Merci à toi ccnet pour les informations je vais voir pour le support en mode pont

grand Merci

@zozo:

je ne trouve pas le moyen d'accèder au bios afin de modifier la date et l'heure sur un Netboard A10 Rack Appliance avec pfsense. Vous n'auriez pas une idée?

De plus ce problème n'a rien à voir avec Pfsense. C'est un problème spécifique à votre hardware !

bonsoir et..

mille excuse ….

charge processeur en fait c etait update cpu et je passe d u onglet a l autre etc...

bon trêve d excuses j ai merdouille , pas de perte cpu mauvaise lecture .

desole :-[

a+

Le problème a été (au moins partiellement) résolu. Peut-être minato6 fera t-il un petit feedback plus détaillé ici.
Pour résumer:

faire fonctionner le portail captif avec LDAP (ce qui est cahier des charges initial) nécessite d'empiler, avec des configurations cohérentes, pfSense, le portail captif, un serveur Radius et un serveur LDAP (qui en l’occurrence n'est pas AD  ;)) il y avait des soucis dans le fonctionnement du serveur LDAP (avec comme je l'ai signalé, des messages de type bad checksum) il fallait, dans le cadre de cette configuration de lab, apprendre un minimum de choses sur le fonctionnement de LDAP. Bien que le protocole soit simple, en partant de zéro ça peut paraître compliqué  :-\

Une fois ces différents points adressés, ça fonctionne suffisamment pour démontrer la faisabilité et les conditions de réalisation, encore une fois "pour un exercice de labo". Avant une mise en production éventuelle, il reste plein de points à adresser. Par exemple le déploiement d'un serveur LDAP est un projet à part entière qui est au coeur d'une problématique de type "gestion des identité" (mais pas uniquement).

Pour compléter, d'un point de vue LDAP, le point soulevé par Florian22:

le login LDAP peut être n'importe quel attribut de l'entré, pour autant que celui-ci est unique dans la branche recherché. Avec un serveur LDAP classique, on utilise très généralement l'attribut UID qui est également souvent le RDN de l'entrée. Microsoft, comme à son habitude, a un peu perverti les choses en
  => utilisant CN comme RDN  :o :o :o
  => n'utilisant pas UID mais SamAccoutnName comme attribut contenant le login équivalent à l'UID

par ailleurs, la généralisation de la notion de domaine (au sens Windows du terme) avec, et ce point est dans le principe très positif, la généralisation de l'utilisation de Kerberos fait que le mécanisme d'authentification est souvent basé sur Kerberos qui demande un login dans le cadre d'un contexte (domaine), d'où la confusion, entretenue par le fait qu'il existe un attribut dans AD qui associé CN et domaine et permet donc de s'authentifier en s'appuyant sur LDAP mais avec cette notion de domaine "incluse".

Je vous invite à faire attention à ce point lors de la configuration, pour ceux qui l'utiliserait du package FreeRadius dans sa partie LDAP: la section qui décrit le "stripping around @" adresse exactement ce point.

Pour l'utilisateur final, la difficulté est qu'il ne sait pas nécessairement si l’authentification qui lui est demandé est LDAP ou Kerberos (et ce n'est pas son problème  ;D)

@minato6: si le problème est, comme je l'écris, "résolu", je t'invite à éditer ton premier post et à préfixer le titre avec [RESOLU]  ;)

Salut salut

Je pense que manifestement c'est un soucis de compréhension nous en sommes tous et toutes d'accord.

Les manques sont multiple ;

sur  la virtualisation en général et particulièrement esxi précisément en premier. sur les pare feux et particulièrement pfsense en deuxième. sur les concepts théorique et pratique liées à la notion de haute disponibilité informatique.

Je vous conseillerais ;

en premier lieu (si vous le pouvez) en physique,
C'est a dire sur une machine avec 3 cartes (2 wan 1 lan) en vous référant à des tuto pour traitant du concept du FO/LB sur les liens wan1/2 en deuxième lieu de rajouter une deuxième machine pour faire du cluster pf (dans votres cas c'est avec 4 cartes sur chaque machine. en troisième et ou en parallèle de vous servir de votre esxi distant avec la documentation qui n'est pas inexistante de monter votre projet.

Il est important de noter que vous n'etes pas le/la seul(e) à vous casser la tête avec ce type de projet de virtualisation et plus précisément d'un cluster pf mais pas que.

j'Up ce topic.

J'ai posé la question sur le forum anglais avant de me faire supprimer les messages.

même problème en 2.2 pour du FTP sortant avec le client ftp.exe (aucun problème avec les autres).
Sauf que je n'ai pas la main sur le produit ftp qui est livré par une éditeur logiciel et qui ne propose une autre solution que si on paye lourdement.

j'ai installé le package FTP Client Proxy mais la réponse obtenu sur le support c'est qu'il ne sert pas à régler mon problème.

Quand on gère 2 sites (ou +), c'est encore plus simple.

Attention, je répète, une fois la règle configurée, une fois la règle testée, elle fonctionne !
C'est comme un robinet : le robinet peut-être ouvert mais la qualité de l'eau qui y passe n'est pas dépendant de l'ouverture !

