@chris4916:

Et il y a plein de problème à peu près similaires décrits dans la section anglaise du forum  ;)

J'ai parcouru le forum de long en large et en travers avant de poster mon message de désespoir ;D

@Tatave:

1 - il faut paramétrer l'interface wan et lui dire qu'il y a une gateway attachée à cette interface wan,

Et le problème était bien le paramétrage WAN qui plantait tout.
Une connexion ADSL avec une latence autour des 800 - 1200 ms mettait tout en état down. La passerelle ne répondait pas.
Ce qui m'a induit en erreur c'est que pour ce client, j'ai d'abord mis en place une VM Hyper-V pour tester les bases.
En passant à la version hardware, je n'ai pas pris en compte le fait que le NIC est devenu frontal et non plus géré par un switch virtuel qui outrepasse ce phénomène de latence. Ce n'était pas une carte dédiée… Mais où sont passées les bests practices  :P

@Tatave:

2 - dans general setup fixer les dns de votre fai ou d'autre avec l'inteface gateway

J'ai mis 8.8.8.8 et 8.8.4.4 je ne dois pas être le seul  ::)
Par contre je confirme la corruption des requêtes DNS par le FAI qui détruit le DNSSEC. Mais bon, je ne suis pas là pour critiquer les FAI il y aurait trop à dire.

@Tatave:

juste par précaution faire une sauvegarde avant de procéder.

Ca me parait être une sage précaution. Surtout que ce serveur risque de passer en semi production pour des tests avec des utilisateurs réels.
Je marche sur des œufs, j'ai 41 clients (pas users) en attente d'une solution fiable (à bas coût) pour remplacer les anciens firewall que j'avais mis en place. Une MAJ majeure sans changement de build non débrayable remplaçant Bind par Unbound DNSSEC obligatoire sauf à modifier ou plutôt bidouiller le code source après chaque update…

Merci pour votre aide.

idem + notification admin

@kalistyan:

Qu'en pensez vous ?

J'en pense que:

1 - ton pfSense de test sans off-load est moins performant que ta LiveBox et peut-être bien limité par le CPU ?
2 - Si tu montes un pfSense avec le même CPU (Atom 330) avec des cartes réseau qui supportent de l'off-load, ça devrait arranger les choses. Est-ce suffisant ? je ne sais pas  :P

Ok au temps pour moi, la lecture n'était pas parfaite.

Néanmoins, prenez de bonnes habitude : la source d'une règle de l'onglet WIFI doit être 'WIFI net' !

Bonjour,

La box Numericable est en mode Bridge ou en mode routeur ?
=> IPSEC n'aime pas du tout le NAT -> Option : Nat traversal

My 2 Cents

De façon surprenante, j'ai monté, le jour exact de ce fil, un firewall pfSense de 2.1.5 à 2.3.2 … et je n'ai pas eu le même succès !

Après analyse, c'est le fait que les interfaces n'étaient pas les mêmes :

initialement, le firewall était monté avec un SDSL (wan) + une ADSL (opt1), la ligne SDSL a été remplacé par une FIBRE (opt2), à la réinstall wan devait correspondre à la FIBRE.

Ma méthode :

j'ai ajouté un disque (et débranché l'ancien, pour ne pas risquer d'écrire dessus) j'ai gravé un CD et lancé une install fraiche install sur le disque dur, puis config WAN+LAN, changement d'ip sur le LAN j'avais ensuite l'intention de faire backup et d'éditer des parties du fichier .xml à partir du backup de la première version

En fait, à de nombreux endroits, on trouve wan, opt1, ... et non le nom logique des interfaces.
Si on n'y prend pas garde, les sections d'origine doivent être copiées et corrigées attentivement ...

De plus, des virtuals ip ont dû passer de 'virtual-ip' à 'proxy-arp' pour fonctionner tel que prévu.

En gros, j'ai recréé à la mano les 2/3 des objets/config et copié 1/3 des objets (certificats, quelques services, alias, ...)

Cela prend du temps mais il n'est pas si mal de revenir en 1 fois sur des réglages étalés sur 2/3 ans !

