@jdh:

Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !

J'ai pas saisi ? :-\

@jdh:

Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
En tout état de cause, cela a fonctionné pour moi.
Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !

J'ai fait le test sans rien modifier sur le post avec ma clé Bouygues et cela fonctionne parfaitement avec et sans VPN, avec SFR ça ne marche pas avec et sans VPN.
Je ferais un test, je n'ai plus le PC & la clé sous la main pour le moment.

C'est bien sur comme cela qu'il faut raisonner. Limiter arbitrairement de débit d'un utilisateur, d'une appli n'est pas le plus efficace. On cherche surtout à garantir un débit minimal disponible à certains utilisateurs ou applications.

Bonjour et merci pour votre intérêt !

Le DHCP de la "societe" devrait me donner toujours la meme IP en fonction de la Mac sur ma 1ere carte réseau, donc a priori, ce sera toujours là même.

Après mes (nombreux) essais, le problème se situe d'apres moi au niveau de Squid et de la blacklist, quel log voulez vous voir ?

Cordialement,

Je confirme la résolution du cas ;).

Peut-être faire un "restart webconfigurator" en console?

Sinon, vous y accédez en HTTP? HTTPS? Sur l'interface lan? wan? Bref, un peu plus d'info…

Générer des certificats est possible avec EasyRSA, XCA. Tous sont gratuits. Ce sera des certificats auto signés qui sont acceptables pour un portail captif non sensible.

Une démarche simple et saine serait de connecter l'interface eth2:1 en 5.x.x.x du routeur FAI sur l'interface wan de pfsense.

Je le conçois mais il me faut l'autorisation du "boss". A voir la semaine pro…

En l'état des informations disponibles le routeur R1 ne sert à rien.

Pour l'instant les PCs du LAN ont comme passerelle le routeur R1 est non pas PFSENSE.

Et puis ces deux liens entre les deux routeurs … quelle utilité ? A part générer des problèmes.

C'est simple R1 est dans nos locaux et l'autre c'est pas nous qui le gérons.

Ce que je comprend :
192.10.x.x/24 a pour gateway eth3 sur Pfsense.
La machine 10.x.x.2 devrait avoir pour gateway 10.x.x.1 (interface Pfsense) mais quid réellement ?

1.Non l'interface du routeur R1 pour l'instant (sinon je casse toute la prod …)
2.Oui c'est le cas ! mais 10.x.x.1 n'a quand à lui pas de gateway.

Juste une chose comment faite vous vos tests pour le vpn  ?

Pour testé le VPN j'utilise un pc du LAN en wifi qui est sous un sous réseau différents. ( il récupère comme IP pub une IP différente de 5.X).
Il m'indique connexion refused, mais trouve bien l'ip.

Avec toute les réserves que je réitère pour l'installation de Pfsense sur un ESX ..

C'est un casse tête c'est vrai, mais ca me permet d'apprendre pas mal de chose.

@psylo:

[…]

Mais paradoxalement, c'est la meilleure professionellement parlant: comme le "client" ne comprend pas, il reviendra.

[…]

Petite remarque qui a son importance, je me suis mal exprimé: par professionellement, je voulais dire pécunièrement dans un cadre professionnel…

@ccnet:

me donner un lien en plus à lire ne m'avancera pas.

Erreur gravissime.
A l'évidence vous avez trop de manques dans les connaissances de bases. Sans elles vous perdrez beaucoup de temps pour des résultats aléatoires et mal maitrisés. Entre le moment où j'ai donnée la source d'information permettant de comprendre et vos messages suivant, il s'écoule environ 15 mn. Il bien clair que vous n'avez fourni aucun travail. Vos connaissances ip et réseau sont fragiles et votre compréhension du dns inexistante. Il faut plusieurs heures de travail pour assimiler les informations du site de Ch Caleca. De même vous n'avez pas lu la doc de base de Pfsense pour comprendre et paramétrer un transfert de port (nat, translation d'adresse), concept qui vous est probablement inconnu. Vous êtes venu ici chercher des recettes, des cases à cocher des adresses ip à mettre dans les champs sans vouloir comprendre. Dès que vous changerez de produit vous repartirez à zéro. Tant pis pour vous.

Voilà ce que j'essayais d'expliquer…

Est-ce que cela vous semble bon?

A défaut de l'être c'est parfaitement obscure et brouillon.
On ne sait pas de quel type de vpn il s'agit, où est la machine pfsense, modem vpn qu'est ce que cela signifie exactement.
Un schéma et un plan d'adressage de l'ensemble serait un bon début. Pour les règles indiquées, on ne sait pas sur quel dispositif, quelle interface. Un problème bien posé est à moitié résolu. Commençons pas là.

Il est bien regrettable de lire les mêmes pauvres réflexions !

"Je sais tout, j'ai ma vision, et celle des autres n'a aucun intérêt !"