Vous ne savez pas poser un problème correctement, ce qui rend sa résolution difficile. Tout ce que je peux vous dire, de ce que je comprend : mettez une règle sur Lan pour interdire la destination 72.32.32.10.

bsr baalserv,

mais en 2.2.1, justement (hors ommission de ma part), cette selection du sens ne semble plus que possible au niveau du hostname

et plus en IP

problematique :  routage d'un port sur un hote présent derriere le CP, sans avoir besoin de l'authentifier et donc d'ouvrir les droits dans les deux sens

@slybreiz:

il est déjà derrière un autre par feu proxy  .

ca doit être charmant..

(mais hors sujet, donc je ne dis rien de plus)

Quand je redemarre le serveur j'ai cette erreur:

Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Starting Squid
Mar 17 15:59:21 squid[76600]: Squid Parent: child process 77300 started
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure' returned exit code '1', the output was '2015/03/17 15:59:21| WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance squid: ERROR: No running copy'
Mar 17 15:59:21 check_reload_status: Reloading filter
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:22 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:22 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:22 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync

Ce ne sont que des alertes pour dire que mon paramètrage est 'large' en memoire mais il ne dépasse pas les normes vu que j'ai 12Gb RAM et j'en attribue 8 a squid.

Et voila ce qu'il me dis quand j'active squidguard…:

Mar 17 16:04:32 check_reload_status: Syncing firewall
Mar 17 16:04:32 check_reload_status: Syncing firewall
Mar 17 16:04:33 php-fpm[15292]: /pkg_edit.php: Reloading Squid for configuration sync
Mar 17 16:04:33 check_reload_status: Reloading filter
Mar 17 16:04:33 squid[77300]: The url_rewriter helpers are crashing too rapidly, need help!
Mar 17 16:04:33 kernel: pid 77300 (squid), uid 62: exited on signal 6
Mar 17 16:04:33 squid[76600]: Squid Parent: child process 77300 exited due to signal 6
Mar 17 16:04:35 check_reload_status: Syncing firewall
Mar 17 16:04:35 php-fpm[94138]: /pkg_edit.php: Reloading Squid for configuration sync
Mar 17 16:04:35 php-fpm[94138]: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure' returned exit code '1', the output was '2015/03/17 16:04:35| WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance squid: ERROR: Could not send signal 1 to process 77300: (3) No such process'
Mar 17 16:04:35 check_reload_status: Reloading filter
Mar 17 16:04:35 check_reload_status: Syncing firewall
Mar 17 16:04:36 squid[76600]: Squid Parent: child process 29152 started
Mar 17 16:04:36 squid[29152]: The url_rewriter helpers are crashing too rapidly, need help!
Mar 17 16:04:36 kernel: pid 29152 (squid), uid 62: exited on signal 6
Mar 17 16:04:36 squid[76600]: Squid Parent: child process 29152 exited due to signal 6
Mar 17 16:04:39 squid[76600]: Squid Parent: child process 47128 started
Mar 17 16:04:39 squid[47128]: The url_rewriter helpers are crashing too rapidly, need help!
Mar 17 16:04:39 kernel: pid 47128 (squid), uid 62: exited on signal 6
Mar 17 16:04:39 squid[76600]: Squid Parent: child process 47128 exited due to signal 6

Là je vois qu'il chie sur l'url rewiter (je sais pas pq) et qu'il plante squid et le relance d'ou le retour de l'erreur des fichier trop grand en memoire.

Pour le reste je ne comprernd pas telment ce que signifie toutes ces infos.

J'ai mis en place la solution telle que vous me l'avez indiqué. Mes VPN fonctionnent par contre j'ai toujours ces coupures (si j'émets un ping permanent vers mon serveur distant, j'ai des "délais d'attente de la demande dépassée" dans les deux sens du (serveur distant vers serveur local et inversement).
J'ai un ping en moyenne de 75-80ms et avec quelques pics à plus de 100ms et jusqu'à 300ms de temps en temps.

Je ne sais pas si c'est une coïncidence mais j'ai l'impression que ça va quand même mieux depuis que j'ai créé un deuxième tunnel vpn, mais ce n'est pas encore optimal.

Si vous avez des pistes à explorer je suis preneur.

D'avance merci ;)

@Florian22:

6/ oui je te confirme bien, du moins chez moi, un user = une machine, (auth basée sur la machine)
  et non sur des identifiants, orientés multi-machines

Ce qui explique en partie nos différence de vue  ;)

Pour ce qui est de gérer des whiteliste dans le cas d'un déploiement en entreprise, ça dépend bien sur de la taille de l'entreprise mais c'est rapidement ingérable et donc irréaliste sauf cas particuliers avec un usage très limité du web.

@Holing:

Besoin : Mise en place d'un portail captif respectant les contraintes: Connexion à l'interface graphique sécurisée, Connexion en tant que client sécurisé, Comptes utilisateur dans un serveur Radius, Connexion temporaire avec des codevouchers, Proxy transparent, Filtre bloquant l'accès à certains sites (Violence, drogue ou a caractère pornographique).

