salut salut

une réponse vous a pourtant été donnée, vous ne la comprenez pas, c'est une autre affaire.

non cordialement

mais je trouvais mieux qu'il y ai son nom…

Si l'utilisateur saisi "Schrompf vert" vous n'êtes pas très avancé. En pratique c'est totalement inutile et n'apporte aucune fonctionnalité de sécurité. Ou plus vicieux, l'utilisateur indique le nom d'une autre personne. Je vous laisse penser aux conséquences …

connexion VPN SSL qui viserait à contourner le proxy.

C'est judicieux d'y avoir pensé. Mais comment avez vous réalisé cela ?

Bonjour,

je suis stagiaire boulanger

alors voila j'ai acheté ma farine, mes oeufs et je me suis dit, j'ai pas de four, donc je vais faire une brioche au micro ondes.

je me suis lancé, et j'arrive pas a avoir une couleur bien dorée, ca veut pas prendre !

je voudrais des liens pour m'expliquer comment faire de bonnes brioches au micro ondes, sachant que je suis stagiaire boulanger.

ps:  asteriSk

@sapeurorca:

@Florian22:

pourquoi ne pas implementer Opendns et restreindre le DNS coté LAN?

Tu parle de faire un peu comme une blacklist DNS ?

Merci beaucoup pour ces tuyaux.

OUI, c'est un impoisonnement, pour tous les sites de thematiques a bloquer, les dns envoie une ip "frauduleuse"

c'est transverse niveau protocolaire (contrairement au proxy)

Par curiosité avez des trafics entrants (openvpn par exemple) qui transitent normalement via la LiveBox ? Jusqu'à plus ample vérification je propose d'envisager un problème potentiellement lié à la Livebox.
Si vous n'avez aucun trafic sur Wan (de type IpSec) lors de la tentative d'établissement d'une connexion je pense qu'il faut soupçonner la Livebox. Pour cela une vérification en activant la capture de trame sur Wan nous renseignera utilement.

:-) Ok.

Merci beaucoup à vous.

Pour les documentations free :-), vous en aviez à me proposer? Car je suis en quête sur la connaissance de pfSense et tout ce qui vient avec.

Cordialement.

@ccnet:

C'est très différent mais pas plus sûr pour autant. Les connexions vpn devraient être réalisées sur pfsense soit sur les équipements actuellement présents connectés à une interface spécifique ou bien directement gérées par Pfsense. On accorde souvent une confiance excessive aux liens vpn. Le problème reste que l'on ne sait pas qui est à l'autre bout réellement et comment il travaille. Idéalement un lien vpn dpit être filtré et ne déboucher que dans une dmz prévue pour cela. Le reste du réseau doit resté isolé et protégé.
En espérant que cela apporte de l'eau à votre moulin.

J'espère pouvoir supprimer ces routeurs un de ces jours et assurer des VPN Network2Network uniquement avec le cluster pfSense :-)

C'est une installation neuve, boitier livré en pfSense 2.2. La configuration est bien de type PSK, pas de certificat. J'ai testé Mutual PSK ou Mutual PSK + XAuth : idem.

Je partage l'avis sur l'intégration d'IPSec par la firme à la pomme : entre les mises à jour de sécurité qui foirent IPSec ou autres, il y a de quoi se poser la question toute légitime de passer par des solutions tierces plus efficientes ;-)

Je vous recommande VPN Tracker, si vous aviez besoin d'intégrer des tunnels IPSec + Mac OS X, d'autant plus que le support est réactif et très compétent en cas de soucis.

En complément, je suis tout à fait conscient que IPSec et OpenVPN n'ont rien à voir, mais je précisais dans mon post initial que sur ce point là OpenVPN, pas de soucis : ouf !

On peut clore ce sujet ;-)

Cordialement.

Faut-il spécifier un DNS sur le pfsense afin de pouvoir sortir ?

Pfsense n'effectue pas la résolution dns pour le trafic http issue d'une machine raccordée à une de ses interfaces. Pfsense peut fournir la résolution dns et est interrogeable par une de ces machines. On peut aussi fournir ce service autrement.
Dans votre cas (plutôt tordu et malsain d'un point de vue sécurité) et compte tenu ce que vous rapportez (dons sous réserve de la validité de vos tests) la résolution dns fonctionne donc le trafic UDP/53 passe mais pas le trafic http.
Un examen des règles en place, voir l'utilisation de Wireshark pourrait vous éclairer.

merci pour tes précisions.