Ouais, je vois… mh, pas simple en effet.

Salut salut

Kali, bon c'est déjà çà, problème identifié par la team pf.
En espérant que cela soit résolu au plus vite par une release ou un hotfix prochain.

++

Il est notable que

par défaut, une install pfsense fonctionne (LAN vers WAN) du fait de la règle créée automatiquement pfSense fonctionne avec du matériels 'standards' et a une liste de matériels compatibles il est connu que les interfaces wifi et usb/ethernet sont difficilement compatible le test de pfsense via virtualisation échoue, parfois, faute de … compétence et de compréhension

J"observe souvent que certains débutants

ne respectent ni ne comprennent le formulaire A LIRE EN PREMIER n'ont pas une attitude 'scientifique' indispensable lors d'une expérimentation ne se mettent jamais en cause quand ils 'oublient' d'informer sur certains éléments

Ici l'absence d'information sur l'utilisation d'un matériel exotique explique largement que les lecteurs n'aient aucune piste ...

@Tatave:

salut salut

et faire une copie du hdd de la machine vers l'autre ? et rajout des params de la première ?
J'en conviens cela n'est pas très orthodoxe mais bon a tenter.
autre idée, switcher les hdd entre les machine et voir si avec le hdd de l'autre la machine remonte bien, après cela pourra être une piste pour mettre hors de cause la mise a jour ou le hdd, les reste malheureusement cela risque d'etre plus tendu.

++

Une autre technique serait de refaire une installe propre, de configurer les bases manuellement (interfaces, packages, etc) d'exporter la configuration, et de les fusionnez manuellement via un editeur de texte, section par section, puis de réimporter la config fusionner qui ne contiendra que les règles, CA, USER, OPENVPN, etc …
C'est ce que j'avais fait quand je suis passé d'un Lanner LEC-2126 à nos OSnet FWA-7010, si tu le fait en prenant ton temps, ce sera nickel.

Cordialement.

@edge42:

Custom options : push "redirect-gateway def1"

Au niveau de la conf je doit pas être trop loin mais toujours pas moyen de faire transiter le traffic web.

Je suis à votre disposition pour tous renseignements complémentaires

Bonjour edge42,

As tu crée un règle qui autorise le trafic internet sur Open-VPN ?
Autres piste, est tu sur de la commande push ?

Bien cordialement.

@jdh:

Concernant le DNS, il est à conseiller d'avoir une seule machine interne qui réalise les requêtes DNS pour toutes les machines du réseau.

Ce peut être pfSense (qui a ses propres règles d'accès), ce peut être un serveur Windows (contrôleur de domaine).

Il est donc à éviter d'écrire une règle qui donne un accès dns à n'importe quelle machine du réseau (sauf la machine qui a ce rôle).

Certe, quand ça marchera il aura tous loisir de limiter ses règles de mettre en place un DNS interne ou autre, pour le moment il n'a pas forcément intérêt à "sertir" quelques choses de non fonctionnel, ^^
Si l'essaie n'est pas concluant par contre, il devra supprimer la règle.

Salut salut.

Ho un nouveau !!!

Quel est son niveau de connaissance ou de compétences dans le domaine ?
perso ? pro ? étudiant ? rien ?
Mais qu'a t il fait comme recherche ?
Qu'a t il mis en place ?
Quel est son architecture réseau ?
Beaucoup de questions, pas beaucoup d'information.

Et comme vous etes un nouveau comme vous le dites, merci de suivre ceci https://forum.pfsense.org/index.php?topic=79600.0

Bon je trolle encore ou vous avez compris ?

Cordialement.

ps ; je suis resté soft la prochaine fois non.

J'ai essayé de mettre les éléments identiques.

Le problème est qu'il faut être certain.
Essayer en désactivant de part et d'autre le mode Agressiv.
Il semble que la SA soit détruite juste après avoir été établie. D'autres équipements qui vous appartiennent sur le trajet ?
Le routeur Digi est à jour de son firmware? Il y a tellement de cause possible à votre problème ….

