J'observe que

VPI/VCI n'est pas bon : 8/36 et non 8/35 comme normal au Maroc les bridge (linux) s'appuie sur des objets réels : LAN est un bridge entre la RJ 'LAN' et le wifi (ce qui est fréquent et simple mais pas forcément souhaitable) donc les bridge ici ne sont pas le bridge 'rfc1483' nécessaire.

Je parle d'expérience : j'ai retiré le boitier initial de ma première ligne ADSL car il fournissait du wifi et je ne pouvait pas le supprimer.
La récup oui, mais pas là : les boitiers Dlink me sécurisent. (Pour la 2ième ligne, j'ai directement indiqué à Marc Télécom qu'il n'avait pas à me fournir de boitier !)

Je n'encourage pas à garder ce boitier, j'encourage à acquérir des boitiers neufs, dédié et sans wifi.

Salut salut

Effectivement c est le type de retour que j'attendais.

C'est en partie ce que je pré sentais sur les performances réseaux.

Bien que le matériel, que je site, soit limité pour ce type de projet, y a t il donc un produit qui pourrait faire l'affaire ?

Cordialement.

PS : cela etant , il me reste la possibilité de faire l 'achat ce produit pour faire un test et un retour sur ces points.
PS2 : je laisse quelques temps le post ouvert pour que d'autres contributeurs y ajoute leur pierre à l'édifice.

@Nylream:

Toutefois, même si ce sera parfait pour un accès de mon laptop de l’extérieur, j'imagine mal ma famille lancer une connexion vpn pour aller voir des photos, le ports forward pour l'accès à un compte sur le Syno est simple, et ne leurs demandait qu'une url, et un login/MDP.

Je pense que tu mélanges plusieurs aspects.

1 - ce n'est pas parce que tu mets à disposition un serveur VPN sur pfSense que tout doit passer par le VPN. Tu peux très bien faire du port fowarding vers ton serveur web "en clair" si nécessaire.

2 - En revanche, tu ne peux pas avoir "tout et son contraire" c'est à dire un accès en clair (sans VPN) et un tunnel VPN en même temps, pour le même accès. En dehors des aspects que j'évoquais un peu plus haut de serveur VPN publique qui sert à avoir un accès un peu plus anonyme grâce à une IP différente de celle de ton ISP (et das ce cas, tu te comportes en tant que client VPN), le VPN n'a de sens que si établi de bout en bout ou, en tous cas, de bout en bout sur la partie "non sécurisée" du réseau, c'est à dire ici internet.
Si tu te comporte comme un client VPN vers un serveur publique et que ta famille ce connecte à cette IP "en clair" pour accéder à ton serveur Web, le VPN ne te sert strictement à rien. Au mieux tu utilises la fonctionnalité d'une IP fixe, mais il y a de bien meilleurs moyens d'obtenir une fonctionnalité équivalente.

Ok merci pour la réponse :)

Je vais voir avec Numericable si cette conf est possible …

Pour étayer mes propos je joints une capture.

dhcp-wan.jpg
dhcp-wan.jpg_thumb

salut

merci pour la réponse .

je viens seulement de la voir et entre temps j ai trouve comment faire.
j allais faire le retour.

Merci a toi d avoir pris le temps de répondre sur le pousse  ;)

donc si ça intéresse du monde dans le type Block MIME Types (Reply Only) dans Acl de squid3 il faut mettre ainsi:

.\zip$ .\torrent$

ça fonctionne  yes

En cherchant 'virtualbox documentation networking' (ce qui est logique), on trouve le lien https://www.virtualbox.org/manual/ch06.html

D'où Virtualbox = mauvais choix ! (pour vlan)

L'utilisation du formulaire est une bonne méthode !
Néanmoins, on doit toujours l'accompagner de : est ce que j'en ai assez mis pour être compris ?

1er point : expliquer ce qu'est RPN :
Il faut écrire ce que c'est ! A minima un lien comme https://documentation.online.net/fr/serveur-dedie/tutoriel/rpn-by-online.net

2me point : 'chaque ESXI'
Il faut décrire 'chaque' ESXI : sont ce 2 serveurs dédiés chez Online ? sont ce 1 serveur dédié chez Online et 1 serveur en interne chez vous ?

Ce n'est pas clair.
Et vous, vous avez tout devant vous, pas nous !

L'accès se fait directement sur notre adresse IP WAN et je n'ai malheureusement pas de log.

Lorsque je tente d'y acceder, une fois connecté en VPN, je reçois le message comme quoi je ne suis pas autorisé à joindre ce site.

Et enfin, je ne pige pas pour le masque puisque dans :

IPv4 Tunnel Network, j'ai 192.168.2.0/24

et dans

IPv4 Local Network/s, j'ai 192.168.16.0/24

Ce post n'est pas sans rappeler https://forum.pfsense.org/index.php?topic=108516.0 sur la motivation.
Cela c'est bien vous avez regardé les logs. D'après ce que l'on y voit, du moins pour ce que vous en dites, les problèmes sont assez clairs.
Ce qui est beaucoup moins bien, c'est que vous ne décrivez rien de la configuration, qui vous parait évidente ( Pfsesne + Squid), mis que nous ne pouvons que supposer à défaut de la deviner. Vous ne savez pas poser un problème correctement. De ce que l'on comprend le problème n'a rien à voir avec Pfsense mais avec Squid, AD, Windows 2012 Server, Radius.
Relisez bien vos messages d'erreur et agissez en conséquence. Pour moi , c'est terminer avec cette question.