Cela fait près de 10 ans que les fai ont verrouillé leur box en limitant le smtp sortant vers leur seul(s) serveur(s) smtp La raison en était simple : la génération illimitée de spam ! Depuis près de 9 ans et 11 mois, l'usage de "smtp-auth" (ou smtp-submission) a permis de passer outre ce blocage. La plupart des hébergeurs de boites mails proposent un accès via "smtp-auth" mais les utilisateurs le savent-ils ?

Merci à ccnet qui vous a appris qu'il existe d'autre chose que smtp.
En plus cela va vous évitez de faire un grand "n'importe quoi" en ajoutant une fonction inutile et alourdissante.

Bien souvent une vue à plus longue portée permet de mieux voir la route à emprunter …

Bonjour à tous,

tout d'abord merci de vos conseils,
j'ai résolu mon problème en remplaçant le serveur Radius initialement prévu par une interrogation de mon Active Directory via requête Ldap et tous fonctionne
pour ceux qui serait intéresser voici différentes sources que j'ai amalgamé afin d'arrivé a mes fins
la plus pertinente : http://bzhmarmit.wordpress.com/2012/09/11/pfsense-configuration-dun-acces-vpn-client-sous-pfsense-avec-openvpn-et-authentification-ad/
d'autres bien serviable: http://blog.stefcho.eu/?p=528 ou encore http://blog.stefcho.eu/?p=492
voila en espérant que ce travail aidera certain d'entre vous
a bientôt

Merci c est bien ce que pensais mais j espérais qu il existait une solution pour contourner cela du fait que chaque tête de pont avait une ip publique différente.

Effectivement je pense mettre un boîtier avec pfsense sur chaque site et derrière un serveur de collecte qd cela est nécessaire.

Si l'on prend le mirroir OVH : http://pfsense.mirrors.ovh.net/pfsense.org/downloads/
Si on a un peu lu les documentations disponibles (http://www.freebsd.org/doc/fr/articles/nanobsd/howto.html), on comprend alors que, par exemple : pfSense-2.0.2-RELEASE-4g-i386-nanobsd_vga.img.gz est destiné à un support flash de 4g, quatre Giga Octets sur une machine à processeur Intel.

Le téléchargement d'une machine virtuelle est bien disponible… pour Virtualbox (fichier .ova).

Pfsense sur un esx, toutes versions confondues, nécessite la plus grande prudence, n'est utilisable qu'aux fins de tests et à proscrire en production. Mais attention à la complexité réseau sous-jacente induite par l'hyperviseur et sa gestion réseau. Celle ci fait que l'on en a vu plus d'un se casser le nez faute de maitriser les aspects réseau de Vmware. Ne parlons même pas de la folie furieuse qu'il y a à vouloir faire fonctionner tout cela avec une seule interface physique sur l'esx !

Non. Le reverse est bon.

Question "difficile"! il faut au moins drux clics depuis le forum dédié pour y accéder.

@krominet:

CCNET , JDH, pourquoi vous préférez donner votre (docte) avis  au lieu de répondre à la question ?

il y a une grosse différence entre essayer de comprendre pourquoi ça marche, ou pas et faire tourner un réseau en production en respectant les "bonnes" pratiques de sécurité…

Sans connaitre physiquement ccnet, je suis assez proche de lui dans la compréhension des problématiques réseaux et dans la pratique professionnelle dans diverses entreprises. Je n'ai pas mémoire d'avoir été en conflit sur un point de vue.

Je crois pouvoir dire que nous sommes 2 professionnels aguerris et nous avons une certaine expérience due aux nombres d'années et à la diversité des situations rencontrées. Nous avons acquis une pratique qui a affiné notre formation initiale.

Je crois que ccnet donne de plus des formations.

Le fait d'avoir fait tourner pas mal de réseaux en production, de firewalls, de serveurs nous rend habitué à l'analyse du pourquoi ça fonctionne ou pas !

Aussi, nos réponses peuvent éclairer celui qui a posé une question parce que, quelque fois, notre vision est différente.
C'est l'intérêt de nos réponses : pratiques, opérationnelles, vécues ou non, mais très souvent dans la bonne pratique !

Personnellement, je trouve très préférable de répondre par la bonne pratique quand on on voit la direction prise.
Je ne comprends pas ceux qui disent "l'autopsie me donnera raison" !

Vous ne donnez aucune information de configuration. Vous n'avez manifestement fait aucune recherche préalable. Très difficile en l'état de vous donner une solution.
La connectivité peut être en cause (nat, routage, filtrage, …). Un problème de certificat est possible aussi. Ou encore un problème de cohérence des paramètres cryptographiques entre les extrémités. Liste non limitative.

Merci jdh!

J'ai pris note de tous ces sites informatifs. reste plus qu'a surfer dessus  :P

Effectivement ccnet, je l'utilise sur mon installation privé (réseau domestique).  :-\

Peut être pas super quand son objectif est de recherche le risque 0.

Je clos!  :P

Merci Messieurs !  :P

Je vais donc utiliser cette solution, qui répond très bien à ma demande.  :D

Seriez-vous me dire pourquoi pfSense ne prend pas en compte la désactivation des logs dans l'option proposé?

Encore merci.  :P