j'ai une page d'erreur par défaut, maintenant je veut apporter une codification sur ma page ici


Le lien que je cite, avec la section précise, correspond exactement à la situation.

Le point clé est que le serveur OpenVpn n'est pas le routeur du réseau local.
D'où l'astuce de la règle iptables de masquerade : le flux venant des clients vpn est vu, pour les machines du lan; comme venant du serveur Openvpn.

Je ne pense pas simple de faire la règle équivalente sur pfSense.

Concernant la gestion de certificats, Openvpn fournit des scripts 'EasyRSA' pour la création : de nombreux tutos existent.

Moralité : pour tester pfSense, il faut le tester dans une config normale et non biaisée !
Ici c'est une mauvaise situation de test, comme ceux qui veulent le tester comme simple proxy …

NB : dans mon cas, j'ai repris la gestion d'un site qui a un firewall (fortinet) avec plusieurs clients vpn.
Je gère plusieurs sites avec pfSense, et il est aisé de créer un certificat serveur par serveur pfSense pour que les certificats users soit valables pour chacun des sites (et non un certificat user par site !).
Du fait, la VM ajouté sur le site, utilise un certificat serveur, d'où pas de besoin de certificats locaux.

Cacher les adresses 10.A.B.1 est inutile c'est du réseau privé vous pouvez écrire en clair. Il semble que vos ip publiques soient sur le routeur de FAI et non sur l'interface wan de Pfsense. Comme vous le voyez ce n'est pas le plus simple.
Les pc du lan seront sur le réseau 192.168.1.0/24 et tout le flux sortant sera translaté en 10.A.B.1 puisque c'est l'ip wan de Pfsense. C'est du moins ce que je comprend de vos explications.

Le seul matériel installé par le FAI est le transceiver, mon lien vers leur réseau.

en principe le FAI fourni un routeur ou un modem ADSL ou SDSL …. Je ne comprend pas tout.

ok, merci.

je vais tenter chez les angliches alors  ;D

Bonjour,

Je tiens a vous presenter toutes mes excuses pour ces manquements.

Aussi,je vous remercie de m avoir eclairer sur l aspect juridique.

J'en informerai mon client.

merci a Toutes et a Tous.

@nikobou

Bonjour,

Merci de créer votre propre fil de discution svp.
Et pour bien débuter  ;) https://forum.pfsense.org/index.php?topic=79600.0

Cdt

Le problème était dû a la nappe  du  disque dur que j'ai changé et gravé la derniere version de PFsense.
Tout a marché super bien.
Merci pour votre aide

Bonsoir

Bien pensser à désactivé les "hardware … offloading" dans System | Advanced | Networking

Vous pouvez aussi utilisé les drivers réseau virtio (dans les configs réseau de la VM) , ils fonctionnent nativement avec pf  ;)

trop d'infos tue l'info

C'est un problème de logique :
pas d'infos = pas de compréhension = pas d'aide possible !
pas assez d'infos = compréhension incomplète = nécessité de demander à compléter.

Il vaut, donc, bien mieux trop d'infos que pas d'infos !
Le seul défaut d'avoir trop d'infos est que le lecteur soit obligé de faire le tri.
C'est vraiment gênant quand il y a des logs de 100 lignes (dont seules 3 lignes ont de l'intérêt).

Mais, on le voit très régulièrement, trop nombreux sont les débutants qui, soit ne fournissent pas d'infos, soit n'en fournissent pas assez.
Je passe sur ceux qui ne fournissent pas d'infos : on se demande s'ils veuillent être aider parce que c'est assez stupide de croire que la seule question pourrait avoir une réponse !
Ceux qui n'en fournissent pas assez font 'leur' tri : ils mettent ce qui, à leur yeux, a de l'intérêt, mais comme ils sont débutants, ils passent à côté d'informations qui sont utiles !

Donc il vaut bien de lire trop d'infos.

compare tes routes avec et sans VPN  ;)
normalement, l'établissement du tunnel VPN en mode "site to site" annonce de part et d'autres les LAN ainsi que les routes poussées par la configuration.

Cela ne devrait pas concerner ta DMZ (encore que ça dépend comment tu configures le serveur) ni empêcher la communication directe entre la DMZ et le LAN.

Tu peux également faire un traceroute depuis la DMZ en direction du LAN et voir par où ça passe. A défaut de résourdre le problème, ça te donnera une indication de l'endroit où il se situe. (bien sûr tu as vérifié les logs du FW  ;))

Merci pour tous vos retour. Je n'ai pas de soucis de DUP sur ma production. Je vais donc configurer directement sur ma production qui est sur un esxi.

Pour l'instant tous le trafic qui sort du LAN passe bien par mon client VPN.

Je vous propose donc de refaire le point sur ma configuration actuel

subnet WAN : 192.168.0.0 /24
subnet LAN : 192.168.1.0/24
Ip pfsense dans le lan : 192.168.0.77
Ip pfsense dans le wan 192.168.1.254

Configuration du NAT :

Configuration des rules :

cela vous semble t'il correct pour continuer la configuration de pfsense ? Vous me proposez plutôt d'utiliser des routes static au lieu de nat outbound, mais je ne sais pas comment le configurer.

Cela fait plusieurs jours que je lis de la documentation sur pfsense, et tous n'est pas très claire poour moi. On est bien d'accord que pfsense applique le NAT Avant les Rules ? Ne vaut il donc pas lausser tous passer dans les rules pour être sur qu ele NAT est bien configurer et après remettre le blocage sur les RULES et affiner ?  Car la je passe mon temps a essayer de chôses des deux coté et je pense que c'est pas la bonne technique.

