@ JDH : bonne idée la règle de block totale du https :) domage que l'on ne soit pas sur site pour voir la tête des utilisateurs une fois appliquer  ;D

@ cayre_n : à lire et a relire => https://forum.pfsense.org/index.php?topic=69908.0

+1

Je connais et comprend le principe du wakeonlan, c'est un packet envoyé à tout le monde (broadcast) avec les infos qui vont bien pour que l'intéressé se réveil.

NON méconnaissance et incompréhension ! Le paquet est envoyé à la seule machine cible désignée par son adresse MAC (à la limite l'adresse ip importe peu) !

Le lien (très classique) que je donne indique

Il est possible de lancer un Wake-on-LAN à travers Internet, vers une machine située derrière un routeur NAT, mais ceci sous certaines conditions : le paquet magique doit être un paquet UDP, dont le port utilisé est redirigé vers l'adresse IP de la machine qui doit être réveillée. L'ordinateur étant éteint, il faut alors configurer de manière permanente l'association Adresse MAC/Adresse IP dans la table ARP du routeur (dans le cas contraire, cette association expire dans le routeur au bout de 5 minutes environ, et le paquet magique ne sera pas dirigé vers la machine). Certains routeurs permettent de réveiller une machine du réseau local à travers leur interface web ou via telnet.

Je ne vois pas indiqué ici une adresse de broadcast !

Il est évident que la machine cible étant arrêté, elle ne risque pas d'avoir une adresse ip ni de répondre à un broadcast ip.
Le protocole définit que la machine cible répond à un paquet udp : en entête de paquet udp, il y a à la fois une adresse ip mais surtout une adresse mac.
Il est clairement dit qu'il faut une association arp statique.

…

Il y a un mécanisme simple qui peut résoudre aisément (et en sécurité) : un accès VPN sur le réseau LAN, accès à l'interface web de pfSense puis Wake-on-LAN de la machine.
J'ai du mal à comprendre qu'on ouvre un port pour seulement réveiller une machine ... sans aucune identification !

NB : j'ai lu la doc de Teamviewer à http://www.teamviewer.com/fr/res/pdf/TeamViewer-Manual-Wake-on-LAN-fr.pdf et je suis stupéfait des paragraphes 7.1.1 et 7.1.2 (que vous reprenez) : je suis très sceptique !

Le schéma c'est très bien. Sans les légendes c'est illisible. Cela n'a rien d'un schéma réseau habituel. Je ne comprend pas votre architecture ou du moins son implémentation réelle. A quoi correspondent les flèches de couleurs, les traits, les numéros, les machines ??
Cela dit : https://forum.pfsense.org/index.php/topic,40552.0.html

Merci beaucoup pour ces réponses rapides. Je vais me lancer dans openvpn ! J'avais créé plusieurs vpn avec ipsec et des routeurs netgear ou autres.
J'ai créé un client openvpn pour la freebox (qui a installé un openvpn depuis quelques jours).
Je suis sur pfsense depuis 2 mois, avec une connexion fibre orange. J'ai créé un vpn entre deux sites (d'un côté pfsense, de l'autre netgear fvs338 qui fonctionne très bien).
Pour les clients mobile. J'ai configuré la page "mobiles clients" et un tunnel avec l'authentification mutual psk + xauth. Pour la phase 2, j'ai configuré 2 phases 2, l'une pour accéder au réseau entier (pour moi), l'autre pour accéder à un seul serveur sur le réseau. Quand je connecte l'un ou l'autre des utilisateurs, la connexion a lieu mais je ne peux accéder au réseau. Je voudrais (pour la gloire !), comprendre ce qui se passe car je vais configurer openvpn. Merci encore

Bonjour,

Encore un post sans la moindre info ^^
=> ce qui explique sûrement l’absence de réponse sur votre fil ^^

Donc :

Même FAI ?
Quid des ip de monitoring des gateway ?
Quid des dns utiliser par Wan 1 et Wan 2 ?
Quid des règles de FW ? (donc des gateway utiliser)
…

Cordialement

P.S : boule cristal en panne ^^

Merci. Bonne soirée.

Séparer des matériels =
soit, séparation physique
soit, séparation logique.

La séparation physique est, de loin, la plus sure.
Cela consiste à relier une prise physique à un switch donné : l'utilisateur, n'ayant pas accès à la baie de brassage, utilise une prise physique relié à un switch désigné, et il n'y a pas d'ambigüité.
On peut aussi utiliser du wifi : 1 signal = 1 réseau.

