Voici un petit lien sympathique (comme ma réponse)

https://forum.pfsense.org/index.php?topic=102470.0

Cdt

En fait, j'ai trouver à la racine 2 sauvegardes complètes faites au moment des mises à jour
J'ai supprimé les 2. j'ai récupéré 7-8 Go je pense

ok, ca m'intéresse de savoir.
J'ai jamais dépassé 40 interfaces logiques sur un cluster en production.

Généralement pour du simple routage (comprendre sans filtrage) je déporte cela sur des équipements réseau (bien souvent un cluster HPN IRF) qui sont plus performant en commutation/routage avec une disponibilité maximale.

Corrigé en version 2.3.1 (à ne pas confondre avec 2.3_1 qui est la version précédant la 2.3.1) :
https://doc.pfsense.org/index.php?title=2.3.1_New_Features_and_Changes#OS_.2F_Backend

Solution pour 2.3 et 2.3_1 : ici https://forum.pfsense.org/index.php?topic=109943.msg612141

Re à tous, pourquoi chercher compliquer quand c'est simple !?  ::)

ajouter la ligne dans la conf client : tls-auth ta.key 1

cocher Enable authentication of TLS packets dans la conf serveur openVPN, on copie/colle dans un block note que l'on renomme en ta.key et c'est tout bon

la version 2.2.6 est vraiment bien pour les néophyte de FreeBSD et puis c'est plus pratique que putty

C'est exact que, si l'interface n'est pas up, on ne pourra faire des ping !
C'est aussi clair qu'il est inutile de faire d'autres essais tant que cela n'est pas levé !

Bonjour!!
Je reviens encore avec mon post!!! je n'ai toujours pas trouver la solution à mon problème après de longue heure de recherche.
j'ai réussi a configurer correctement  mon portail captif mais y a un soucis. lorsque je me connecte au wifi je ne suis pas automatiquement redirigé vers ma page d’accueil.il faut que que j'utilise d'abord l'adresse ip:8000 de mon serveur avant de pouvoir être redirigé sur l'adresse definit après authentification.
Besoin d'aide svp!!!
Cordialement

Une des fonctions du portail captif est d'ouvrir des règles de FW une fois que l'utilisateur est passé par le portail et a exécuté une action (validation ou authentification par exemple).

Comme il s'agit de règle de FW, il s'agit d'adresse IP  ;)

Si l'utilisateur passe d'abord par un proxy (fusse t-il transparent) l'IP source qui va accéder au portail captif sera celle du proxy.
Si en plus le proxy est sur la même machine que le portail captif (ici pfSense) l'IP qui va être autorisée par le portail captif si celui-ci change des règles du FW va probablement être 127.0.0.1

C'est pour cela qu'il faut que ton portail intervienne avant le proxy (*).

La difficulté avec le portail captif et le proxy sur pfSense, c'est que :

en mode proxy explicite, celui-ci est configuré au niveau du browser et donc le browser accède le proxy sur un port spécifique qui n'est normalement pas celui que le portail captif intercepte. Il faut dans tous les cas gérer une exception et forcer l'accès à une page intercepté par le portail. en mode proxy transparent, il faut regarder dans quel ordre interviennent les règles d'interception. Portail captif et proxy transparent sont basés sur un mécanisme analogue (et donc potentiellement conflictuel) d'interception et de redirection. Dans l'absolu, il est possible que ça fonctionne si la première interception est celle du portail…

Une solution plus "simple" :
un portail captif suivi d'un proxy.

proxy en mode transparent si cela correspond à ton besoin, et donc si tu notes bien que celui-ci :

n'intercepte que HTTP, pas HTTPS (sauf si SSL-Bump = MITM) ne connaît que l'IP source, pas l'utilisateur

proxy en mode explicite (configuré à la main ou via WPAD) :

il faut gérer une option "no proxy for..." (ou un DIRECT dans le proxy.pac) pour que l'accès au portail captif se fasse directement en non pas en tentant d'y accéder au travers du proxy.

Je ne suis pas certain que pfSense soit la meilleure solution  si utilisé uniquement pour cet usage  ;)
As-tu regardé des produits dédié au portal captif comme Chilispot, wifidog etc ?

(*)  Squid (je ne sais pas ce qu'il en est du package Squid de pfSense) permet de faire des choses un peu plus fines que ce que je décris au dessus qui correspond au fonctionnement "basique". pas exemple avec des redirecteurs et/ou des splash pages.

bref, ducoup j'essaie de faire exécuter les script sur mon serveur seulement je ne parviens à diriger dans un premier temps l'authentification sur ma page de bienvenue situé sur mon serveur par le bias du preauth-url. j'ai essayer en inscrivant dans le champ approprié du portail captif http://x.x.x.x/path/to/landing/page.html seulement cela ne fonctionne pas.
j'ai vu que cela était possible en rajoutant ce code ( source du post https://forum.pfsense.org/index.php?topic=34148.0 )

require("globals.inc"); $request_uri = urldecode(str_replace("/index.php?redirurl=", "",  $_SERVER["REQUEST_URI"])); $portal_redirurl = urldecode("$PORTAL_REDIRURL$"); if(!stristr(urldecode("$PORTAL_REDIRURL$"), $request_uri)) { Header("Location: $PORTAL_REDIRURL$"); exit; } ?>

j'ai donc tester de rajouter ce code au début de l'exemple du formulaire que pfsense fournit. comme stipulé dans le post j'ai  autoriser l'@ip du serveur et fais le test. sans succès. Quelqu'un aurait-il une indication ?

