Ce post n'est pas sans rappeler https://forum.pfsense.org/index.php?topic=108516.0 sur la motivation.
Cela c'est bien vous avez regardé les logs. D'après ce que l'on y voit, du moins pour ce que vous en dites, les problèmes sont assez clairs.
Ce qui est beaucoup moins bien, c'est que vous ne décrivez rien de la configuration, qui vous parait évidente ( Pfsesne + Squid), mis que nous ne pouvons que supposer à défaut de la deviner. Vous ne savez pas poser un problème correctement. De ce que l'on comprend le problème n'a rien à voir avec Pfsense mais avec Squid, AD, Windows 2012 Server, Radius.
Relisez bien vos messages d'erreur et agissez en conséquence. Pour moi , c'est terminer avec cette question.

Bonjour, excusez de ce temps de silence mais c'est parce que j'ai eu un avènement social
Merci chris4916 pour votre réponse
j'ai configuré mon routeur pour qu'il redirige  les requêtes provenant de tunnel sur le port Wan de mon PFsense
mais je viens de configurer le compte que j'ai creé sur NO IP  sur mon modem/routeur ADSL histoire de m'assurer que de l'internet je peux avoir à l'interface de mon routeur ADSl mais cela a été sans succès

voilà comment j'ai fait!: j'ai entré moncompte.ddns.net dans mon navigateur sur une machine avec une clé de connexion internet, je m'attendais à tomber sur la page d'identification de mon routeur adsl mais rien, quand le ping moncompte.ddns.net je vois mon adresse IP publique dynamique dans la réponse mais on me met
delai d'attente de la demande dépassé
voici les captures des configs du firewall du modem adsl, du ping et du compte NO IP


ça fonctionne !

Merci beaucoup Chris !

J'ai de nouveau fait les ACLs (il faut bien écrire comme cela 'teddy' 'jordan' …) donc user entre cotes et espace pour séparer les utilisateurs.
redémarrage de PfSense et prise en compte des ACL cela fonctionne nickel !  ;D ;D  ;D

Merci pour ton aide Chris bonne soirée !

@captain-chaton:

Concernant mon environnement, il est composé de 800 personnes

Merci.

Une structure de cette taille nécessite plusieurs chose sur le plan de la sécurité. Certes de moyens techniques mais aussi une organisation adaptée, par exemple une PSSI. On peut mettre beaucoup de moyens dans la sécurité du SI, mais sans organisation ce n'est pas efficace.
Techniquement il est évident que vous avez besoin d'une architecture un peu solide, avec les bons cloisonnements, de la redondance éventuellement, une distribution judicieuse des fonctionnalité des différents composants de l'infrastructure. A priori il y beaucoup de travail sur cette infrastructure;
Votre problématique est un tout. Il semble qu'il faille sécuriser l'accès à des ressources et sans doute sécuriser la navigation. Cela passe par proxy, reverse, antivirus, segmentation réseau, sensibilisation utilisateurs, charte signée, règles de bons comportement, etc ….
Ce forum n'est pas le cadre pour traiter un tel chantier.

https://www.vultureproject.org/

On sait que 'pf' qui est le 'moteur' de filtrage de FreeBsd (d'où le nom pfSense) raisonne à partir de l'interface d'arrivée du paquet initial d'une session Client <-> Serveur.
D'où les onglets correspondants à chaque interface (et VPN) dans Firewall > Rules

Par voie de conséquence,
la source d'une règle, pour une interface interne, ne devrait pas être 'any' (ou '*') : par exemple, 'LAN subnet' pour l'onglet/interface LAN.

L'alias, comme indiqué par Baalserv, est un atout de pfSense : simplicité, lisibilité, facilité ou faciliter !

Il n'empêche, puisque vous n'avez pas utiliser le formulaire de présentation, qu'il manque BEAUCOUP d'informations.
'J'arrive à pinguer mais je n'ai pas du accès' est TRES insuffisant ! (Quels tests, quels résultats ?)
Quand on pose un problème, il FAUDRAIT se poser la question : est ce que je fournis assez d'informations ?

Par exemple, une adresse, comme LAN et WAN, DOIT être TOUJOURS associé à son masque.
Surtout quand le masque n'est pas 'intuitif' …

Merci de ta réponse rapide.

Je n'avais jamais fait attention, ni pensé, qu'on pouvait mettre un FQDN public dans les alias.

La doc indique, qu'on peut configurer la période de résolution dans System > Advanced puis Firewall/nat (300s par défault)

Le question d'asynchronisme peut être réglé en obligeant la connexion PPPOE à se faire de façon périodique, et à un moment sans contrainte. Ex tous les jours a 0h00. Dans Interface > WAN : PPPoE configuration reset at each day ('0 0 * * *')
Même si à ce moment la liaison IPSsec est tombée, pas de problème puisque personne ne travail à pendant cette période.