Me reste plus qu'a attendre la MAJ corrective :)

Merci pour ce schéma. Je vous déconseille vivement, surtout dans votre cas de mettre le proxy sur le firewall.
A propos de Snort, je ne sis ce que vous en attendez. Sur le papier c'est très bien. La mise en oeuvre sur le terrain se révèle autrement plus difficile sur en matière d'exploitation des informations collectées. Et là, attention à la volumétrie ! Mettre cela sur le firewall peut causer de nombreux problèmes.

A la lecture de ces divers pots je constate que beaucoup se sont lancés dans l'upgrade en version 2.2 de façon très légère. Quelques remarques en terme de bonnes pratiques.

1. Il est toujours préférable de laisser passer du temps avant de décider un upgrade et consulter les retours d'expériences des impatients.
2. Il faut lire très soigneusement les documentations relatives aux modifications et évaluer l'impact sur vos systèmes.
3. Un test sur une plateforme de test (donc pas de production)  est très recommandé. Au passage ce test peut permettre de se familiariser avec les opérations de backup et restore qui réservent parfois des surprises (les interfaces affectées par exemple). Surprises qu'il faut apprendre à gérer.
4. Si possible la migration ou mise à jour doit se faire avec toujours une solution de retour arrière. Idéalement avent de migrer on créé un clone du firewall en production, on teste ce clone. Il pourra être utilisé pour un retour arrière quasi immédiat. Un cluster fiabilise les opérations.
5. Évidement on fait des backup et on les teste.

Ensuite on peut mettre à jour.

par ailleurs selon vos dire, LIMITER semble fonctionner.

Bonjour
J'ai eu le même problème de mon côté avec une configuration très proche.

Les symptômes sont uniquement présents pour un hôte virtuel sur le même serveur :
ping ok sur toutes les interfaces vers Internet
Pas moyen de télécharger de page HTML ou d'accéder à des services "sophistiqués".
Un débit très faible.

Cause du problème :
un cocktail entre l'"offload engine" - désolé je n'ai pas de traduction pour ça - avec la retransmission de trames entre les hôtes virtuel de XenServer ( géré par openvswitch il me semble) et de nouveaux pilotes de virtualisation des interfaces xen de freeBSD 10.1.
Cela génère une perte importante de trames entre les hôtes virtuels et pfsence et du coup l'impossibilité d'utiliser des services sophistiqués

je ne m'occuperai de savoir qui en est la cause, le plus important est qu'il y a une solution !

source : https://forum.pfsense.org/index.php?topic=85797.0

Il faut désactiver la fonction offload en transmission (tx) côté xen server sur les interfaces virtuelles de l'hôte Pfsense.

Pour ceux qui galèrent avec la configuration en ligne de commande , voici un petit pas à pas :

1 - se connecter à la console du serveur avec votre outils préféré (putty, terminal, XenCenter, etc)

2 - Repérez l'UUID de votre hôte virtuel pfsence avec la commande```
xe vm-list

3 - listez les UUID des interfaces virtuelles (vif) de l'hôte avec``` xe vif-list vm-uuid=[UUID de la VM]

4+ - pour chaque interface, effectuez la commande```
xe vif-param-set uuid=[uuid de la Vif] other-config:ethtool-tx="off"

Après cela le problème devrai avoir disparu, enfin, pour moi, il l'était…. ;D **Autre chose :** J'ai fait cette opération machine virtuelle éteinte. Bonne chance !!

Yop,

si tu ping une IP public depuis ton serveur, c'est que ton serveur accède au net, par contre si la navigation ne fonctionne pas tu as 2 possibilités :

1)problème dns :
          -  Vérifie ta conf réseau sur ton serveur (la partie dns)
          -  Si tu utilises l'ip de ton pfsense comme serveur DNS sur ton serveur, alors vérifie sur le pfsense que tu as renseigné un bon serveur dns (menu system -> general setup)

ta regle FW par défaut du coté LAN sur le pfsense est  mauvaise
          - Verifie la regle qui se nomme normalement "Default allow LAN to any rule" , ouvre la et verifie que le protocole est bien "any" (le dns c'est de l'udp donc si tu autorises seulement du tcp tu n'auras pas de résolution dns)

Pour ton problème que le pfsense ne ping pas ton serveur 2012, c'est à cause du firewall du win2012, le firewall de M$ bloque les pings par défaut.

