Au lieu de contester ce que j'écris, vous devriez donner des liens.
J'en ai ras le bol d'avoir de la contestation de votre part : cessez de polluer ce que j'écris ! Et d'ailleurs elle n'est que DE votre part !
Vous compliquez toujours tout ! Et les débutants sont noyés : pitoyables propos … comme toujours !
Comme d'hab 'moi j'utilise pas' ou 'ce n'est pas le meilleure idée' mais faites donc ... alors qu'il suffirait que vous ne répondiez rien (puisque vous n'utilisez pas ou ce n'est pas une bonne idée !).
Vraiment un gros n..

Non, WPAD n'est pas difficile à mettre au point : 2h, quand on a envie, doivent suffire (Oui il faut un serveur web, mais c'est pas la mer à boire)
Non, configurer un navigateur n'est pas difficile, en tous cas pour l'auto-détection !

Un bon lien, facile à mettre en oeuvre et facile à trouver, http://findproxyforurl.com/deploying-wpad/ (c'est simple, il y a tout pour mettre en oeuvre WPAD)

Evidemment si Monsieur veut tout faire avec son pfsense : proxy, serveur web, dns, c'est moins simple.
Mais dans une entreprise civilisée, d'une certaine taille, on sait que dhcp/dns est géré par le DC Windows, on devrait avoir un proxy séparé, et un petit serveur web ça se trouve (surtout pour 3 fichiers texte à la racine ! Moi c'est sur un srv web à tout faire OCS, GLPI, ...).

Bonjour,

Pour comprendre le traffic shapper, j'essaie d'utiliser le wizard.

J'ai un soucis, mon interface LAN1 est considérée comme une interface WAN par le wizard Multiple Lan/Wan .

Comment puis je modifier cela ?

Merci

As-tu regardé dans les logs (status / system logs / firewall) si ces requêtes sont bloquées ?

Je vois que vous ne comprenez vraiment pas beaucoup !

1ère erreur :
Vos adresses 81.XXX.XX.6/25 sont stupides ! Si vous voulez ajouter des adresses virtuelles, elles seront /32, que l'on note sans le /32 par convention.

J'ai eu beau l'écrire plusieurs fois, posez plusieurs fois la question 'comment on fait', vous passez sur ces âneries sans comprendre …

2ième erreur :
J'écris que la règle NAT est correcte (et qu'elle génère automatiquement une règle liée dans l'onglet WAN).
J'écris les mot 'cible claire', et vous ne comprenez pas la suite logique

Il faut 1 règle NAT identique pour chaque ip virtuelle !
C'est quand même pas grand chose ...

Ce qui aurait été intelligent, c'est de créer des règles WAN pour accepter le ping sur les ip publiques. Mais ça, vous avez oublié en route.
Perso c'est ce que je commence par faire parce que cela permet de vérifier que les ip virtuelles sont bien 'présentes' et 'actives' au niveau du WAN.

En fait c'est souvent bien plus simple mais il faut juste faire ce qui est nécessaire.
Quand quelqu'un répète quelque chose, il faudrait comprendre que cela veut dire des choses ... Mais non ...

@Shadow:

Je ne fais pas du HA avec pfsense, et ils ne sont pas en cluster en effet, il y a juste une synchro partielle via carp.
…/...
Désolé si mon explication de base n'est pas claire.

L'essentiel étant probablement que ça fonctionne  ;)

Il s'agit d'un problème de vocabulaire.
CARP (qui est l'acronyme de Common Address Redundancy Protocol), vise à gérer des IP virtuelles flottantes. Ce n'est pas de la synchro  ;)
Si tu fais de la synchro de certains paramètres mais que tu n'implémentes pas de cluster, tu n’utilises pas CARP.
Comme ton message initial faisait référence à cette solution, je pensais qu'il y avait de IP flottantes mais… non.
C'est juste 2 FW sur le même LAN  :-\

Est il possible de le faire directement depuis Pfsense?

