.net/i/ntusa5

@F4FAQ_Xavier said in Coupure interface reseau: Atom(TM) CPU D525 Ce processeur date de 2010. Logiquement les drivers associés aux ports Ethernet doivent être capables de passer le débit. Mais c'est le processeur qui fait tourner le code des drivers ... Les drivers utilisent de la mémoire comme tampon, y en a-t-il assez ? Il est possible qu'un boitier plus moderne fasse correctement passer ce débit, même avec un simple Celeron ... Il y a eu des fils sur des boitiers modernes et peu couteux ...

@jdh merci pour ton intérêt à mon poste et j’adore la phrase d’einsten ! En gros j’ai un utilisateur en interne qui accède à un logiciel sur un serveur et il y accède avec une ip fixe qui est dans le réseau 192.168.13.0/24 sauf que mon vpn me fournis une ip en 10.0.8.0/24. Du coût il ne peut pas accéder au serveur.

J’ai enfin trouvé !

@mr_nets waiiiii!!!!!!!!!!!!! super!!!!!!!!!!!!!!!!!!! le cadeau de Noël!!!!! merci pour votre aide

@Gertjan Merci pour vos conseils. Enfaite c'est l'aviation civile donc ce n'est pas un wifi "public". Il est pour ceux qui viennent passer leur brevet de pilotage, des employés d'autres sites qui viennent etc. Les comptes qui ont accès au portail sont créées par des "secrétaire". On fait partie d'un ministère et mon maitre de stage m'a dit qu'il doit être en mesure de tout fournir en cas d'audit ou quelque chose comme ça. Moi j'applique ce qu'on me demande. De même, il était partit sur 0 dépense, sauf pour un potentiel certificat, il a fait une exception. On va dire que la demande est de filtrer des sites, logs et un portail captif. Ils ne veulent pas analyser 24h/24 (enfin je pense ). Pense-tu que PfblockerNG pourrai faire office de bloqueur de site, vu qu'il travail au niveau DNS, il déchiffre pas les trames HTTPS. J'ai vu pour squid qui n'est plus supporté, je trouve ça étrange, dans pfsense il y a la version 0.4.46 et sur le site la dernière version c'est la 6.5 qui date du 7 décembre ... Mais vu que j'ai pas de chance, je le vois à la fin après avoir passé 2 jours sur un doc word clean Merci et bonne soirée

@Victor-5 Je pense (mais je n'en suis pas sûr) que tu peux jouer avec l'option "State Timeouts" le passer de normal à Agressive Voir en bas de page pour la comparaison entre les 2 https://wiki.evolix.org/HowtoOpenBSD/PacketFilter Mais rien ne sera "immédiat" Ensuite si tu veux appliquer immédiatement ta règle aux flux impactés, il faudra passer par du scripting pour : injecter ta ou tes regle(s), lister les flux impactés et tuer les anciens flux identifiés Tuer tous les états correspondant à des IP source et/ou destination Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 : # pfctl -k 192.0.2.0/24 Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 et dont l’IP destination est 198.51.100.10 : # pfctl -k 192.0.2.0/24 -k 198.51.100.10 Tuer tous les états dont l’IP destination est 198.51.100.10, peu importe la source : # pfctl -k 0.0.0.0/0 -k 198.51.100.10

@Issa2023 Hello, tout d'abord, je te conseille de limiter le nombres de ligne en optimisant tes regles via l'usage d'alias exemple : regrouper sous un alias "web_ports" le 80 et le 443 [image: 1701428134905-97db1b4c-67af-4ab8-8f06-04ba96c4e61c-image.png] alias port pour application steam [image: 1701428060913-e47af2af-cdcc-417d-bb8f-7bb7c70bdeee-image.png] Ceci rendra tes règles plus lisible et facile si tu souhaites ensuite les désactiver Ensuite, si tu souhaites ne pas ouvrir tous les ports vers internet, il faut identifier les règles nécessaire à tes applications https://support.activision.com/articles/ports-used-for-call-of-duty-games idem créer d'abord un alias ou 2 si tu souhaites distinguer les ports par protocoles dans tes regles ce qui te donnera ensuite quelquechose comme cela (c'est un exemple) [image: 1701428398569-9956674a-c8bc-4a7f-82d2-85adb3190e17-image.png] Ensuite si ça ne marche toujours pas regarde dans tes logs du firewall ce qui est bloqué [image: 1701428576599-9a1d0cc9-b4da-4770-9af2-7923b5157d10-image.png] Cherche TCPView de sysinternal , il peut t'aider à identifier les ports utilisés par une app en particulier sur ton pc

