Vous faites une bonne analyse de la situation !

Le mode transparent :

ne fonctionne que pour HTTP : la plupart des sites sont déjà passés à HTTPS, pour fonctionner avec HTTPS, il faut SSL BUMP : casse la sécurité, interdit le contrôle, voué à échouer à cause de HSTS, peut-être illégal, bref ...

(Vous noterez que peu de gens vérifient le certificat du site web de leur banque : du moment qu'il y a la barre verte !)

Le mode explicite :

fonctionne pour HTTP et HTTPS sans casser la sécurité : il faut le dire !! WPAD fournit le proxy : (assez) facile à mettre en oeuvre, mais tous les matériels et navigateurs ne le supportent pas

Difficile de remplir l'exigence légale ...

Le meilleur (moins pire ?) pour moi est mode explicite + WPAD : ça fonctionne sur pas mal de choses, et tant pis pour les smartphone 'ils n'ont qu'à avoir du forfait !'

(Une question pour moi : quels protocoles autorisez vous pour vos clients ? http+https seulement, ou plus de choses ?)

J'ai posé une question dont la réponse est déjà indiquée 192.168.20.24.
Néanmoins, vous n'avez pas jugé utile de présenter votre situation comme il serait souhaitable de le faire, cf A LIRE EN PREMIER

Vous ne pouvez rien conclure sur votre config de pfSense avec un seul matériel : si un pc portable se connecte en lieu et place d'un smartphone, et si le pc portable fonctionne, vous aurez identifié que votre smartphone a un problème.

Si le même pfSense fonctionne avec une Box Free et pas avec une box SFR, cela ne saurait être lié à ce pfSense ...

Le fil est https://forum.netgate.com/topic/167440/2-ip-publiques-sur-une-patte-wan/13

Bonjour à tous.

Après quelques jours de recherche, j'ai réussi à régler mon problème.

Pour information voici comment réaliser l'opération.

Dans la partie FrontEnd

J'ai ajouté les ACL suivantes:

ACL n°1
Name : Domaine1
Expression : Host matches
CS : no
Not : no
Value : test1.test.fr

ACL n°2
Name : Domaine2
Expression : Host matches
CS : no
Not : no
Value : test2.test.fr

ACL n°3
Name : SubPath
Expression : Path matches
CS : no
Not : no
Value : /

J'ai ajouté ensuite les Actions suivantes :

Action N°1
Action : Use Backend
Parameters : See below
Condition acl names : Domaine1
Backend : (nom de votre backend) ex : 192.168.1.1

Action N°2
Action : http-request set path
Parameters : See below
Condition acl names : Domaine1 Subpath
fmt : /test1

Action N°3
Action : Use Backend
Parameters : See below
Condition acl names : Domaine2
Backend : (nom de votre backend) ex : 192.168.1.1

Action N°4
Action : http-request set path
Parameters : See below
Condition acl names : Domaine1 Subpath
fmt : /test2

Bonne journée à tous.

Pas d'infos, pas d'idée ...

Il y a un fil intitulé A LIRE EN PREMIER, il peut vous être utile ...

@jdh said in Perte de debit sur mon reseau Local entre pfsense et le lan io games:

S'il suffisait d'ajouter un switch 10G et une carte 10G dans le hardware d'un pfSense pour obtenir des perf mirobolantes, cela se saurait !

Il y a le problème majeur des drivers BSD des cartes ethernet ... mais aussi de la performance d'un disque pour fournir un débit suffisant.

Savez vous que le débit fourni par un disque 3"1/2 Sata ne dépasse guère 250 Mo/s, et encore c'est le chiffre de pointe revendiqué par le fabricant. Il n'est pas certain qu'un disque SAS fasse considérablement mieux.

Je suis effaré que certains ne soient pas surpris de lire qu'un routeur Wifi AC peut aller à 1750 Mb (alors qu'il faudrait 2 ports ethernet giga pour passer ce débit !).

Je comprends mieux, merci @jdh

merci jdh
il est bien possible que le client porte une base (je vérifie ça rapidement), toutefois le centre de contrôle hfsql permet de se connecter à une base distante ; en local ça fonctionne, mais le passage dans un tunnel ne marche pas ... je m'occupe de "sniffer" ça la semaine prochaine / je reviendrai vers vous après avoir essayé quelques trucs (genre un dns exclusif pour la connection vpn et une résolution dns de mon serveur). Encore merci et à la semaine prochaine pour d'autres aventures ^^

Mon dernier post est un peu brutal :

si on choisi un routeur avec wifi : ce matériel a de grands avantages si on veut utiliser un firewall, on a intérêt à disposer de 2 matériels : une box ou un routeur simple, et une borne wifi (de préférence un access-point).

Quand vous avez choisi ce matériel, vous ne saviez pas les contraintes avec un firewall. N'utiliser que la fonction WAN Adsl+sim 4G, ou à l'inverse que la fonction Wifi est dommage et onéreux ...