EDIT :
vire ta regle any any sur le wan par contre par securité :)

Par ailleurs, quelle est la différence entre un portail captif et une authentification par le biais du service "Proxy" ?

La bonne question serait plutôt :
Quelle est la différence entre un portail captif et un Proxy ?
Les mécanismes d'authentification peuvent être les mêmes. L'authentification n'étant qu'une brique, une fonction d'un service. Ce qui est différent dans le cas de votre question c'est la nature du service. Le portail captif est un moyen de contrôler l'accès à un service disponible sur réseau (et non pas au réseau lui même). Le plus souvent c'est l'accès à internet qui est contrôlé par un portail captif. Une fois cet accès validé l'utilisateur accède sans autre contrôle en ce qui concerne le portail captif. Quelques contrôles annexes sont possibles (durée, bande passante, …)
Le proxy peut ne pas mettre en ouvre de mécanisme d'authentification. Le proxy est un mandataire, il exécute donc les requêtes à la place du navigateur du client et lui transmet le résultat. Ce faisant il peut aussi réaliser d'autres taches comme contrôler les url visitées, enregistrer l'historique de navigation, examiner les contenus envoyés par le serveur accéder (code malveillant, etc ...), gérer des politique d'accès (horaires, volumes, bande passante, ...). Il peut aussi décoder le trafic https (ce qui est rigoureusement interdit pas la loi française). Ces possibilités ne sont exhaustives. Tout dépend de ce que l'on veut faire d'un proxy.

Pour le reste, vu le peu d'éléments que vous communiquez, il est impossible de vous répondre.
L'ajout d'un package sur un firewall est rarement une bonne idée. Cela dit avez vous regardé cela : http://hubpages.com/hub/How-to-Set-Up-a-Radius-Server-on-pfSense-Using-the-FreeRadius-Package
Je ne vois pas où est le problème.

Après de multiples tests effectués, et malgré les nombreux tutos présents sur internet, je n'y arrive pas …

Comme nous ne savons pas quels tests vous avez réalisé ni dans quel environnement, c'est le brouillard. Retour à la case départ : https://forum.pfsense.org/index.php?topic=79600.0
Vous êtes environ 75% a être incapables de poser un problème correctement, du moins lors du post initial. Si cela n'est pas fait avant même de vous attaquer à votre projet, il ne faut pas vous étonner de ne pas y parvenir.

Ce qui se conçoit bien s'énonce clairement - Et les mots pour le dire arrivent aiséme - Nicolas Boileau.
Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs - Faux proverbe chinois.
Si tu es tombé dans la fosse à purin ne t’étonnes pas de sentir …

D'accord,

Je vous remercis en tout cas de l'aide que vous m'avez apporté.

Cordialement.

salut salut

Faire une recherche sur le forum et les réponses que nous avons pu faire pour ce type de demande et comment avoir une aide de notre part, n'aurait pas été mal venue.
Présentement vous passer pour un br… qui veux que nous lui sortions une solution d'une boule de cristal. Nous ne refusons d'aider du moment qu'il y a un minimum de travail en amont chose qui manifestement absent de votre par.

Non cordialement.

Bonsoir,

Après plusieurs essais avec des versions différentes je soupçonne un problème de conf ou matériel avec mon port série, celui du boitier.

Il y a-t-il un moyen d'installer Pfsense sans port série ? Il me semble que l'on peut modifier le fichier .img pour attribué une interface par défaut, mais je ne trouve pas de tuto.

Merci d'avance.

En définitive, après avoir fouillé un peu partout,  j'ai vérifié l'UDP par un pfctl -st et l'udp first est réglé à 300 secondes. Je donne le détail du réglage :  System, Advanced, Firewall/NAT, Firewall Optimization Options est le suivant en mode conservative :

udp.first                  300s
udp.single                  150s
udp.multiple                900s

Il reste que mes téléphones MGCP continuent à décrocher, OVH a ouvert un ticket. Ca ne doit pas venir de pfsense, mais si cétait le cas, je ferais un retour sur ce message pour donner l'explication.