Bonjour, excusez de ce temps de silence mais c'est parce que j'ai eu un avènement social
Merci chris4916 pour votre réponse
j'ai configuré mon routeur pour qu'il redirige  les requêtes provenant de tunnel sur le port Wan de mon PFsense
mais je viens de configurer le compte que j'ai creé sur NO IP  sur mon modem/routeur ADSL histoire de m'assurer que de l'internet je peux avoir à l'interface de mon routeur ADSl mais cela a été sans succès

voilà comment j'ai fait!: j'ai entré moncompte.ddns.net dans mon navigateur sur une machine avec une clé de connexion internet, je m'attendais à tomber sur la page d'identification de mon routeur adsl mais rien, quand le ping moncompte.ddns.net je vois mon adresse IP publique dynamique dans la réponse mais on me met
delai d'attente de la demande dépassé
voici les captures des configs du firewall du modem adsl, du ping et du compte NO IP


ça fonctionne !

Merci beaucoup Chris !

J'ai de nouveau fait les ACLs (il faut bien écrire comme cela 'teddy' 'jordan' …) donc user entre cotes et espace pour séparer les utilisateurs.
redémarrage de PfSense et prise en compte des ACL cela fonctionne nickel !  ;D ;D  ;D

Merci pour ton aide Chris bonne soirée !

@captain-chaton:

Concernant mon environnement, il est composé de 800 personnes

Merci.

Une structure de cette taille nécessite plusieurs chose sur le plan de la sécurité. Certes de moyens techniques mais aussi une organisation adaptée, par exemple une PSSI. On peut mettre beaucoup de moyens dans la sécurité du SI, mais sans organisation ce n'est pas efficace.
Techniquement il est évident que vous avez besoin d'une architecture un peu solide, avec les bons cloisonnements, de la redondance éventuellement, une distribution judicieuse des fonctionnalité des différents composants de l'infrastructure. A priori il y beaucoup de travail sur cette infrastructure;
Votre problématique est un tout. Il semble qu'il faille sécuriser l'accès à des ressources et sans doute sécuriser la navigation. Cela passe par proxy, reverse, antivirus, segmentation réseau, sensibilisation utilisateurs, charte signée, règles de bons comportement, etc ….
Ce forum n'est pas le cadre pour traiter un tel chantier.

https://www.vultureproject.org/

On sait que 'pf' qui est le 'moteur' de filtrage de FreeBsd (d'où le nom pfSense) raisonne à partir de l'interface d'arrivée du paquet initial d'une session Client <-> Serveur.
D'où les onglets correspondants à chaque interface (et VPN) dans Firewall > Rules

Par voie de conséquence,
la source d'une règle, pour une interface interne, ne devrait pas être 'any' (ou '*') : par exemple, 'LAN subnet' pour l'onglet/interface LAN.

L'alias, comme indiqué par Baalserv, est un atout de pfSense : simplicité, lisibilité, facilité ou faciliter !

Il n'empêche, puisque vous n'avez pas utiliser le formulaire de présentation, qu'il manque BEAUCOUP d'informations.
'J'arrive à pinguer mais je n'ai pas du accès' est TRES insuffisant ! (Quels tests, quels résultats ?)
Quand on pose un problème, il FAUDRAIT se poser la question : est ce que je fournis assez d'informations ?

Par exemple, une adresse, comme LAN et WAN, DOIT être TOUJOURS associé à son masque.
Surtout quand le masque n'est pas 'intuitif' …

Merci de ta réponse rapide.

Je n'avais jamais fait attention, ni pensé, qu'on pouvait mettre un FQDN public dans les alias.

La doc indique, qu'on peut configurer la période de résolution dans System > Advanced puis Firewall/nat (300s par défault)

Le question d'asynchronisme peut être réglé en obligeant la connexion PPPOE à se faire de façon périodique, et à un moment sans contrainte. Ex tous les jours a 0h00. Dans Interface > WAN : PPPoE configuration reset at each day ('0 0 * * *')
Même si à ce moment la liaison IPSsec est tombée, pas de problème puisque personne ne travail à pendant cette période.

Merci

Merci Chris pour tous ces développements, tests, explications et argumentations !

Je vais potasser le fonctionnement de FreeBsd et voir ce qui ne va pas de mon coté : sans aucun doute une erreur de ligne de commande ou de droits …
Je vais aussi étudier l’installation d'un sdd interne.

Mais j'ai bien compris l'essentiel :

Squid sur FW : c'est pas bien (mais tolérable ...) Log squid sur USB : C'est mal !

A+

La solution consiste très probablement à configurer ce proxy dans pfSense.
En effet, soit ce proxy est en mode transparent, et si ça ne fonctionne pas, c'est que c'est bloqué, soit ce proxy est en mode explicite et dans ce cas, il faut le décrire et éventuellement s'authentifier.

ça se configure dans les options "advanced"  ;)

thru_proxy.JPG
thru_proxy.JPG_thumb

Bonsoir baalserv,

Je te remercie pour la réponse.

Je n'étais pas trop motivé de passer par le port série…. Mais au moins, c'est plus rapide.

Bonne soirée.

PS : petite info (sur le forum pfsense également)