Un record de déterrage de fil !!!
5 ans et 6 mois après le début du fil !

@jdh oui le proxy c'est mon prochain chantier car actuellement la sécurité repose sur la confiance que j'ai dans mon opérateur.
J'avais installé HAProxy il y a quelques temps déjà mais je n'ai pas encore toutes les infos nécessaires à son paramétrage.

La HA me semble aussi importante à mettre en place pour les raisons que j'ai évoquées.

Pour le choix de l'assemblage du matériel, j'ai choisi cette voie car je maitrise depuis longtemps et je voulais une souplesse à tous les niveaux, extension de la RAM, ajout de cartes réseau, avec une appliance je ne sais pas si j'aurai la même liberté.

Pascal

Oups, le forum ne semble pas authoriser a modifier son 1er post pus d'une heure apres...
Comment on indique [Resolu] ?

Si la machine Ubuntu est une tour, commencez par mettre une 2ième interface ethernet : ~10€ ça n'est pas un surcoût énorme ! Et prévoyez 8 G de mémoire, vous serez tranquille !

(Je suppose que votre Ubuntu a une interface graphique : ce sera nécessaire pour virt-manager.)

Le lien https://phoenixnap.com/kb/ubuntu-install-kvm est un bon début ! (Vous pouvez lire le 2ième paragraphe de l'Introduction ...)
Autre lien naturel : https://doc.ubuntu-fr.org/kvm peut-être plus complet

Toutefois, il vous faudra aussi lire ce qui est nécessaire pour les bridge :
un bon lien https://levelup.gitconnected.com/how-to-setup-bridge-networking-with-kvm-on-ubuntu-20-04-9c560b3e3991

@sullyvan-bijon said in Recherche prestataire pour transfert de compétences:

sullyvan.bijon@uti-group.com

Bonjour
Je vous ai envoyé un message le 22/11 sur votre adresse email.
L'avez vous reçu ?
Merci de votre réponse.
Bonne journée.
Francis.

Merci , pour votre aide.

@jdh
Je n'utilise pas un un serveur dédié de HA-proxy.

J'utilise le paquet dans pfsense (d'où ma difficulté)... je n'est pas un niveau suffisant pour utiliser un serveur dédié et j'utilise déjà pfsense.

Avec le paquet dédié HAproxy marche trés bien avec exchange 2016 sur pfsense.

J'arrive aussi a afficher ma page rdweb avec mes remote app dedant. (en https). C'est lorsque je veux lancer une remote APP que cela ne fonctionne plus. une histoire de RPC peut être.

Ca doit pas être grand chose, mais je n'arrive pas a mettre le doit sur mon problème. je sait que je suis bon sur la partie certificat (ca fonctionne sans souci sur exchange) et la page https://xxxxx/rdweb fonctionne sans souci.... c'est du rdp encapsulé dans du https:// . il me manque une astuce et je n'arrive pas a trouvé ou ca bloque. (je n'est rien dans les fichiers de log coter serveur, c'est comme ci ca bloquer a pfsense).... j'ai juste un message qui me dit (impossible de trouver la passerel) ... mon RDP fonctionne avec une passerel (qui fonctionne sans pfsense ou quand je fait du nat)... mais pas en reverse proxy...

Normalement, un pfSense n'offre rien sur son interface WAN, hors les 'NAT port forward'.

Néanmoins, il est possible d'activer DHCP sur l'interface WAN. (je me demande vraiment pourquoi et pour quel usage !)

Si une machine entre box et WAN (bien qu'il ne devrait pas y en avoir), récupère son adresse ip depuis ce DHCP du pfSense et si c'est mal configuré, cela peut mal fonctionner ...

Ca fait quand même pas mal de 'si' !

mettre un pc entre box et WAN : non on ne doit pas le faire activer DHCP sur WAN : non on ne doit pas le faire mal configurer ce DHCP : non on ne doit pas le faire

Sous Windows, 'ipconfig /all' vous dira tout ...

Le fil A LIRE EN PREMIER est indispensable pour les débutants ...

Ce que vous présentez est TRES PEU CLAIR et insuffisant ... un schéma ?

Ce qui est recommandé sur les VLAN :

il faut créer les VLAN sur une interface qui NE DOIT PAS être configurée

(Ce n'est pas simple pour LAN mais on peut commencer sans et modifier ensuite ...)

Je ne connais pas Mikrotik, mais je peux supposer que cela fonctionne comme un point d'accès multi-SSID.

Les points d'accès multi-SSID que j'ai pratiqué fonctionnaient de la façon suivante :

chaque signal (SSID) avait ses propres règlages (cryptage) et un n° de VLAN, les paquets, pour ce signal, sont, donc, sur le port ethernet, taggés du n° de VLAN, le firewall, reçoit les paquets taggés, et doit donc avoir une interface pour chaque VLAN et avoir, pour ces interfaces, les règles adaptées

En outre, il faut que le/les switchs entre le point d'accès et le firewall soit dument configurés ...