@oberte On trouve vite que splice est une nouvelle action de bump : cela reste du transparent (et c'est mal). J'ai X fois dit ce qu'il y avait à dire sur le proxy transparent ou l'interception SSL. Je n'utilise plus que pfSense que pour mon usage perso. Mais professionnellement le problème demeure. HSTS est une méthode simple pour que le navigateur vérifie le non-remplacement du certificat : les sites vont aller vers HSTS, donc le principe du proxy transparent va disparaitre. Un proxy explicite est ce qu'il faut faire, point.

alors, juste une petite remonté d'info, j'ai reçu la bestiole, bon, c'est austère, pas un papier, rien...et le pfsense n'était pas pré-installé (peut être que j'avais pas bien compris) bon, j'ai donc installé un pfsense, j'ai pas formaté en zfs, j'avais lu un commentaire comme quoi les perf au boot étaient meilleur en ufs, alors je suis resté là dessus, aucune idée si c'est pertinent ou pas. après , j'ai juste fait mes manip d'importation de conf, et ça marche nickel mon premier ressenti : les perf sur ntop sont légèrement supérieur à mon i3 optiplex (genre entre 7 et 10% je dirais) ça chauffe pas trop, le silence est appréciable, et c'est super réactif, mieux que mon dell, c'est peut etre lié au ssd pour l'instant j'ai juste transféré le flux du portail captif dessus pour voir la stabilité sur plusieurs jours, je vais faire des test de crash intempestifs (coupure de courant , même si il est sur onduleur, je veux tester toutes les possibilités) puis à la fin je basculerai tout, en tout cas je suis assez content pour l'instant

J'ai qu'une seule arrivée internet et 2 lan. Il y a des serveurs sur les 2. Sur le premier pas besoin de dmz ou autre. sur le second il y a effectivement une dmz et les serveurs n'accèdent pas directement à internet. C'est proxyfié avec du squid.

Le 'problème' d'accéder en local avec la même url que sur internet, est très classique et souvent évoqué ici : split-dns ... (ce n'est pas un problème pfSense) Le problème de reverse proxy est lié à un défaut de maitrise de HA-Proxy (il existe d'autre reverse proxy probablement plus simple comme Nginx et qui supporte très bien le protocole ACME pour certificat Let's Encrypt). (ce n'est pas un problème pfSense)

Je recommande d'utiliser le formulaire de présentation de problème A LIRE EN PREMIER. C'est l'occasion de réfléchir à son problème, et c'est important ... En particulier les règles existantes devraient être décrites ... Là, il y a visiblement une sérieuse incohérence ... que je laisse chercher ... 'je souhaite ouvrir' : quelle difficulté ? Créer une règle est une chose basique pour un firewall ...

Bonjour, Je m’excuse pour ma réponse tardive, j’ai eu beaucoup d’imprévu. 1000 merci à vous deux. @jdh Je comprends un peu mieux avec ton explication, car pas toujours facile de trouver explication, je ne suis pas anglophone je ne comprends pas toujours très bien sur les documents de pfsense, donc j’ai du mal à trouver les bonnes infos et je regarde avec tutos que je trouve sur le net, ce qui n’ai peut-être pas toujours le mieux. @couteauabeurre Superbe ton explication, je n’aurai jamais trouvé ce que tu as expliqué, cela fonctionne parfaitement et en plus tu as résolue un autre problème, car je voulais passer avec cloudflare. J’aimerais bien trouver livre pfsense en français apparemment il n’est toujours pas sorti. Le problème est résolu, j’ai juste le LAN2 qui n’est pas accessible via LAN1 lorsque le VNP est activer, ce qui fonctionne sens le VPN. Je vais regarder comment régler cela. Encore un très grand merci à vous pour votre aide