Merci

Merci Chris pour tous ces développements, tests, explications et argumentations !

Je vais potasser le fonctionnement de FreeBsd et voir ce qui ne va pas de mon coté : sans aucun doute une erreur de ligne de commande ou de droits …
Je vais aussi étudier l’installation d'un sdd interne.

Mais j'ai bien compris l'essentiel :

Squid sur FW : c'est pas bien (mais tolérable ...) Log squid sur USB : C'est mal !

A+

La solution consiste très probablement à configurer ce proxy dans pfSense.
En effet, soit ce proxy est en mode transparent, et si ça ne fonctionne pas, c'est que c'est bloqué, soit ce proxy est en mode explicite et dans ce cas, il faut le décrire et éventuellement s'authentifier.

ça se configure dans les options "advanced"  ;)

thru_proxy.JPG
thru_proxy.JPG_thumb

Bonsoir baalserv,

Je te remercie pour la réponse.

Je n'étais pas trop motivé de passer par le port série…. Mais au moins, c'est plus rapide.

Bonne soirée.

PS : petite info (sur le forum pfsense également)

Bonsoir,

Merci pour les informations.

J'ai branché l'adaptateur USB-série (avec une rallonge série femelle-femelle).

De là, avec screen (sous archlinux), c'est nickel.
J'ai ainsi pu mette le mdp de l'interface web par défaut.

C'est cool ;-)

Bonne soirée.

PS : pour info, le port série est forcement activé. Le paramètre réglable est le débit (entre 115200 et 9600).

DH = Diffie, Hellman : connus notamment pour le protocole d'échange de clés (dans un contexte publique), cf https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange

RSA = Rivest, Shamir, Adleman : connus notamment pour le protocole de cryptage à clés publiques (asymétriques), cf https://en.wikipedia.org/wiki/RSA_%28cryptosystem%29

Je n'ai pas le temps de vous répondre en détail. Compte tenu de votre activité actuelle, je signalerai ce qui est à mon sens contraire aux bonnes pratiques sécurité. Je n'expliquerai pas pourquoi. Je l'ai fait un grand nombre de fois sur ce forum et je ne vais pas recommencer à chaque fois.

Je suis alternant dans le cadre du licence sécurité des réseaux

L'accumulation de package sur Pfsense est une fausse bonne idée.
Le cumul de toutes ces fonctionnalités sur une même machine (entendez sur un firewall) est aussi une mauvaise idée.
La virtualisation du firewall est une mauvaise idée.
Mettre en place un filtrage sur les flux https sortant (c'est très différent dans le sens entrant) est une problématique délicate qui soulève des problèmes juridiques et engage potentiellement la responsabilité de l’entreprise. Elle compromet totalement la sécurité de l'internaute. Il existe des situations que le justifient mais manifesement pas la votre.
La présence d'un portail captif suggère l'utilisation d'un réseau wifi. Mais on devine aussi qu'il n'y a pas que du wifi mais aussi du filaire. Or vous ne mentionnez que l'existence d'une interface lan sur Pfsense.  J'en déduis que les deux réseaux, filaire et wifi, ne sont pas séparés. C'est un problème de sécurité réel. Autant dire que sans autre mesure votre firewall ne sert pas à grand chose. Et aussi une mauvaise pratique.

Mon conseil, pour le futur, est de vous documenter, de lire, par exemple, les ouvrages de Bruce Schneier. Il y a longtemps que je n'en avais pas parlé. C'est peut être son actualité qui me fait y penser.
http://www.lemondeinformatique.fr/actualites/lire-rachat-de-resilient-le-gourou-du-chiffrement-bruce-schneier-rejoint-ibm-64068.html
Bon courage pour le futur car il vous reste du travail. Mais c'est normal vous débutez, rien d'anormal.

C'est une bonne nouvelle.
N'hésite pas à modifier le titre du premier message pour marquer le sujet comme [RESOLU]  ;)

Effectivement policy routing
mais aussi s'assurer, dans les fonctions de paramétrage avancées, que le sticky est activé pour qu'une connexion vers un serveur ne passe pas d'une gateway à l'autre sans raison.
Dans le cas de FTP, je ne suis pas certain que ça marche bien à cause justement du mode commande et data qui sont des connexions différentes mais tu as de toutes façon besoin de ce sticky pour des trucs comme HTTP si les serveurs exposent des applications qui gèrent des sessions basées sur l'IP du client.