??!!

Depuis des années et des années, Squid utilise un format de log toujours le même avec en $1 une date 'epoch'.
Les logiciels classiques de visualisation de log sont prévus pour ce format.

Si ce format ne vous plait pas

soit vous mettez en oeuvre cette astuce (connue depuis au moins 10 ans), soit vous changez le format de log, et c'est vraiment pas trop compliqué à trouver comment.

Bref rien à voir du tout avec Squid

En fait les mauvais choix entrainent les mauvaise questions …
Parce que si, on créé un proxy dédié, on se pose un certain nombre de bonnes questions et on les résout une après l'autre ...

Merci pour votre documentation.

Je vais lire tout cela avec beaucoup d'attention.

J'observe que

VPI/VCI n'est pas bon : 8/36 et non 8/35 comme normal au Maroc les bridge (linux) s'appuie sur des objets réels : LAN est un bridge entre la RJ 'LAN' et le wifi (ce qui est fréquent et simple mais pas forcément souhaitable) donc les bridge ici ne sont pas le bridge 'rfc1483' nécessaire.

Je parle d'expérience : j'ai retiré le boitier initial de ma première ligne ADSL car il fournissait du wifi et je ne pouvait pas le supprimer.
La récup oui, mais pas là : les boitiers Dlink me sécurisent. (Pour la 2ième ligne, j'ai directement indiqué à Marc Télécom qu'il n'avait pas à me fournir de boitier !)

Je n'encourage pas à garder ce boitier, j'encourage à acquérir des boitiers neufs, dédié et sans wifi.

Salut salut

Effectivement c est le type de retour que j'attendais.

C'est en partie ce que je pré sentais sur les performances réseaux.

Bien que le matériel, que je site, soit limité pour ce type de projet, y a t il donc un produit qui pourrait faire l'affaire ?

Cordialement.

PS : cela etant , il me reste la possibilité de faire l 'achat ce produit pour faire un test et un retour sur ces points.
PS2 : je laisse quelques temps le post ouvert pour que d'autres contributeurs y ajoute leur pierre à l'édifice.

@Nylream:

Toutefois, même si ce sera parfait pour un accès de mon laptop de l’extérieur, j'imagine mal ma famille lancer une connexion vpn pour aller voir des photos, le ports forward pour l'accès à un compte sur le Syno est simple, et ne leurs demandait qu'une url, et un login/MDP.

Je pense que tu mélanges plusieurs aspects.

1 - ce n'est pas parce que tu mets à disposition un serveur VPN sur pfSense que tout doit passer par le VPN. Tu peux très bien faire du port fowarding vers ton serveur web "en clair" si nécessaire.

2 - En revanche, tu ne peux pas avoir "tout et son contraire" c'est à dire un accès en clair (sans VPN) et un tunnel VPN en même temps, pour le même accès. En dehors des aspects que j'évoquais un peu plus haut de serveur VPN publique qui sert à avoir un accès un peu plus anonyme grâce à une IP différente de celle de ton ISP (et das ce cas, tu te comportes en tant que client VPN), le VPN n'a de sens que si établi de bout en bout ou, en tous cas, de bout en bout sur la partie "non sécurisée" du réseau, c'est à dire ici internet.
Si tu te comporte comme un client VPN vers un serveur publique et que ta famille ce connecte à cette IP "en clair" pour accéder à ton serveur Web, le VPN ne te sert strictement à rien. Au mieux tu utilises la fonctionnalité d'une IP fixe, mais il y a de bien meilleurs moyens d'obtenir une fonctionnalité équivalente.

Ok merci pour la réponse :)

Je vais voir avec Numericable si cette conf est possible …

Pour étayer mes propos je joints une capture.

dhcp-wan.jpg
dhcp-wan.jpg_thumb

salut

merci pour la réponse .

je viens seulement de la voir et entre temps j ai trouve comment faire.
j allais faire le retour.

Merci a toi d avoir pris le temps de répondre sur le pousse  ;)

donc si ça intéresse du monde dans le type Block MIME Types (Reply Only) dans Acl de squid3 il faut mettre ainsi:

.\zip$ .\torrent$

ça fonctionne  yes

En cherchant 'virtualbox documentation networking' (ce qui est logique), on trouve le lien https://www.virtualbox.org/manual/ch06.html

D'où Virtualbox = mauvais choix ! (pour vlan)

L'utilisation du formulaire est une bonne méthode !
Néanmoins, on doit toujours l'accompagner de : est ce que j'en ai assez mis pour être compris ?

1er point : expliquer ce qu'est RPN :
Il faut écrire ce que c'est ! A minima un lien comme https://documentation.online.net/fr/serveur-dedie/tutoriel/rpn-by-online.net

2me point : 'chaque ESXI'
Il faut décrire 'chaque' ESXI : sont ce 2 serveurs dédiés chez Online ? sont ce 1 serveur dédié chez Online et 1 serveur en interne chez vous ?

Ce n'est pas clair.
Et vous, vous avez tout devant vous, pas nous !

L'accès se fait directement sur notre adresse IP WAN et je n'ai malheureusement pas de log.

Lorsque je tente d'y acceder, une fois connecté en VPN, je reçois le message comme quoi je ne suis pas autorisé à joindre ce site.

Et enfin, je ne pige pas pour le masque puisque dans :

IPv4 Tunnel Network, j'ai 192.168.2.0/24

et dans

IPv4 Local Network/s, j'ai 192.168.16.0/24