en résumé : Pfsense vitualisé et mise à jour en 2.2.6 -> problème. Que racontent les logs au démarrage de Pfsense ? Dans Pfsense et dans Vmware ?

@jdh:

Monsieur 'je réponds en 20' y compris le dimanche' : cessez de faire des posts de m. sur moi et mes réponses.
Commencer par ne pas écrire des c. avec des livebox qui devraient avoir une route vers le LAN, parce que ça c'est très nul !

Je t'ai bien sûr répondu sur le fil en question  ;D

ok, merci, je vais créer un nouveau post.

L'origine de ce post date bien de 2014, mais le dernier post date lui de Novembre 2015 , et on est en Février 2016…

@crashoux:

Si on a un groupe de passerelle et donc deux passerelle individuel qui la compose.

Si on dit au SSh de passé par une des deux individuel, et qu'elle tombe en panne, est ce que le pfsense va de lui même l'envoyé temporairement sur l'autre?

Ce n'est pas comme cela que cela fonctionne.
Si tu as 2 passerelles, tu crées un groupe de 2 passerelles et tu configures dans les règles de FW, dans les options de la règle, que pour le protocole SSH, il faut utiliser non pas une des 2 passerelles physique mais le groupe que tu as créé.
Ensuite, tu peux décider dans ce groupe de mettre les 2 passerelles dans le même tiers >=> tu vas obtenir du load-balancing. Tu mets une passerelle en tiers 1 et une passerelle en tiers 2, si la 1 tombe, les connexions utilisent la passerelle 2 => fail-over

Bonjour,

Pour répondre à vos différentes questions chris4916 :

Au niveau du site 1 je suis très proche du DSLAM (< 150m)

Le fait d'avoir une VDSL est intéressant même si le déploiement est récent ici (je suis en Guadeloupe). Les débits descendant sont en moyenne de 70Mbps et 20Mbps en montant.

Du point de vue du site 1 à priori seul le lien IPsec ne remonte pas. Comme vous le décrivez, Internet tombe un très court instant ensuite redeviens fonctionnel au niveau du LAN (mes machines peuvent naviguer sur Internet) par contre le lien IPsec reste KO.

Voici une capture d'écran de la page IPsec status

On voit que la connexion est en cours … mais n'aboutit jamais.

J'ai tenté de relancer la connexion via le bouton "redémarrer le service" sans succès, aujourd'hui la seule manière que j'ai trouvé pour faire de nouveau fonctionner le lien IPsec est de rebooter la livebox du site 1.

Au niveau des logs lors de la reconnexion j'obtiens le log suivant :

charon: 14[IKE] <con1000|4958>IKE_SA con1000[4958] established between IP_LAN_PFSENSE[IP_PUBLIC_SITE1] … IP_PUBLIC_SITE1[IP_PUBLIC_SITE1]

Comme conseillé par jdh, j'envisage de mettre un modem VDSL à la place de la livebox Orange mais je ne suis pas sur du résultat.</con1000|4958>

Vous en mettrez une copie d'écran ici pour que l'on puisse regarder ce qui se passe.

Pour moi, ce fil c'est STOP.

Soit vous comprenez les enjeux et vous suivez ce que je vous conseille (nouveau fil, …)
Soit vous ne comprenez pas, et je quitte ce fil (et ccnet ne devrait pas tarder à en faire autant !)

Si vous saviez le temps que l'on peut gagner en lâchant le clavier, en prenant un papier, un crayon, en dessinant un schéma (même à la main), en utilisant le formulaire ...

Ce fil devrait être clos … puisque la réponse a été donnée en anglais.

tomas25 a créé le même fil en anglais :

traduction mot à mot : p.e 'J'ai installé pfsense sur virtualbox.' devenu 'I installed virtualbox on pfsense.' : va falloir prendre des cours ... même texte = autant d'infos = rien !

La réponse :

What are you using for DNS? The browser has to be able to resolve an external address before redirecting to the portal page. Until you've authenticated, external DNS servers are unavailable, so the best thing is to set PFS as a DNS forwarder and use the firewall as your primary DNS for your LAN clients.

Le bon sens même ! L'idée et la bonne méthode !

Bref :

tomas25 n'a pas bien préparé son test : une machine a besoin de 4 éléments 'de base' ip, masque, passerelle et dns : le minimum est de s'en assurer ! tomas25 ne fournit presqu'aucune info : par chance, il obtient une idée qui est la bonne.

Moralité :

on doit toujours vérifier les éléments 'de base', comme le dns on doit comprendre le fonctionnement de ce qu'on essaie de mettre en place : le portail captif est un interrupteur : pas authentifié = fermé on devrait analyser : un test = une réponse OUI ou NON = si NON alors un pourquoi devrait avoir une ou 2 raisons à analyser ! on devrait utiliser le formulaire : mettre des infos suppose d'avoir fait des tests, notamment au moins la base

Quand on ne connait pas le fonctionnement de ce qu'on essaie,
quand on ne teste pas les éléments de base,
on a oeu de chance d'y arriver,
et quand on pose une question sans fournir d'infos,
c'est de la chance d'avoir une réponse …

Quand à l'incrustation, c'est affligeant ...

