Je viens de faire un test très interressant.

J'ai configurer un autre nas synology afin qu'il recoivent les logs de se serveurs pfsense.

Les deux serveurs syslog ne reçoivent pas les mêmes logs.

S'est à dire que le serveur 1 va recevoir les des logs que le serveur 2 n'a pas reçu et vice versa….

Vraiment très étrange en tout cas...

Si une personne à une idée :)

Difficile de réponse de façon univoque à votre question.

2/ j'ai 1 interface WAN sur le réseau Freebox : 192.168.0.253
J'ai 1 interface LAN : 192.168.1.254 à configurer !!!!!!! mais quelles sont les options à cocher ou non

Je ne vois pas ce qui pose problème ici.

je n'ai pas modifié le serveur, hostname : pfSense.localdomain

Ce qui n'est pas idéal ne serait ce que parce que l'on sait tout de suite à quelle type de machine on a à faire, ce qui est toujours utile lors d'une tentative d'intrusion.

dois-je remplacer localdomain par mon nom de domaine qui ne pointe pas encore sur mon ip publique ?

Un domaine ne pointe pas sur une ip publique ou non, une ip, par contre un nom de machine peut pointer sur une ip (publique ou non cela ne change pas le problème). Mais il me parait correct d'utiliser votre domaine pour nommer vos machine, que le nom soit résolu ou pas sur internet.

Sachant que par la suite il y aura un DNS serveur dans mon lan, samba4 …

Là encore il faut bien comprendre à quoi servira se ce dns. Surement pas à gérer votre zone en tant que SOA. Plus probablement à faire du split horizon.

ou je peux mettre un nom totalement aléatoire

Certainement pas.

Il faut commencer par poser vos besoins en matière de gestion dns. La réponse viendra alors toute seule. La mise en œuvre peut être pas, mais c'est la dernière étape.

Je ne dirais pas un problème de dns, je dirais une utilisation correcte d'un dns dit 'split horizon'.

Un serveur en DMZ est accessible depuis l'intérieur (= le LAN) comme de l'extérieur (= le WAN).
Si on veut l'atteindre par le même nom DNS, il faut bien qu'on obtienne, selon l'origine, une adresse ip adaptée.
Dans le cas interne, c'est l'ip réelle et privée du serveur.
Dans le cas externe, c'est l'ip publique du firewall, à charge pour lui d'effectuer le 'port forward' nécessaire.

C'est typique, et, par conséquent, à bien mettre en place dès la création du serveur et de la règle de port forward.

Merci je vais essayer (Oui mais notre professeur se casse pas la tête il veut un serveur proxy qui fasse aussi par feu et aussi serveur de mise à jour) … Mais en gerant le cache sa répondrait mieux aux critères qu'un serveur de mise à jour sur le proxy

Quel version de Pfsense utilisez vous ?

Bonjour,

[Mode Boulet/on]

Pour ceux qui n'ont jamais mis en service un serveur DHCP => ils donnent TOUS une liste des adresses dynamiquement attribuer !

Pour ceux qui ne cherche pas : (pour pFsense)
1/ Menu : Status -> DHCP leases
2/ si si et comme par magie on trouve même un bouton en bout de ligne pour faire une réservation !
3/ elle n'est pas belle la vie :)

[Mode Boulet/off]

Cordialement

"Un peu l'essentiel"

Il est essentiel d'identifier les vswitchs : on peut d'ailleurs les renommer !

Avec une machine hébergée de type hôte de virtualisation, il y a forcément 2 réseaux = 2 vswitchs :

un vswitch public, un vswitch privé et interne.

Les VM ont, forcément, une carte réseau connectée au vswitch interne.
Seul le firewall (pfSense) dispose de 2 cartes réseaux : l'interface WAN sera connectée au vswitch public.

Il reste à expliquer comment la machine est managée via une ip publique.

LB, FO ?
Comme je ne sais pas quel est le trafic visé je ne sais pas si traiter cela à partir de Squid serait intéressant pour vous. Si ouin voir les fonctionnalités delay pools dans Squid.

Bonjour,

@ grinderfurax : dans system/user manager

@ chat blanc : je te déconseille l'usage de ces options pour le compte admin (principal); ces options sont pour les autres user à qui tu donne des droits différents.

