Le ton employé ?
Si vous répondiez ...
Si vous lisiez A LIRE EN PREMIER ...
Si vous posiez un problème complètement ... (avec un schéma)

Quelqu'un qui veut être aidé, c'est quelqu'un

qui s'inscrit et lit les fils étiquetés (au moins), qui présente son problème complètement et en n'éludant rien, qui décrit son besoin, parce que une solution n'est pas un besoin, qui ne commence pas par discuter du ton, surtout quand rien lui a été dit.

Je crois que c'est mieux, en effet, que vous alliez poser votre problème ailleurs. (Ne vous acharnez pas, depuis des mois, je suis le dernier à répondre sur le forum, où la plupart des inscrits sont des assistés : toujours à réclamer, à critiquer, et aucun effort ...)

@jdh C'est un réponse... sans précision car le contournement est simplement de localiser les utilisateurs du VPN dans une OU isolée. Rien de significatif mais cela reste une solution de contournement vu que je ne trouve pas comment déclarer un groupe de l'AD.

Merci à toi pour ton aide.

@cleloup

Bonjour à tous,

j'ai réussi à me dépatouiller.
Il fallait déclarer les vlans que pfsense découvre dans le cu (voir post reddit)

je continue à jouer avec

Il y a un fil A LIRE EN PREMIER : tout débutant devrait lire ce fil et s'en inspirer.

J'ai des remarques de sécurité :

ouvrir 445 sur Internet est, simplement, une folie ouvrir 3389 sur Internet est déraisonnable : à minima il faut filtrer les ip (fixes) autorisées si vous voulez un partage de fichiers ouvert sur Internet, utilisez plutôt quelque chose comme 'nextcloud' à MINIMA, les serveurs accessibles depuis Internet, DOIVENT être dans une DMZ = sans AUCUN accès à un LAN interne.

Tout cela me semble très irréfléchi et sans compréhension des problèmes de sécurité et peu au fait de bonnes pratiques.

(Personnellement je ne comprends pas qu'on puisse virtualiser avec HyperV, et en particulier connecté à Internet.)

Sur cette partie de forum, on écrit en français (et on DOIT lire A LIRE EN PREMIER, ici, sans doute, en particulier, il serait UTILE de préciser les packages installés avec leurs réglages).

Un jour, peut-être, vous comprendrez que, sans informations, on ne risque pas d'être aidé (puisque les lecteurs n'ayant aucune info, comment pourraient ils avoir la moindre idée).

Quand on achète une appliance, il est judicieux d'acquérir le support du fournisseur : généralement les sociétés qui diffusent une appliance, ont l'expertise qui 'va avec', d'où l'intérêt du support ...

Bonjour,

Je suis tombé sur ce post parce que je cherchais comment créer un calendrier d'accès pour mes clients OpenVPN. Par exemple, autoriser les accès de 7h à 21h du lundi au vendredi.

Or, si j'ai bien tout compris, bonjour l'usine à gaz...

créer un (ou plusieurs) calendrier(s)

ensuite, pour chaque compte utilisateur :

assigner une adresse IP fixe à chaque compte utilisateur (j'en ai une trentaine...)

créer une règle pour bloquer cette IP et appliquer le calendrier de son choix créé en 1)

Y a pas plus simple... ?

Pascal.

Une solution se construit après avoir défini un usage, un besoin.

Vous faites ce que vous voulez.
Mais je ne comprends rien à votre solution de bridge et de VM qui 'suit' votre PRA. (Et je ne crois pas être seul ...)

(Un jour vous comprendrez ...)

Pour info, les posts supprimés étaient

difficiles à lire (très peu de paragraphes), relatifs à des choix d'organisation et de sécurité très personnels.

Un fil A LIRE EN PREMIER est utile pour présenter sa problématique.
Un schéma, avec tous les réseaux, serait utile, pour le lecteur et pour vous ...