Du coup, comme je viens de rebondir sur ce sujet suite à un débat sur le proxy dans un autre fil, je me permets de donner un avis  :-[

L'approche OpenDNS est probablement jouable en acceptant quand même pas mal de compromis, tant en terme de services offerts qu'en terme de sécurité.

si il n'y a pas de contrainte de profiling (tous les utilisateurs subissent les même filtres en permanence) si on considère que tous les services derrière une adresse IP sont à proscrire dès lors qu'il y en a un qui entre dans cette catégorie (par de granularité) si on ne s'intéresse pas au contenu de ce qui passe en clair sur le réseau (attachements, exécutables, virus etc…)

alors OpenDNS + Umbrella peut rendre un service acceptable dans certains environnements mais ne peut pas, si j'en comprends bien le fonctionnement, remplacer les solutions qui fonctionnent au niveau du protocole qu'elles couvrent.

Dans ce post il est principalement question de HTTP: un proxy bien configuré va rendre un niveau de service bien meilleur et bien plus sûr qu'OpenDNS, avec la possibilité de:
[list]

contrôler l'accès aux sites web en HTTP ou HTTPS ne filtrer que quelques URL spécifiques d'un site bloquer HTTP mais permettre SSH ou FTP ou le mail contrôler qui parmi les utilisateurs locaux peut accéder et quand mettre en œuvre un antivirus ….

bref, ce n'est pas comparable.
OpenDNS pour un device mobile qui se promène dans la nature sans VPN vers l'infrastructure sécurisée de l'entreprise, c'est envisageable.
Pour remplacer purement et simplement ce que ferait un proxy dans une entreprise (ici un hopital), je n'y crois pas beaucoup.

Ce que ne dit pas le cas décrit par Holing, c'est si la population qui accède au service est celle de l’hôpital (les employés) ou bien les patients. Il peut y avoir de petites (grosses) différences dans les contraintes et niveau de service.

Bonjour,

Je viens de passer a Xen6.5. Je vais tester surement ce soir le passage a 2.2 et voir si cela fait le même problème.

Des avis ?

Merci,

Bonjour,

Réponse un peu tardive, mais le problème est résolu…
Un peu noob sur les bords, j'avais oublié de bouger l'AP de port sur le switch
(il était toujours connecté avec Zentyal...)
Merci pour vos coups de main.
pwet-pwet.

1/ https://forum.pfsense.org/index.php?topic=79600.0

2/ https://forum.pfsense.org/index.php?topic=9708.0

@jzakaria6:

Bonsoir Mr Florian22

Déjà merci pour le temps que tu m'as accordé pour écrire tout ce paragraphe, ça se voit que t'es encore un étudiant  :) et tu disposes de beaucoup de temps devant toi ( car moi je suis dans plusieurs projet  :) )  surtout ta manière d'expliquer le fonctionnement du protocole et tout le baratin Mr Bac+3

je ne suis pas venu ici pour te clacher ou bien de te parler d'une manière un peux grossière comme tu as fait, sache que je bosse pour une grande multinational (vu mes compétence  :) )

j'utilise Windows tout simplement parce qu'il est très répondu dans le milieu professionnel ainsi que dans mes tâches quotidiennes, bref je ne vais pas te raconter ma vie  ;)

NB: Pour le  problème que j'avais évoqué en haut, il s'est avéré que je me suis précipité un peux car après un moment il a prie mon authentification Radius (latence réseaux)

Bon courage pour tes études  8)

ouvre tes cahiers et regle le timeout radius en fonction de la latence

ca t eviteras d'avoir des No Valid de manière aléatoire, imprévisible et récurrente.  … (info Kdo)

ps: bonne continuation dans la multinational"E"  (vu tes compétence"S")  (les autres dans les PME sont certainement des grosses merdes)...

ps2: On ne peut pas te gratifier d'avoir eu idée "du baratin" de toi même, vu que tu déboules ici avec ton "si supérieur" torche-balle.

ps3 : sache que toute la sainte journée j'ai "prié" pour qu'il l'ait enfin "prie"  ---  comme tu le dis si supérieurement bien

je retourne à mes études ...
et je te souhaite tout le courage pour tes cours du soir de niveau 6e Gram. Francaise.
(probablement des cours "supérieurs" en adéquation avec ta "si compétente position" dans ta si prestigieuse et mystérieuse multinational (E)

Pour le smtp, j'ai utilisé celui de mon hebergeur internet dans SME8

pour le problème de communication entre LAN et WIFI: j'ai rajouté une rules en gateway "*****" et destination "WIFI net"

edit: en reprenant mes notes, dommage que je n'ai pas lu la doc plus attentivement (je suis pas fortiche en anglais ;D) https://doc.pfsense.org/index.php/Multi-WAN#Firewall_Rules
Policy Route Negation
When a firewall rule directs traffic into the gateway, it bypasses the routing table on the firewall. Policy route negation is just a rule that passes traffic to other local or VPN-connected networks that does not have a gateway set. By not setting a gateway on that rule it will bypass the gateway group and use the routing table on the firewall. These rules should be at the top of the list – or at least above any rules using gateways.