Cordialement

Merci pour vos réponses.
Je ne suis pas passé depuis un moment car deux serveurs critiques ont rendu l'âme… ce qui m'a beaucoup occupé (et pré-occupé), sans compter le travail normal sur lequel le retard s'est accumulé...
J'ai donc profité de cet état de crise pour remonter des suggestions à ma direction, afin que "cela ne se renouvelle plus", ce qui m'a permis de débloquer un peu de budget et faire quelques remises en question de notre infra, ce qui m'a permis notamment de tenir compte de vos remarques, notamment sur la séparation proxy/routeur.

Voici donc un schéma de mon infra actuelle.

J'ai donc isolé le proxy sur un serveur tout neuf (merci le budget), que j'ai au passage virtualisé pour gagner des possibilités de restauration en cas de crash, je pense à terme virtualiser de plus en plus de serveurs mais c'est une autre affaire…

La machine qui faisait office de routeur et de proxy a été formatée, j'ai installé pfsense, et je ne destine cette machine qu'au rôle de routeur/firewall (oui suite à cet échange, ainsi que des discussions sur un autre de mes sujets, vous m'avez convaincu, vous avez gagné :p).

Du points de vue du routeur :

serveur DHCP pour mes postes clients (jamais eu de problème DNS =) ), en se déclarant comme passerelle par défaut, et en mettant mon AD comme serveur DNS et serveur WINS (on verra plus tard pour le WPAD, pour l'instant j'ai scripté avec les GPO mon changement de proxy) la passerelle par défaut est mon Netasq le firewall est pour l'instant en pass all (any any ipv4) un petit ntop pour surveiller un peu ce qu'il s'y passe l'interface WAN est celle qui tape sur les serveurs, mais j'ai veillé à décocher le blocage des paquets di'p privées (block private networks, block bogon networks) puisque j'ai un autre parefeu en amont pour le WAN.

Du point de vue de mon AD :

il gère le DHCP pour le sous réseau de la baie de serveurs (au cas où je plug un portable pour faire des essais ou autre besoin temporaire) serveur DNS pour toute l'infra, des redirecteurs sont configurés pour les résolutions DNS liées au WAN sa passerelle par défaut est mon routeur (vu que lui tape sur le netasq s'il ne connait pas le réseau demandé…)

Ce qui m'amène à vous, outre ce petit bout d'histoire, c'est un problème dans mon LAN depuis que je suis passé à pfsense.

A première vue, tout est fonctionnel, dans la mesure où j'arrive à assurer tous mes services sans blocage ferme et définitif.
Par contre, il y a énormément de ratés, par exemple des bouts de scripts d'ouverture de session qui se perdent, des lecteurs partagés qui n'apparaissent pas...
Lors de l'ouverture d'un lecteur réseau, je vais avoir 9 fois sur 10 le dossier qui s'affiche, mais une fois sur 10 j'aurai un blocage ou une déco avant la fin de la liste, puis avec un simple rafraichissement le reste apparait.
J'ai globalement l'impression que mes postes clients "décrochent".

Alors j'ai trouvé une demi-solution à ce problème, qui consiste à cocher "Disable all packet filtering". Pour info cette option coupe toute règles de parefeu ainsi que le NAT, et depuis plus de problèmes…
Donc la logique viendrait à dire que mon problème initial vient soit du parefeu, soit du NAT.

Hors :

mon parefeu est en pass all, sur chacune des 4 interfaces j'ai déjà tenté de couper le NAT, en le passant en manuel et en supprimer toutes les règles, et là j'avais plus de réseau du tout !

Puisqu'à terme j'aimerais pouvoir utiliser les fonctions de parefeu, il me faut résoudre cette problématique.

