@louis-d Il est peut etre plus simple de paser par un controleur/concentrateur wifi qui propose le captive portal sur un vlan dédié, après tu geres les ports et autre sur le pfsense

Bonjour, Je vais essayer de répondre, je suis toujors marqué comme spammeur. Il faut peut etre aller voir dans ta config concernant l'age des users dansd ta console admin Workspace. Si tu marques pas certains de tes membres comme étant "over 18" , pas mal de contenu youtube sera bloqué.

@jdh Merci beaucoup pour toutes ces informations. Je vais donc rester sur l'ancienne méthode Je ferme ce ticket

@bartounet16000 J'ai un peu plus galérer pour le besoin de faire du NAT depuis le Wan de la Dedibox vers le réseau de la maison !! Par exemple donner accès au site web du serveur 172.10.0.2 depuis l'accès internet de la dedibox j'ai suivi ce tuto https://forum.netgate.com/topic/101854/nat-through-openvpn-tunnel/2 Le problème est le routage asymétrique. La requete arrivant de la dédibox à travers le tunnel sur la maison ,cherchera à sortir par la GW par defaut de la maison je n'ai pas tout compris mais tout se joue dans le NAT / UNBOUND [image: 1661091321595-d9f96812-4f2f-45a1-aeba-80af4a799868-image.png] Et après une règle de nat classique [image: 1661091352205-03d1fc5f-b9d1-4ae9-88f2-66121c41c518-image.png]

@jdh En attendant de mieux maîtriser la situation, j'ai mis en place le pare-feu empêchant toute connexion et je gère l'ouverture des accès avec le KVM IP. Une fois arrivé à ce point, je me lancerai dans le port-knocking. Dans toutes mes tentatives de bloquer l'accès au port 8006 depuis internet et le permettre depuis le VPN, je me retrouve bloqué dehors. J'ai refait la config d'openVPN en m'assurant que le fichier de conf ne soit plus présent après un reboot de la VM, rien n'y fait... le trafic internet passe toujours par la le VPN. Sur un autre serveur dédié hébergé, j'ai eu le même problème... Je vais reprendre l'installation de ce dernier avec les indications que m'avez données, une seule interface réseau physique et 2 adresses IP. Il me servira de "labo"... Merci du temps que vous avez accordé à me fournir les éléments qui m'ont permis d'avancer. je reviendrai poster les résultats de mes tests

Merci JHD pour ton eclairage, J'ai refais plusieurs tests, j'ai testé brancher le nas et le pc sur le meme switch (et pas sur le même vlan), j'obtiens encore la même erreur reseau J'ai réinitialisé le netgate pour voir si jamais : tjr la même erreur ... et pas d'erreur si sur le meme vlan comme précisé plus haut ...

@michel7907 ???? From Google translate: "How do you make the pfsense work with a pfsense." This corresponds to my limited french. Perhaps you can elaborate.

Pour pfSense/OpenVPN, on peut configurer le serveur avec 'none' pour aucune encryption. (J'ai vérifié que cela ne fait aucune erreur mais je n'ai pas testé depuis un client.) Je ne comprends pas le message 'Authentification Failed'. PBS réalise des jobs de sauvegardes vers un Datastore : je présume que celui-ci peut être externe et sur un NAS (par exemple en NFS). Néanmoins un serveur Proxmox peut réaliser des sauvegardes automatisés nativement (= sans PBS) y compris sur un stockage externe de type NAS en NFS. Le point clé est de produire des sauvegardes sur un même nom de fichier afin qu'un protocole tel rsync puisse transférer que les différences ...

Vous êtes sur un réseau d'entreprise : je m'en doutais un peu. Toutefois, cela reste (beaucoup) trop grand : il faut segmenter, pour limiter les broadcasts, et limiter les conséquences d'un virus qui s'attaqueraient aux partages windows des PC du réseau (comme les ransomware). Il faut aussi segmenter par matériel : les serveurs séparés des pc standard, séparés des imprimantes/copieurs, ... AMHA, avec un tel réseau, je mettrais en place un serveur DHCP (et DNS) dédié (voire certainement 2 avec HA). Typiquement des serveurs Linux (Debian) et le service Isc-Dhcp-Server (et Bind9). C'est évidement moins 'interface web' mais vous avez le meilleur contrôle possible. J'ai conscience qu'il y a de l'apprentissage ... (Je viens de terminer une mission dans une très grande entreprise, et avec partout des firewalls Linux iptables même sur des machines peu puissantes : un contrôle constant des flux autorisés ...)