Sur le premier serveur où j'ai testé, il n'y a pas gnome mais j'ai une debian avec gnome donc j'ai testé dessus x)

D'après mes souvenirs il me semble que tout est en MISS.

Les liens HTTP sont beaucoup plus rapides que HTTPS.

Je n'ai pas de partition spéciale pour le cache, c'est une partition pour /var/

Même sans configurer de cache ça ne marche pas ..

J'ai testé des sites légers et des sites lourds. Les sites légers répondent un peu plus vite mais le temps que ça met n'est pas normal.

Je sais pas qu'est ce que je peux faire d'autre .. Je t'ai laissé un mail chris si tu as le temps de check ;)

Il me manque que ça pour finir c'est énervant x)

Le CARP fonctionne coté PFSENSE.
il fallait en effet regarder du coté de FREEBSD …

Lorsque l'équipement MASTER disparait (perte de connexion, reboot) l'équipement SLAVE constate la bascule et reprends les adresses CARP, les équipements réseaux adaptent les tables ARP (passage à l'état inactif des interfaces sur l'équipement MASTER) et le service est toujours rendu.

Mais lorsque le MASTER revient à la vie, le SLAVE, ne perdant pas la connection réseau, le routeur continue à penser que le SLAVE est MASTER.
L'une des solution pour provoquer la mise à jour de la table ARP du routeur, a été de rebooter le SLAVE (passage des interfaces physique à DOWN) pour provoquer le flapping des interfaces réseaux. L'autre solution consiste à faire un clear de la table ARP des routeurs.

C’est en faisant des TCPDUMPs que nous avons constaté en faite que le PFSENSE ne faisait pas de gratuitous ARP lors de la bascule CARP du SLAVE au MASTER.

Pour pouvoir forcer ces annonces, nous avons

installer le package ARPING sur les PFSENSES modifier le script /etc/rc.carpmaster pour y intégrer la commande : /usr/local/sbin/arping -C 5 -i moninterface -S monadressesource monadresssdestination

au reboot, le master préviens le switch qu’il est là …. la table ARP se mets à jour, et le basculement du réseau est opérationnel.

Est-ce le comportement normal d'un cluster de PfSense ? Quelqu'un a-t-il déjà rencontré ce problème ?

@chat:

j'ai vérifié au niveau de log aucun erreur n'est affiche.

Si il n'y a pas d'erreur, alors il y a au moins la notification qu'un lease est attribué n'est-ce pas ?  ;)
(c'est soit l'un soit l'autre ou alors le problème n'est pas au niveau de DHCP)

est ce que le point d'exclamation en rouge sa veux dire qu'il y a un problème ?

Comment sont définies tes réservations ? Et ton range DHCP ?
Il y a je pense un range avec des IP dynamiques et une section "IP dynamique avec réservation basée sur l'adresse MAC" mais sin on regqrde plus en détail, y a t-il par exemple un setting pour interdire les clients "inconnus" ?

Je reviens à cet instant sur le forum.

Ah bon je serais hautain (ça s'écrit comme celà) …
C'est vous qui le voyez comme ça : ce n'est absolument pas mon sentiment !

Je suis débutante + mon formateur : vous êtes en formation, c'est réel ou non !!

Je prends très mal ce que vous écrivez parce que c'est JUSTE votre interprétation !

Pour votre information, je n'ai pas fait d'études d'informatique mais de maths avec de l'informatique. et j'ai fini cela il y a près de 30 ans.
A l'époque, il n'y avait même pas un micro dans l'école. Le seul matériel était une machine de type Unix avec des terminaux et on apprenait le Pascal, le Fortran, le Cobol, entre autres ...
En 3ième année, en info de gestion (Cobol), il fallait faire, en binome, le même sujet.
Mon prof a été sympa, j'ai rendu le devoir avec 3 jours de retard, mais il m'a mis la meilleure note (et pas n'importe laquelle).
En particulier, parce (mon binome et moi) j'ai montré une bonne maitrise de ce projet mélant les 3 langages parce que chaque langage avait son intérêt.

Face à ce devoir, rien ne vous interdit, bien au contraire, d'avancer les bonnes pratiques même si ce n'est pas la façon de voir de votre prof ! BIEN AU CONTRAIRE

Si vous êtes capable d'énoncer une bonne pratique en la justifiant, cela montre que vous avez 'dépassé' le problème.
Si, au contraire, vous ne montrez aucun esprit critique, vous serez jugé comme telle.

Ce devoir est juste un piège mais je ne vais pas réécrire ce que j'ai déjà écrit ...

Sur ce, voyant à qui j'ai affaire, je ne vous salue pas ....