J'ai déjà capturé pas mal de trames mais quand j'essaye de voir les ping partant du pfsense vers les adresses qui ne répondent pas il n'y a rien dans la capture :-(
comme si pfSense n'envoyait pas les requêtes…

D'accord je vais essayer de voir si ma hiérarchie accepte de me laisser le temps de monter un proxy sur une autre machine ou sur une vm.
Merci pour vos réponses.

Ced56

Mon avis rejoint celui de CCNET :
-  Si on a besoin de faire du load balancing entre serveurs, c'est qu'on a une infra qui commence à être importante
-  Si on a une infra de ce type, on met en place des solutions dimensionnées en conséquence

-> On met donc en place d'un reverse proxy/load balancer dédié (nginx, apache, haproxy, vulture ce que vous préférez)

Lire la doc ne fait de mal à personne. Bref. Puis regarder dns forwarder et dns split horizon avant de poser une nouuvelle question.

J'ai trouvé la solution.

Il s'agissait d'un problème de fragmentation des trames. J'ai du changer de routeur cisco pour un plus récent qui gère la fragmentation.

J'ai suivi ce lien : http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml

Il faut activer sur les interfaces du routeur Cisco la commande :

(conf-if) ip virtual-reassembly

Puis régler le MSS de l'interface du VPN avec la commande :

(conf-if) ip tcp adjust-mss [valeur]

J'ai ajusté le MSS à 1300 et dans pfsense –> Advanced --> Misc : ajuster le MSS clamping à la même valeur.

Voilà ma solution, j'espère qu'elle sera utile à d'autres utilisateurs rencontrant le même problème !

Salutations !

Après une ultime recherche sur google, j'ai trouvé ce topic : http://forum.pfsense.org/index.php?topic=58141.0
et ça l'air de bien vouloir se connecter, à essayer en utilisant ESXi.

Meirick

@baalserv:

Sur la derniere ligne, remplacez ''Lan adresse" par * (any) puisfaite un alias des ports authorises

oui, destination doit être * (any) PUIS faite un Alias contenant les ports que vous souhaitez ouvrir; vous renseignerez l'allias créer dans destination ports

up ? Je suis vraiment a court d'idées sur ce problème.

L'installation d'un VPN (pour accéder à un réseau interne depuis n'importe où) n'est pas une opération à faire "à la légère" !
Il faut un minimum d'expertise technique et de compréhension des enjeux.
De plus, les tutos sont, forcément, à adapter à ses besoins. Et c'est encore plus nécessaire pour ce type de cas.
Il faut donc du recul. (Et vous manquez de tout cela !)

Par exemple, sur l'excellent blog de Nico…., (qui apparait en premier lien avec "Debian Openvpn", ... pas trop difficile), l'auteur fournit même des fichiers .zip modèle !
Par contre l'auteur suggère l'install d'"OpenVPN Access Serveur Windows Client" que je trouve très et trop lourd versus le simple et fourni "OpenVpn Gui".

Il n'est pas possible de faire le boulot à votre place ... parce que, même avec un tuto, il faut quand même travailler !

Et, ENCORE UNE FOIS, ce forum n'est pas là pour ce sujet.
C'est donc CLOS pour moi.

Oui en effet, je vais conserver la double authentification.

Merci

Avec votre schéma :

Internet <-> Box <-> LAN maison
et
LAN Maison  <-> (WAN) pfsense (LAN) <-> reseau Gite

Dans l'onglet LAN (=reseau Gite), il faut

autoriser l'accès à la box interdire l'accès au réseau WAN (wan subnet) (ou mieux un alias équivalent)
Comme les règles sont exécutées dans l'ordre cela devrait bloquer l'accès aux PC/NAS/… du réseau de la maison.
Et sans empêcher l'accès à Internet ...

Quand au log de navigation, il faut installer Squid et activer un proxy transparent ...
(Et ne pas consulter les logs ...)

Re-Bonjour, mes premiers tests sont concluants, ça a l'air de marcher.

J'avais oublié de cocher le paramètre "accounting packets" dans le portail captif..

Reste à mettre tout cela en place réellement

Je confirme donc que ce tuto fonctionne avec le serveur Radius sur Windows 2008R2.

Un firewall ne devrait pas swapper !

Le swap est destiné à compléter la mémoire en cas de sur-utilisation temporaire, par exemple avec une base de données absorbant une requête lourde.
Pour un firewall, il est logique de disposer de la mémoire nécessaire à son travail de filtrage de trafic IP.
En cas de swap, le temps de réaction deviendra excessif et risque de compromettre le filtrage à cause de timeout.
(Imaginez un flux de type VoIP qui passerait de quelques ms à quelques milliers de ms !)

Bonour jdh, effectivement mon probleme venait de la ce que je ne comprends pas c'est pourquoi je pinguais les pc sur les deux reseaux 192.168.1.x et 192.168.2.x et pour quoi j'avais l'interface de ma box a partir des pc sur le 192.168.2.x  et pas internet.

merci a toi aussi baalserv pour le lien.

je me suis peut etre lancé un peu tete baissé dans le pfsense et je suis desolé si ca a pu agacé quelqu'un.

mais la lecon va servir je vais le refaire plusieurs fois bien voir les manips et verifier dans les bons onglets.

bonne soirée a vous

vincent

<mode divination="" on="">Chez moi il fonctionne parfaitement ^^</mode>

Je suis surpris par la traduction depuis le français des règles :

http=80/tcp, https=443/tcp donc TCP et non TCP+UDP la notation 80-443 désigne tous les ports entre 80 et 443 donc 80-443 = 80, 81, 82, …, 442, 443 : erreur !!

Enfin pourquoi écrire une règle (règle n° 3) qui ne sera jamais exécuté :

d'abord elle devrait précéder les règles 1 et 2, mais elle concerne un flux direct entre un pc et le proxy qui ... ne passe pas par le firewall.

La redirection vers un proxy, comme indiqué, ne peut fonctionner que pour un proxy en DMZ !
Et puis, le proxy transparent est une fausse bonne idée (d'ailleurs cela ne fonctionne que pour http !).

Un top durant le test :

Bonjour,

Commencez donc par ''apprendre'' votre nouvel outil (pfsense) en l'utilisant de façon basique pour faire ce pour quoi il est fait et ses fonctionnements (ou et comment écrire telle ou telle règle et pourquoi)

Une fois la base aquise vous pourez mettre en place une plateforme de tests coérante !

A l'issu vos prochains posts ne devraient plus être aussi lacunaire que le 1er

Cordialement

"Les logs deviennent inutilisable" : en effet c'est le cas.
En production ce n'est évidemment pas envisageable.

Merci pour vos réponses :)

@jdh : Je ne connaissais pas WPAD, ça semble très intéressant.