Pfsense est un firewall (il semble que même en le disant çà ne rentre pas dans les esprits). Il ne fait ni le café, ni radio réveil.
Plus sérieusement vous mélangez effectivement différents aspects. Ce que vous cherchez à faire est un travail de proxy. Il reste à bien éclaircir ce que vous souhaitez gérer: la durée ou la plage horaire, ou une combinaison des deux.

Suite à ton message, et par curiosité, j'ai également fait des tests hier avec ma Freebox mini4k mais sans succès pour le moment.
En bridgeant le VLAN100 (j'ai fait la même chose que toi  ;D), je récupère mon IP publique sur le player mais lors des quelques tests effectués, je ne suis pas allé plus loin que la la recherche d'obtention des mises à jour.

Du coup, en y réfléchissant un peu plus (mais je ne peux pas faire de tests pour le moment et c'est compliqué car j'ai 2 players), je me demande si tu es obligé de faire un bridge.

A la limite pour le VLAN100 et encore. Ne peux-tu pas le router ? (ce qui signifie configurer un serveur DHCP pour le VLAN 100 coté LAN)

Je refais des tests dès que possible dans cette direction.

Par ailleurs, (ça ne fais pas très longtemps que je joue avec le player de Free), ce device est assez capricieux: il faut parfois relancer plusieurs reboot (dans un mode de connexion "normal", les players connectés directement derrière la Freebox) pour que la conf soit chargée correctement et opérationnelle. En revenant aux branchement d'origine suite à mes essais, le player ne fonctionnait plus et il m'a fallu repasser par les réglages d'usine pour retrouver un player fonctionnel.

En effet c'est soit l'un soit l'autre mais tous les deux ne peuvent s'accaparer le port 53.
DNS Forwareder est basé sur DNSMasq alors que Resolver est basé sur Unbound, avec des modes de fonctionnement un peu différent entre le mode séquentiel pour l'un et parallèle pour l'autre.

Je crois que Resolver est celui activé par défaut depuis quelques versions de pfSense.

PS: si ton problème est résolu, tu devrais modifier le titre de ton premier message pour le marquer comme [RESOLU]  ;)

Bonjour,
après une réinitialisation complète ce matin de la Livebox, tout semble fonctionner comme prévu.
Après trois heures de test, il semble que la solution soit stable, mais je ne saurais pas d'ou venais le problème (à priori de la LB).

Merci à vous.

Salut salut

1- Avez vous bien lu les tuto sur le multi wan qui foisonnent sur le web dont le site du modo chef ?
2- Pourriez vous nous en dire plus en regardant et appliquant ==> https://forum.pfsense.org/index.php?topic=79600.0  !!!!!!!!
3- Sommes nous tous extralucide pour répondre au mieux à votre question?

J'ai bien des réponses pour le 1 et 2 et des certitude pour le 3.
En fonction de vos réponses vous aurez un retour approprié à celle ci.

Cordialement. (pour l'instant)

Que donnez vous comme infos ? peu, très peu
Respectez vous le formulaire de présentation ? non

Et vous voudriez qu'on cherche à votre place ?

Outils possibles :
Firewall : Pfsense
Proxy : Squid avec des solutions de filtrage de contenu : dansgardian, squidguard. Voir aussi Artica.
Relai smtp : Postfix voir solutions packagées avec ClearOS par exemple. Artica aussi.
FTP : ce n'est pas ce qui manque. Plutôt a proscrire de nos jours. FTP est peu sûr, difficile à sécuriser. Selon besoin on peut envisager OwnCloud. Si il s’agit de mettre à disposition des fichiers. Bien d'autres choses possibles avec cet outil remarquable.
Serveur web : IIS (bof) Apache2, Nginx.
D'une façon générale éviter les solutions où un serveur MS est en dmz avec une réplique de votre AD. Inutile d'exposer celui-ci.
VPN : on le fait souvent sur le firewall. On peut le faire autrement, avec Pfsense aussi mais qui ne remplira pas le rôle de firewall (J'ai testé et plusieurs fois mis en œuvre).