La séparation logique est le VLAN.
Il faut configurer au niveau du switch et en fonction de la prise du switch sur laquelle est reliée la prise physique, vers quel vlan on envoie le flux.
Cela suppose de disposer des switchs supportant les vlan, et il faut, au final, parfaitement identifier tout.
Certains switchs poussent la config en raisonnant à l'adresse MAC et en y associant le vlan quelque soit la prise du switch utilisé !
C'est donc assez technique et fortement dépendant des possibilités des switchs (HP, Cisco …).

Dans les 2 cas, cela exige de parfaitement identifier prises, câblage entre bandeaux et switchs, config vlan du switch ...
Cela reste un exercice de bon niveau ... et qui exige une grande ténacité.

Si j'ai écrit que cela ne pouvait fonctionner, pour la config routeur, c'est qu'il y a une anomalie tout à fait évidente !

A partir du moment où vous avez un routeur, il est forcément nécessaire de configurer celui-ci pour tous trafics entrants (et d'indiquer la cible).

Bonjour,

Réponse très tardive de ma part… Merci d'avoir pris le temps de répondre.

Nous allons remplacé le routeur actuel par un Netgear N600 WNDR3700 de récupération. Nous avons acheté le 2D13, tout sera installé ce week end car nous avons un événement de prévu.

La ligne internent est présente en permanence dans la salle, car elle est utilisé par les autres associations de la commune.

Je passerais faire un retour après la LAN.

Bonne journée

Merci de votre retour :)

J'ai testé vite fais pfsense sur Xen et ça marche bien (juste l'install je parle)
Tout l'enjeu c'est la gestion du réseau et des interfaces public ou interne. Je vais regarder ça de plus près et vous redemander des conseils.

J'aimerai bien faire un tuto qui intègre pfSense et la virtualisation mais de façon saine. et de voir les solutions que propose des hébergeurs comme OVH (vrack) ou Online avec ses serveurs qui possèdent une 2eme carte réseau et la possibilité de faire une sorte de LAN (RPN)

Oui des solutions d'hyperviseur il n existe pleins mais c'est vrai que je m'oriente plus vers des solutions libre tel que :

XEN
KVM

Ovirt
Opennodecloud
Openstack

Si vous avez encore des idées ou des infos je suis preneurs, je reviendrais vers vous avec d'autres questions quand je me serais plus plongé dans la partie virtualisation du réseau.

@+

Un fil intéressant https://forum.pfsense.org/index.php?topic=38741.0

Il conteste mon idée (pas adapté à un serveur extérieur) …

Il faut 3 choses :

pfSense doit connaitre les routes pour accéder à chaque réseau (System > Routing), les PC doivent connaitre une passerelle qui connait les routes pour accéder à chaque réseau (pour les paquets retour), les clients VPN doivent savoir l'ensemble des réseaux (push pour OpenVPN).

Et bien sûr, il faut les 3 !

Attention à l'orthographe : Steevy BOULAY est un boulet, oupas !

Bonjour,

Il existe un paquet à installer permettant de gérer les cron depuis l'interface web ^^

Merci
Je viens de regarder, et il semble que ça soit déjà le cas dans le fichier généré par le plugin dans openVpn

Mon fichier xxx.ovpn :

dev tun persist-tun persist-key cipher AES-128-CBC auth SHA1 tls-client client resolv-retry infinite remote xx.xx.xx.xx:xxxxx udp verify-x509-name vpnkarl_info name pkcs12 pfSense-udp-xxxxx-vpnkarl.p12 tls-auth pfSense-udp-xxxxx-vpnkarl-tls.key 1 comp-lzo

avant tout merci pour vos reponses.

Pour le "lan" le pfsense se greffe sur un lan existant , tout ce qui est derrière pfsense est le réseau "enfants" , le reste du reseau est en amont du pfsense :)

Je vais réinstaller pfsense pour repartir depuis quelque chose de propre et reprendre en suivant vos indications .

Ce "vivien" n'est pas mauvais !
Néanmoins Debian est largement plus light et sera efficace (Ubuntu est basé sur Debian !).
Attention toutefois à certaines recettes sur iptables : inefficaces voire dangereuses …

Étrangement, comme j'avais aussi des problèmes avec la librairie curl sur la pfsense (suite à une mise à jour entre 2.1RC et 2.1 stable), j'ai réinstallé une pfsense 2.1 stable et reinjecter ma configuration. Le problème semble s'être résorber (pas de problème aujourd'hui).