Après pour les rules, Elle sont appliqué de haut en bas ou de bas en haut. J'ai trouvé les deux réponses sur le net ?

J'ai essayé de configurer les rules pour pouvoir accéder à l'interface de configuration de pfsense du WAN, mais sans y arriver. Cela serait quand même beaucoup plus pratique pour moi.

Je souhaite que le LAN puisse accéder a toutes les machines du WAN, j'ai également essayer plusieurs règles sans succès ?

Je souhaite que le WAN puisse accéder a toutes les machines du LAN.

Merci pour votre aide

Ajouter le switch L3 est inutile, comme le dis Chris, il vaut mieu gérer les Vlan directement sur pf, surtout si vous avez des règles inter-vlan.

Voir un des dernier post de Juve : https://forum.pfsense.org/index.php?topic=102546.msg622702#msg622702

Cdt

@ronan311:

Ce LX800 ? : https://upload.wikimedia.org/wikipedia/commons/4/41/Epson-lx800.png  :D

non, celui-là  :P

@ronan311:

Ben en fait je constate une latence dès lors que j'active les téléchargements (torrent, c'est pas fréquent mais j'avais besoin de 3 distribs Linux en même temps). C'est immédiat.
Pareil quand je désactive le téléchargement, ça redevient normal.
Le soucis est donc directement lié à l'utilisation de mon réseau.
La charge du CPU est faible, voir nulle.

La latence est liée au fait qu'il y a l'équivalent d' I/O wait quelque part entre pfSense et la gateway.
Si ce n'est pas le CPU, c'est que tu dois alors être à la limite de ta bande passante (auquel cas, effectivement, il y a un phénomène de queuing" qui induit de la latence)

Pour clôturer :

Plutôt qu'un reset usine j'ai  :

effacé les binaires non utilisés modifié le XML de sauvegarde modifié le CronTab à la main

Rebooté le serveur : tout fonctionne sans message d'erreur.

Squid est op, sauf quand j'active le SSL, il faut que je creuse de ce coté.

@chris4916:

Je ne comprends pas bien à quoi (te) servirait le disque dur sur le SG-8860, surtout si tu ne fais pas tourner de services autres que le strict FW  :-X

Avec des interfaces 1 Gbps et seulement 250 connexions simultanées, sauf à avoir une quantité très importante de règles, un 4860 devrait s'en sortir sans problème mais j'avoue ne pas avoir une bonne compréhension de quel serait l'impact au niveau CPU en fonction de la longueur des clé des algorithmes coisis pour le VPN.

Pour le disque dur c'est au cas où j'activerai par la suite d'autres fonctionnalités. D'ailleurs, quelles sont les features qui nécessitent un ssd ?
Mon budget pour mon cluster est d'environ 3000 euros. Je voudrai avoir une configuration robuste pour tenir la charge de mes services dans un premiers temps. Dans un second temps on devrait rentrer des nouveaux clients. Et enfin il est possible que j'active Snort pour améliorer la sécurité.

Le poste de "Juve" est intéressant aussi sur le HP DL160 Gen9. Je peux avoir cette configuration :

*HPE ProLiant DL160 Gen9

1 x Xeon E5-2609V4 / 1.7 GHz
*RAM 16 Go
*2 interfaces Giga de base
*Ajout d'une carte 4 port Giga (HPE 331T) => comment savoir si elle est compatible ?
*Ajout disques SSD en Raid 1
*Garantie 3 ans

=> 1761 € (3522 le cluster)

bonjour

merci pour la reponse

je vais procede a l installation

merci

@mal2tête:

Enfin pour finir avec les paramètres le VPN :
Serveur Mode : Remote Access (SSL/TLS + user Auth)
Backend : ServeurAD
proto : UDP
device : tun
interface : WAN
local port :1196
TLS auth : enable
Peer CA : CA-1
Server cert : ServeurAd-cert

Je n’avais pas vu ça : le certificat serveur qu'il faut décrire dans le serveur VPN, c'est celui… du serveur VPN.
Ce qui se passe dans AD n'a rien à voir ici  ;) (ou alors c'est un typo dans ton texte)

Comme conseillé par Chris, à votre place j'en resterai au filtrage d'url sur les fqdn.
L'interception et le déchiffrement d'une connexion SSL pose aussi de sérieux problèmes juridiques.

Bonjour,

Je me permets de me joindre à cette intéressant discussion en espérant qu'elle est toujours active. J'ai également installé un pfsense à titre privé essentiellement pour du control parental. Je vous ferai un peu plus tard un schéma de mon installation.

J'ai atteinds un de mes premiers but, à savoir limiter l'usage des device de mes ados sur le net à certaine plages horaires.

Ma première question est la suivante : avez vous trouvé une solution pour pouvoir autoriser ce type de connection pendant un certains temps ( x heures par semaine ou par jour ) plutot que sur des plages horaires qui sont très difficiles à gérer ?

Merci,

Qui peut expliquer qu'un fil aussi simple et élémentaire, et dont la méthode est correcte, tel que celui là ne soit pas résolu ?
Pourtant, il suffit de lire juste le fil initial : le, seul, paramétrage (du nom) est incorrect car incohérent.
(Mais il faut bien sûr d'autres réglages supplémentaires …)

Il est vrai que le test, totalement élémentaire, de nslookup n'est même pas fait (malgré 2 fois la question !).
Plus précisément, il est fait mais aucune conclusion/action n'est tirée/corrigée !

Vous savez ce qui faut obtenir, et pourtant pas d'actions correctrices ???
Face à un problème, il faut mettre en doute ses propres réglages et ne faire confiance qu'à des tests et observez attentivement le résultat : est ce qui est attendu ou non ?