Bonjour
1- ceci me permet d’économiser une machine physique et cela reste du perso
Ci joint l'archi

2 et 3 - la bascule n'est pas testée car si je branche les 2 machines ça me fait une loop et le trafic écroule tout

4- je ne connais pas linux pour le script, je demande un peu d'aide

Merci pour vos réponses

archi.jpg_thumb
archi.jpg

oui bien sûr, les policy routing se font par port donc pas de problème.

Après plus de 2 jours de recherche j'ai enfin compris.

Le problème est connue de la dernière version de PfSense.

Pour vérifier si il s'agit du même problème lancer une commande ssh si vous avez un accès, sinon redémarrer votre PfSense en single user: cat /etc/ttys Si le fichier est vide c'est que vous avez le problème.

Solution :

booter en mode single user et taper ces commandes

mount -a -t ufs
mv /etc/ttys /root/ttys.old
tar xv -C / -f /usr/local/share/pfSense/base.txz ./etc/ttys
/sbin/reboot

Et voila à nouveau votre menu

Bonsoir,

Il ne faut pas mélanger des réseaux physique et virtuel sur une même interface  ;)

Quand on fait du Vlan il ne FAUT PAS donner de configuration IP à la carte, seulement lui affecter des Vlan.

Faite un test avec cette recommandation car je ne pensse pas que votre problème vienne du CP ou du squid.

Cordialement

Sur les forums, il est généralement d'usage d'ouvrir un nouveau fil lorsqu'il y a une nouvelle question. Ce n'est pas très grave mais juste pour ton information.

le fonctionnement de pfSense, ce ce point de vue, est très simple.
La règle s'applique, comme pour beaucoup de firewall, sur l'interface entrante.

Par exemple, pour autoriser les utilisateurs sur le LAN à effectuer des requêtes DNS sur un serveur DNS sur internet, il faut, sur l'interface LAN de pfSense, autoriser pour les adresse sources de type "LAN address" (si tu veux autoriser tout le LAN), pour n'importe quel port source, en destination adresse "any" (sauf si tu veux limiter précisément le serveur DNS cible), en TCP & UDP et un port destination "53".

Les règles sur l'interface WAN vont permettre de contrôler les flux "entrants" depuis internet vers des réseaux protégés par le FW (comme le LAN par exemple)

@chris4916:

Il y a un point que je voudrais attirer à ton attention:

ton proxy est un package pfSense. Il écoute donc normalement sur les interfaces LAN et WLAN => pourquoi y accéder depuis WLAN en passant par LAN alors que tu peux y accéder sur le réseau 10.0.12.0 (je ne sais pas quel port du coup puisque ça chaque en changeant de langue  :P)
De plus ça supposerait que tu peux accéder au LAN depuis WLAN. Est-ce bien le cas ?
Ce qui va d'ailleurs m'amener à la question en fin de post…

Effectivement je peux utiliser le proxy en 10.0.12.254:3128, juste quand j'ai fais mes tests manuellement sur Firefox j'ai entrer 10.0.11.254:3128 par habitude et cela fonctionnait.
Je peux accéder au LAN depuis mon WAN car j'accède àmon interface pfsense en 10.0.11.254 comme en 10.0.12.254. J'ai mis une règle NAT pour faire communiquer les 2 réseaux.

Quand tu dis " isInNet(myIpAddress) renvoie ton IP… V6, donc ça ne marche pas " (déja merci car je ne savais pas !) mais du coup quelle est l'équivalent en IPV4 ? ou alors j'autorise l'PV6 car je l'ai blocker sur mon PfSense.

_ Mon serveur Web est en localhost
_Je récupère bien le proxy.pac pas de sucis de ce coter là, il me propose bien de le télécharger quand je rentre son emplacement dans l'URL Firefox, ma détection n'est pas entièrement automatic tant que je fais des tests j'indique a Firefox l'URL de mon proxy.pac.

Merci beaucoup pour vos réponse déjà ! Je vais faire quelques tests avec vos infos :D