Je vous ai déjà écrit qu'il fallait utiliser le formulaire.
Notamment pour préciser les recherches que vous DEVEZ avoir fait avant de poser un fil …

Sur votre précédent fil, vous avez obtenu des réponses dans la version anglaise :
il est NOTABLE que c'était le DNS que vous avez configuré qui n'était pas correct.
Si vous aviez pris la peine d'utiliser le formulaire, il aurait été possible de remarquer : 'je suis idiot, je défini un DNS qui n'est possible qu'après ouverture du portail'

Les règles d'un forum sont pourtant à la portée de tous :

je fais de recherches AVANT je tente des choses AVANT j'ouvre un fil, en respectant la présentation et, donc, en fournissant des informations je reçois des retours ...

Ici, vous ne cherchez même pas, alors je ne vous réponds pas (et j'encourage tout le monde à en faire autant vis à vis d'un tel mépris des lecteurs !).

Bonjour Talwyn
Merci pour ta réponse.
Je comprends, mais quoi qu'il en soit, il faut quand même qu'ils restent poli et courtois. Il en va de l'image du forum.
Bien entendu, si on branche un appareil non maîtrisé sur un port, il faut à minima mettre des règles pour lui empêcher d'accéder au LAN :-)
Après, entre une freebox et une machine windows 10, je ce sais pas ce qu'il y a de pire ;-D (vive linux !)

jdh,

vous devriez comprendre que CE type de firewall ne gère qu'ouverture et fermeture de ports et ne gère RIEN 'à l'intérieur d'un protocole' (ports).
Je sais ! Ma question était juste de savoir si l'un d'entre vous avait déjà essayé de voir d'où la freebox tenait ses pubs ! Si c'est un serveur de pub, c'est toujours possible d'en empêcher l'accès pour voir comment ça se comporte.
Question protocole en jeu, un lien (facile à trouver) : https://www.lekernelpanique.fr/2014/02/23/analyse-reseau-entre-freebox-player-et-freebox-server/
Merci pour le lien, c'est exactement ce que je voulais ! Ca répond parfaitement à ma question.

Croyez-vous, avec votre formidable expérience, que pfSense dispose d'un module 'Man In The Middle' dans ce flux Ipsec ?
Faudrait relire ma question… ce n'est pas ce que je demandais...

Ce formulaire est extrêmement facile à remplir, ne prend que quelques minutes à remplir, et permet, dès le départ, de fournir des informations.
Désolé, mais mon post ne concernait pas un problème, donc je n'ai pas de schéma réseau à vous fournir. C'était simplement une question de faisabilité !!

ccnet,

Si vous avez des éléments vous les exposez clairement. Compte tenu de ce que vous dites savoir et de votre sous entendu (que la pub ne vienne pas d'un serveur de chez free), je ne vois pas pourquoi vous ne savez pas résoudre le problème (dont vous ne donnez pas les éléments).
Mon post ne concernait pas un problème, c'était une question ! A savoir : si certains d'entre vous c'étaient déjà penché sur le sujet.

Mais relisez mon post ! Je n'ai pas de problème ! C'était juste une question !!!

En tout cas Jdh à répondu à ma question. Merci.
Personnellement, je ne pense pas reposter sur le forum français, vu l'accueil, que je me fais pourrir alors que je ne pose qu'une simple question que vous prenez pour un problème…

Auriez vous manquez le formulaire ?
Comme beaucoup, vous avez des questions qui partent de d'une idée préconçue que vous vous faites des solutions techniques qui seraient nécessaire à la mise en œuvre de fonctions de sécurité. Mais vous ne décrivez pas celles ci d'un point de vue fonctionnel, ce qui est le point de départ. Par ailleurs vous écrivez le français avec une désinvolture qui pénible la lecture de votre demande.
Si vos voulez une aide adaptée à vos besoins, commencez par les exprimer d'un point de vue fonctionnel. Certaines de vos demandes me laissent assez perplexe.

je voudrais bloquer les adresse mac non consigner dans une configuration au sein de pfsense

Il est tellement facile d'usurper une adresse mac ou simplement d'en changer que je ne comprend pas où vous voulez en venir.

les adresses bloqué ne peuvent pas sniffer le reseau

Bloquées ou pas, personne ne ne souhaite jamais qu'une machine puisse "sniffer" le réseau. Cela dit je ne comprend pas bien ce que vous attendez de Pfsense sur ce point.

seul pfsense peut communiquer avec le serveur dns ou dhcp si ce dernier n'est pas configurer en tant que dns/dhcp server

Je ne comprend pas votre phrase.

bloquer P2P et autre site de telechargement /utilisateur

Ce n'est pas un de fonctionnalité de firewall mais de proxy ou d'une solution de filtrage applicatif, ce que ne fais pas Pfsense.