Merci pour le temps que vous voudrez bien me consacrer.

salut,

J'ai déjà testé la liaison VPN mais les débits via internets n'étaient pas assez rapide pour notre logiciel de gestion école.
ET pourtant nous avons une connexion vers le cable, je suis synchro à l'école à 120Mb/s en download et 6 Mb/s en upload
En testant la connexion vpn depuis chez moi, synchro à 30Mb/s en download et 3 Mb/s en upload, ca ramait à mort.
Nickel pour la navigation dans les dossiers du serveurs, ouvrir un word, tout ca ok. Mais l'application de gestion, fait déjà 22Mb à ouvrir, plus les échanges vers la DB, c'était inutilisable. C'est suite à cela, que j'ai configurer le RDP sur notre serveur. Ca tourne maintenant, même si la config devient vieillissante (changement de serveur prévu l'année prochaine), mais mon problème reste la dépendance à internet. En cas de panne sur le net, 10, personnes au chomage technique, même si cela les arrange. Autre argument, les connexions internet sont hors de prix chez nous (en Belgique). Par exemple, 75€/mois pour l'école 1 et pas moins de 150€/mois pour l'école 2 … on gagnerait déjà 150 €/mois en wifi

Le wifi proposé est garanti à 60 Mb/s dans les deux sens ... j'ai par sécurité, visité une entreprise voisine qui dispose de ce système. Ils l'utilisent  pour le réseau et en plus la VOIP ... tout va bien pour eux. RDV vendredi pour proposition, on verra ce qui se dit ...

Bonjour,

Surtout que maintenant il y a sur les pages du Gui un ''?'' redirigeant vers la bonne partis de la documentation qui est ligne ^^

Il y a aussi ''The pfsense definitive guide'' qui reste une valeur sûre sur les fondamentaux de pf (malgré qu'il soit basée sur la V1.2.3), il est disponible dur amazone us & uk ainsi que chez osnet.eu.

Cordialement

EDIT : Dans tous les cas il ne faut pas être totalement étranger à la langue de Saakespeare ^^

@mykee:

Ok donc j'imagine qu'il faut relancer la nouvelle config et donc, faire tomber la connexion un certain temps, et je dois absolument faire ça sans impacter les utilisateurs du réseau. En somme, comme si je modifiais l'alias depuis le GUI.

Il y a une chose que je ne comprend pas non plus, c'est la finalité d'une modification en ligne de commande.
Si il s'agit de ne pas impacter le fonctionnement de la plateforme l'interface de Pfsense permet d'ajouter des alias et autres sans interruption et avec prise en compte immédiate. Il y a peu de choses qui nécessitent un redémarrage de Pfsense.

J'aurais aimé ajouter des network à l'alias rapidement en SSH sans passer par le GUI.

L'accès à l'interface via une connexion vpn est tout à fait satisfaisant. Cela quand bien même le réseau d'administration est dédié.

Désolé je n'ai pas été livré en marc de café et ma boule de cristal est en panne.
Il serait utile d'indiquer les paramètres que vous avez employé. Si le service ne démarre pas il y surement au moins un message dans les logs. L'indiquer ne serait pas inutile non plus.

Désolé, ma faute, j'essayais de lancer une image x64 sur une archi qui ne le supporte pas (je pensais qu'elle le supportait). Je retourne me cacher….

bonjour,

merci zoummuoz.

Non je ne suis pas puriste et je ne réinvente pas la roue, certes je suis d accord sur pfsense firewall etc.., mais bon les développeurs on ajouter des packages, certainement des demande ou peut être proposer un outil complet quelles que soient les applications.

J ai teste squid et squidguard dans d autre environnement( il y a longtemps, il y a peut être eu des avancer depuis) rien de concluant en mode graphique et je n avait pas les moyens nécessaires pour le faire. Je suis tomber sur pfsense et sont portail captif qui etait pour moi top.

Donc j ai un outil, certes que je maitrise  mal, mais qui m offre un panel de possibilités, mais si ca le détourne un peu de sa fonction premiere (tournevis :)).

Voila, j ai un pfsense comme firewall et un 2 eme comme proxy (uniquement comme proxy), je vais donc faire ce que m a dit zoummuoz, et je suis toujours ouvert a d autre solution.

merci a vous.

@baalserv:

Bonjour,

J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

cordialement

J'en suis convaincu. mais manifestement notre utilisateur a connu quelques déboires pour savoir ce qui se passe, on non, entre sa Freebox et Pfsense. Puis c'est tombé en marche. Ma suggestion vise l'utilisateur modérément expérimenté qui peut se laisser déborder …

quelques coupures lorsque je navigue en même temps sur le net.

Je déconseille très fortement un même lien pour acheminer mes trafic data et voix. Je n'équipe aucun client sans séparer les flux sur des liens distincts.