Un réseau se distingue d'une adresse ip par un masque :

adresse ip : 192.168.19.0 réseau : 192.168.19.0/24 ou 192.168.19.0/255.255.255.0

Les adresses privées sont à choisir selon la RFC1918 : 10.0.0.0/8, 172.16-31.0.0/12, 192.168.0.0/16. Le réseau 20.2.2.0/24 n'est pas privé !

Avant de poser une question, il faut rechercher dans la doc, puis dans le forum : il est recommandé de mentionner les essais réalisés (avec le résultat).

Bien sur que je connais les éléments clés qui donnent la réponse : en regardant la doc, on trouve CE QU'IL FAUT dans la doc à OpenVPN Configuration > Server > Tunnel settings

Vous devez configurer, correctement, les 2 serveurs OpenVPN du site A et le client du site B, en correspondance avec TOUS les réseaux. (D'où l'utilité de faire un schéma ...)

@jdh Bon j'ai pas trouvé le problème, je suis repartir de zéro, tout semble fonctionner.

Merci pour ton aide.

Vous avez lu A LIRE EN PREMIER, c'est bien.
C'est mieux : vous avez fourni quelques informations, bien minimales toutefois quand on a un problème de performance ou de stabilité.

Je ne vois aucune recherche sur les logs : quand l'image est figée, est que le vpn est tombé ? Ni aucune recherche sur le volume échangé, ni aucune image de réglage, en particulier du paramétrage de lien OpenVPN : il y a des réglages de détection de disconnexion ...

Une piste ? J'en ai donné une, (l'avez vous vu/comprise et) qu'en avez vous fait ?

Pour (bien) connaitre Stormshield et pfSense, je ne vois pas l'intérêt de monter 2 firewalls à la suite ... (et c'est valable quelque soit le firewall !)

(Je ne connaissais pas WinMtr qui semble être un traceroute répétitif en mode windows. OpenVPN n'aurait pas déjà intégré un processus identique mais non visible ?)

(NB : je connais bien Stormshield et pfSense, et en particulier le VPN SSL de Stormshield qui est basé sur OpenVPN et utilise tcp et udp : il m'est arrivé de ne pas utiliser le VPN de Stormshield puisque son 'OpenVPN' n'utilise pas toutes les reco d'OpenVPN ...)

Merci, j'en prend bonne note pour une prochaine fois.

@Samlille59
slt
effectivement ça avance un peu mais je ne suis pas convaincu que tu puisses te passer de la box de ton fai ;(
il faudrait que tu vois ça directement avec sfr et selon ton contrat, ils vont te dire.
J'ai une installation fonctionnelle avec coriolis et c'est impossible de se passer de leur box, du moins ils ne fournissent aucun renseignement sur comment s'en passer ...

si tu as essayé tous les trucs proposés dans la doc netgate, ça sent pas très bon ton truc. Tu peux toutefois essayer de te mettre en branche "latest stable" pour les maj et pas "expérimental" ; de forcer les dns google/cloudflare ou opendns et surtout te renseigner auprès de sfr pour voir si c'est possible sans leur box (il peut y avoir un réglage particulier au niveau de la configuration de ta patte wan / options dhcp / vlan particulier ...) Il faut a priori également ne pas hésiter à redémarrer l'ont.

bonne chance ;)

Qui peut comprendre quoi que ce soit !!

Si un fil, pourtant bien visible, a été créé, c'est pour éviter ce genre de fil nul : A LIRE EN PREMIER.
Ce fil fournit une une liste de sections qui permet de présenter son problème avec DES INFOS. (D'ailleurs cela peut aussi aider celui qui pose la question).

Je refuse de participer autrement à ce fil sans aucune informations : regarder la question initiale : il n'y a une question mais aucune information. Par la suite on constate qu'il est possible de faire des copie d'écrans ... mais pas celle de paramétrage !!

On ne fournit pas d'informations, pas de schémas, pas de copie de réglages, et on demande de l'aide, tout va bien ....

J'ai déjà créé un proxy, explicite avec WPAD, pour HTTP et HTTPS, avec Squid + Clamav + ICAP. Et cela fonctionne bien (à l'exception des messages).

Mais, bien évidemment, c'était sur une machine dédiée ...