@tupiware:

Bonjour dans User MANAGER j'ai exactement ça au niveau des containers:

OU=ACTIVE,OU=UTILISATEURS,OU=SOCIETE,DC=domain,DC=local;OU=GROUPES,OU=SOCIETE,DC=domain,DC=local;OU=SOCIETE,DC=domain,DC=local

Ma compréhension des "labels" sur cette page est que ce champ "containers" est utilisé pour le ldapsearch de l’authentification. Du coup, comme le scope est à "sub" (full tree), si tu mets à la fois :

ou=active,ou=utilisateurs,ou=socité,dc=domain,dc=local

et

ou=socité,dc=domain,dc=local

le deuxième étant plus large que le premier (et donc le premier totalement inclu dans le deuxième), ça ne sert à rien (c'est redondant)

Je crains que cette analyse des causes du dysfonctionnement initial (notamment l'ouverture des port ttcp et udp) soit erroné. Mais comme "ça tombe en marche" …

Grand merci a chris4916. Grâce à son expertise, a sa disponibilité et sa patience, j'ai reçu a mettre en place le filtrage voulu c'est à dire "bloquer" les sites en https via squid3 sur pfsense.
merci !!!!

C'est lui qui va faire le lien entre les requêtes web entre le lan et vers internet donc pour plus de sécurité je préfère le placer en DMZ
Après je vais travaillé sur le wifi un pour mon lan et un visiteurs quand j'ai du monde qui vient ^^

@Shadow:

Le netmask est large car, par praticité de lecture, j'ai voulu segmenter visuellement les types de machines par leur ip.

Le choix du netmask n'est pas complètement anodin.
D'autan que si tu gères, comme je le pense, tes IP à la main, c'est que tu as peu de machines. Du peux donc maintenir un fichier avec des "zones" pour tes types de machines dans un /24, ce qui représente déjà 254 hosts  ;)
Et dans ce cas, il convient, "normalement", d'utiliser une adresse dans le range 192.168.x.x, ce qui te permet un nombre de hosts déjà considérable.

Ce point est à prendre en compte pour des aspects de "taille de réseau" en interne mais également pour des aspects justement liés au VPN:
si tu choisis une classe A ou B sans considération, le rsique pour que le site distant soit dans un range qui se superpose (même partiellement) augment, ce qui nécessiterait de mettre en œuvre une couche de NAT supplémentaire alors que dans ton cas, ce n'est pas indispensable.

Je te suggère donc d'une part de lire un peu de littérature sur l'usage des netmasks et de considérer, compte tenu de ta volonté de mettre en œuvre un serveur VPN, le problème potentiel que je décris.

Je ne vois rien de vraiment choquant dans les copies d'écran que tu fournis (même si effectivement on pourrait discuter du choix de SHA1 pour l'authentification).
Il faut donc aller voir dans les logs… car il est fort possible que le FW coté pfSense bloque quelque chose.

Rien à voir avec IPsec: je suis interpellé par tes netmaks. Je pensais que c'était une erreur dans le premier message mais les détails du second confirment ceux-ci.
Pourquoi pas /23 coté pfSense si tu as plus de 254 hosts maiis le /16 coté Livebox  :o

Qu'as-tu tu, coté pfSense, dans "Status / system logs" ?
Regarde les logs system mais surtout les log du FW et du VPN  ;)

@baalserv:

Je n'interviendrai pas dans le débat sans fin entre toi et JDH (car totalement inutile et non constructif^^) mais je vais tout de même te répondre  :)

En effet, quasiment systématiquement, quel que soit ce que je poste ou presque, ça se termine avec jdh dans un (non) débat stérile, inutile et non constructif.
Dommage  ::)

@baalserv:

Premièrement dire : Va le faire ailleur mais pas içi ! (avec une solution que tu semble considérer comme idoine) C'est mal me connaitre car ce n'est pas mon style du tout  :-\

Oh non pas du tout. Je n'aime pas vraiment SME.
Si j'avais à choisir aujourd'hui une solution ce type (c'est à dire UTM), avec une contrainte forte qui serait une interface graphique, j'irai plutôt vers une plate-forme Zentyal antérieure à 4.1  ;D

@baalserv:

Deusio : Quand à Sme je vais déveloper plus bas  ;)

@chris4916:

Il y a effectivement d'autres solutions et si le besoin est uniquement un MTA filtrant, pfSense n'est pas la solution, pas plus que SME à mon avis. une plate-forme Linux avec Webmin si le coté interface graphique est indispensable (bien que je n'aime pas du tout cette approche) me parait plus efficace.

Ha … parce que SME n'est pas une plate-forme Linux avec Webmin ?  :o

pas à ma connaissance mais je peux me tromper.
quand tu écris "webmin", tu penses à ça ? (juste pour éviter une confusion supplémentaire)

@baalserv:

Oui SME propose un mode serveur+GW offrant alors des services de routages et FW mais également d'un mode serveur only  ;)

Effectivement, je ne pensais pas du tout, au moment où je formulais ma remarque, et dans le cadre de "pas de MTA sur pfSense", à ce mode de déploiement "SME sans FW"  :-[

[quote]Sme est basé sur CentOs et est construit avec un système d'ebay et template apportant cloisonnement et sécurité. Sme à été conçu pour offrir des services de serveurs (Mails, fichiers, dhcp, dns, ldap, …) , contrairement à pf qui lui est conçu pour offrir des services de fw avant tout.

Ma proposition est bien plus honète que tu ne me le prète et donne une piste à explorer  ;)

Certainement. pfSense + SME "server" est une solution viable dans le mode "server only" et ma remarque ne s'applique bien sûr plus avec cet objectif de MTA filtrant supporté par SME en mode "server only".

Le point récurent est vraiment celui des packages que pfSense (ou plutôt des développeurs) met à disposition, sans cependant intégrer les fonctionnalités dans le développement de base.
Ce serait bien sûr beaucoup plus simple si l'équipe pfSense ne permettait absolument aucun changement aux fonctionnalités intégrées. Pas de menu package, rien dans le wiki. Que du FW et rien que du FW  ;D
Mais ce n'est pas le cas car le besoin, pour certaines infrastructures, de déployer une solution autant que possible "tout en un" est évident et même l'équipe de pfSense ne peut résister à s'ouvrir à ce type d'intégration.

Du coup, la position (que je qualifie de dogmatique lorsqu'elle n'est pas étayée  ;)) qui consiste à ne dire que "pas de ça sur pfSense" est difficile a tenir sans argument technique car celui qui va consulter la doc en ligne de pfSense va même y trouver des préconisations en terme de hardware en cas de déploiement de package.
Le forum de pfSense fait une large place à ces add-ons et l'interface de pfSense intègre cette option, avec une liste des packages et de leur description.

Il me semble qu'il serait beaucoup plus constructif du coup d'expliquer et d'argumenter au lieu de renvoyer systématique la personne qui pose la question dans ses pénates.
Ta solution alternative rentre dans ce cadre, même si il n'y a pas vraiment d’explications du "pourquoi ce n'est pas faisable avec pfSense".

Nous avons essayé d'échanger il y a quelques mois autour de ce sujet (à propos du proxy HTTP) mais la discussion tourne rapidement court  :( sans que, de mon point de vue, un argumentaire fort soit mis en avant pour justifier qu'il ne faut surtout pas, et ce systématiquement, aller dans cette direction de déploiement d'un package sur pfSense.

Et la réponse n'est pas aussi simple que ça, sauf si le point qui prévaut est de dire que de toute manière c'est mal développé et mal maintenu  ;D