Salut salut

Ce qui me gêne le plus c'est le changement d'adressage de xxx.yyy.0.zzz a xxx.yyy.100.zzz coté dhcp.
Cela me gêne grandement, seul celui qui à les log admin ou pourrait connaitre une faille sur pfsense qui n'est pas encore connu sur la place publique qui me fait tiquer.
Par le passé j'ai plus fait attention à ce type de soucis et changé illico tout les mot de passe de serveur dont j'avais la charge.
Même si cela pouvait être par excès de prudence cela ne fit jamais de mal, et cela permet de voir qui demande quel est le passe pour x ou y serveur et découvrir qui n'est pas sensé avoir accès au dit serveur.

Ce qui m’intéresserait est de voir si qq un se log sur le pf et modifie les param de ce dernier et depuis quel ip. la routine en somme et la précaution.

Cordialement.

Bonjour,

merci pour cette piste, je m'y attèle de ce pas.

l'accès au partage était déjà coché dans les paramètres du pare-feu, j'imagine qu'il est autorisé de manière limitée

Pourquoi un firewall clickodrome saurait ouvrir de façon limitée ? Me semble une mauvaise analyse des symptomes ou une erreur de mesure.

je reviendrais vers vous si je trouve la solution

pour repondre, pfsense est sur un dell R310 non virtualisé et les machines virtuelles sont sur 2 bullion novascale avec 1TO de Ram chacun

Salut salut

Pourriez vous vous conformer à l'usage du formulaire pour que nous poussions vous aider ou vous aiguiller ?

Sans quoi nous n'aurez aucune certaine partie des membres actifs et qui ont une certaine expertise du sujet.

Cordialement.

Il y a des formulaires qui se perdent …
Vous arrivez avec une question qui porte sur la mise en œuvre d'une solution technique. Or nous ne savons pas quel est le besoin fonctionnel précis que vous souhaitez couvrir. Vous parlez d'inredir ou de permettre l'accès à un service ... C'est vague et je ne suis pas certan que nous parlions de la même chose. Difficile de vous conseillez avec pertinence. De plus, par expérience, cette solution technique (utiliser des adresses mac)  est rarement une bonne solution d'un point de vue sécurité. Par bonne j’entends efficace, sûre.
Si vous expliquez le besoin fonctionnel, et strictement fonctionnel nous y verrions plus clair.

Je ne vais plus chercher le non faisable. J'installerai un sevrer Squid ultérieurement pour gérer les accès au web. Le serveur de fichier gère les accès au partage suivant les utilisateurs.

Cà me parait bien mieux avec les bons outils au bons endroits !
Si il a ces fonctions liées à l'authentification c'est pour des choses comme le vpn, les les packages comme Squid (peu conseillés) qui sont susceptibles d'être installé sur Pfsense.

Il aurait été souhaitable d'utiliser le formulaire de présentation indiqué à https://forum.pfsense.org/index.php?topic=79600.0 (il est impossible de dire qu'il n'est pas visible !)

Il y a un gros problème de compréhension :

un portail captif est un système qui autorise la traversée ou non d'un firewall passer par un proxy se traduit par une requête émise par le proxy pour le visiteur

Il est donc clair qu'en passant par le proxy, le portail ne joue plus aucun rôle (puisque ce n'est pas le pc qui traverse le firewall mais le proxy).

Au pire, avec un portail captif, on peut rediriger le flux http (vers Internet) vers un proxy.
Mais cela ne peut fonctionner que pour http !

Je confirme ce qu'écrit ccnet : problème Squid.
(Et j'infirme le piste foireuse de MITM : rien à voir !)

Quelques informations utiles :

Squid devrait être placé ailleurs que sur un firewall, à partir d'une certaine taille (disons 15 utilisateurs). Squid et Windows update ne font pas bon ménage : les correctifs que l'on trouve, ne fonctionnent guère ! Les sites de Windows update ne doivent pas passer par un proxy Squid ! Pour Windows update, dans une société d'une certaine taille (disons 50 micros), une bonne idée est d'installer un serveur WSUS (compter 200-250 G). Ce serveur WSUS ne doit pas passer par un proxy Squid !

Il faut savoir que Windows Update utilisent des connections qui peuvent ne pas se terminer :

un fichier est téléchargé partiellement à partir d'une source, le reste peut provenir d'une autre source ! (incroyable mais vrai)
Sauf que Squid ne fonctionne pas comme ça : un chargement doit se terminer pour Squid …
D'où les problèmes avec Squid ...

NB : Je cite le lien http://wiki.squid-cache.org/SquidFaq/WindowsUpdate : il y a des explications mais les réglages proposés ne résolvent pas le problème (pour 2.7 et 3.0)

(Je peux en parler, j'ai tenté, j'ai échoué, j'ai observé, et j'ai fini par mettre en place WSUS : c'est toujours mieux que de parler sans savoir.)