Quasi 4 ans après, vous faites un retour. (J'ai relu tout le fil 2 fois avant d'écrire.) Vous avez ouvert un fil en 'débutant total' : pas de parcours du forum et des fils étiquetés (A LIRE EN PREMIER) vous êtes 'nouveau' vous vous posez des questions avant, ce qui plutôt bien vous avez des retours de 4 pseudos, (aujourd'hui je suis presque seul) évidemment les retours vous surprennent et vous ne les attendiez pas vous réagissez plutôt mal C'est tristement régulièrement un cas fréquent, un exemple identique il y a encore 2 jours. Un firewall, loin d'être l'alpha et l'omega de la sécurité, exige des connaissances non négligeables, que les techniciens fraichement formés ne maitrisent pas tous. (a fortiori pour l'amateur à la maison). A une question mal posée et qui témoigne de l'absence de connaissance et de préparation totalement insuffisante reçoit une ou des réponses directes (voire sèches) et surtout inattendues : d'abord il y a le refus : 'réponse totalement inutile' puis la victimisation : 'encore un qui se croit supérieur' puis la négociation : 'je vais apporter les infos nécessaires' ne rêvons pas, on se croit encore tout sachant : 'pas besoin d'infos supplémentaires' puis le détournement par l'humour : 'ne soyez pas aigri', 'prenez des vacances' ça se poursuit encore par d'autres insultes ... Ce déroulé, hélas très classique, est très proche de l'enfant, malheureux qu'il n'obtienne pas ce qu'il veut : la frustration de son impuissance. Les psychologues expliquent mieux que moi : il est nécessaire d'apprendre la frustration pour apprendre à grandir ... Et c'est usant pour les répondants : j'ai participé à un forum similaire qui a fermé tellement ce n'était plus que ça, essorant toutes les bonnes volontés. Aussi votre retour, 4 ans après, montre votre progression. Je dis chapeau.

@pascalb41 Je n'ai pas précisé, car sous-entendu, que l'utilité est d'avoir un service web (= l'interface d'administration) en mode HTTPS et avec un certificat valide (= non autosigné). NB : J'ai les mêmes souvenirs de l'étiquette expéditeur collée sur les caisses en bois de livraison de matériels pour Coyotte, à la même période.

@jdh Aucun humour là dedans.

@msid Voici la configuration du switch (HP) : PORT 13-14-15-16 -> Agrégat des 4 liens Mode TRUNK -> Untagg le VLAN défault (1) -> TAGG sur les autres TRUNK dont le 160 (LIEN VERS LE NETGATE) PORT 20 -> untagg sur le VLAN 160 [image: 1656755515239-e6a46564-1765-4613-91ee-c3ba37fed005.jpg]

Merci @nicolas-R je vais tester t'as solution.

Le ton employé ? Si vous répondiez ... Si vous lisiez A LIRE EN PREMIER ... Si vous posiez un problème complètement ... (avec un schéma) Quelqu'un qui veut être aidé, c'est quelqu'un qui s'inscrit et lit les fils étiquetés (au moins), qui présente son problème complètement et en n'éludant rien, qui décrit son besoin, parce que une solution n'est pas un besoin, qui ne commence pas par discuter du ton, surtout quand rien lui a été dit. Je crois que c'est mieux, en effet, que vous alliez poser votre problème ailleurs. (Ne vous acharnez pas, depuis des mois, je suis le dernier à répondre sur le forum, où la plupart des inscrits sont des assistés : toujours à réclamer, à critiquer, et aucun effort ...)

@jdh C'est un réponse... sans précision car le contournement est simplement de localiser les utilisateurs du VPN dans une OU isolée. Rien de significatif mais cela reste une solution de contournement vu que je ne trouve pas comment déclarer un groupe de l'AD. Merci à toi pour ton aide.

@cleloup Bonjour à tous, j'ai réussi à me dépatouiller. Il fallait déclarer les vlans que pfsense découvre dans le cu (voir post reddit) je continue à jouer avec