Difficile de comprendre l'intérêt de ce schéma.

Plusieurs interrogations :

routeur 11 et routeur 10 : ce devrait être les 2 véritables routeurs du FAI, il ne devraient pas avoir 3 interfaces (mais 2); quel rôle pour les routeurs 01 et 00 : je ne vois aucun intérêt à avoir 2 routeurs à cet endroits; VMware n'est pas du tout la bonne plateforme pour virtualiser tout cela : un firewall ne devraient jamais être virtualisé; avez vous évalué CARP ?

Lorsque vous effectuez votre scan avec nmap où êtes vous placé du point de vue de la topologie réseau ? D'après l'adressage mentionné il y a (au moins) deux translations avant d'arriver à destination si l'on se trouve sur Internet.

Fondamentalement le port ouvert avec un process en écoute se trouve sur la machine cible (après translation), les résultats dépendent de la façon dont votre scan de ports est fait, le type de scan utilisé n'est pas indifférent.

Vous pouvez mettre des adresses complètes, ce sont des ip privées. Au surplus, ne masquer que le dernier octet ne ferait que 253 tests à faire …

@baalserv:

Bonjour,

J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact.

C'est ce que je fais. Vous aviez effectivement mal compris l'ordre d'application des règles.

Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis.
Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant)

C'est inexact aussi. Si, depuis l'option ping du webgui de Pfsense, on choisi l'interface Wan pour pinguer www.google.fr (qui est un nom et pas une url, on ne ping pas une url) on obtiendra une réponse. Que les règles sur Wan autorisent ou non icmp. On voit bien que les règles s'appliquent uniquement au trafic entrant sur l'interface. Le trafic sortant n'est jamais filtré par les règles de l'interface.

Je recommande une lecture attentive de la documentation et quelques travaux pratiques pour vous mettre les idées au clair.

Dans une entreprise, j'ai 2 R210 comme firewall pfSense (en 2.0RC3) équipés chacun d'une carte INTEL quad ports ET.
Elles sont reconnus nativement (par 2.0RC mais pas par 1.2.3).

NB : Interfaces : carte Intel : igb0 à igb3, ports broadcom internes : bce0 à bce1.
NB : Je n'ai pas pris la carte raid (et c'est sans doute un erreur).

Oui.

Je pense que si "nihil" regardait dans la doc (un peu à fond) la vision "réseau" de la virtualisation, il comprendrait une erreur pour laquelle un portable n'est pas adapté pour tester un firewall en virtualisation.

Une démarche simple (et pro) serait de tester même sur un vieux micro (desktop) avec 2 cartes réseaux.

Nouveau fil mais même sujet finalement.

Même conclusion : les firewall n'ont pas la puissance nécessaire : Soekris à 500 Mhz (+256Mo) notoirement insuffisamment !

Concernant la différence pratique actif/actif versus actif/passif, je suis ignorant.
Mais il est un proverbe qui a du sens "le mieux est l'ennemi du bien".

Je comprends ce que vous me dites.

PfSense est employé en tant que portail captif, proxy et filtrage de proxy.

Dans nôtre organisation, nous devons avoir une gestion de la création des comptes, une traçabilité des personnes entrantes vis à vis de la législation Française, pour se "couvrir".
Nous déléguons l'administration car nous avons un parc de 900 utilisateurs, avec une gestion du Wan et du Lan.
Administrer nous même le portail captif alourdi ré la tâche de l'IT au quotidien ce qui n'est pas le but. Nous aimerions juste au niveau des logs vérifier qu'il n'y a pas d'abus sur les créations de compte. L'administrateur délégué signera une charte spécifique mais rien ne garanti sont respect de l'utilisation sans abus.

Je vous sollicite sur le fait qu'un administrateur délégué a la possibilité de créer un compte admin sachant que ces droits sont inférieurs, il n'y a pas de fonctionnalité vérifiant le niveau d'accréditation afin de ne pas permettre à l'admin délégué de créer un compte supérieur au sien (affectation du groupe).

Vous ne pensez pas que l'équipe de développement devrait s'y penché pour améliorer la gestion de la base locale ? Même si c'est une solution proposé pour un faible nombre d'utilisateur le produit ne sécurise pas lui même la base. La création d'un annuaire d'utilisateur avec l'utilisation d'un radius n'est pas ce que nous cherchons.

Au niveau organisationnel, il ne s'agit d'une PME il y a une véritable gestion pour les employés, celà reste des clients nous cherchons à avoir une solution évitant une erreur humaine, si l'admin délégué attribut à un utilisateur un compte admin par erreur, si ce dernier s'y connait un minimum il pourra se loggué et faire sauté le filtrage par exemple.

Les dates de validité des comptes sont déjà établie ne vous inquiétez pas.

Merci.

Je pense qu'on vous a déjà donné des pistes (qui ont fait leur preuve).

l'adresse public que le PFsense 1 contact est l'adresse du routeur/NAT : VRAI il faut configurer quelques choses sur PFsense 1 et 2 : FAUX (donc mauvaise conclusion !)

Vous ne semblez/voulez pas comprendre qu'il y aura forcément à faire un transfert de trafic sur le routeur puisque les pfSense n'ont pas l'adresse publique sur le port WAN.

Je ne comprends absolument pas ce que disent les techniciens FAI avec "le routeur supporte IPSEC en mod NAT mais qu'il ne supporte pas le NAT-T".

Il semble évident que vous ne cherchez pas suffisamment à comprendre comment cela doit fonctionner : un passage chez Christian CALECA est nécessaire …
Si nous répétons que cela est aisé avec OpenVPN, c'est que nous l'avons réalisé ...

Perso, c'est mon dernier post sur ce fil.

Sur un autre forum (sur un objet proche), j'ai trouvé le magnifique lien vers ce document :

http://www.gnurou.org/writing/smartquestionsfr ou Comment poser des questions intelligentes ?
(Comment poser intelligemment des questions intelligentes ?)

Ce document est limpide avec ses chapitres

Avant de demander, Quand vous posez une question,
et 2 chapitres, spécialement intéressants, Comment interpréter les réponses, Comment ne pas réagir comme un loser …

Eh bien il faut relire ce que j'ai écrit, car chaque mot compte !

Time-out ? Oui mais en faisant quoi ?

En faisant, dans un navigateur, http://www.trucmuche.com.
Or il faut décomposer !

résolution du nom -> doit avoir une valeur locale ! accès au serveur, ….

J'ai refais la configuration de mon modem toujours en pppoe depuis sa fonctionne.

J'avais bien activé le tunable net.link.bridge.pfil_bridge sous Menu System → Advanced → System tunables pour mettre la valeur à 1. Mais je viens de l'enlever et sa fonctionne toujours. Donc sa doit être la reconfiguration du modem qui a résolu le problème.

Bizarre. ???

Ok,
j'oubliais qu'il y avait par défaut cette règle ultra permissive…

Pouvez vous faire une capture coté pfsense pour voir si votre client tente bien une connexion.

tcpdump -i em0 -ttt -n proto UDP and port 123 and host 10.1.1.1

ensuite redémarrez ntpd sur votre client.

remplacer em0 par votre interface lan.
Pour info, il faut attendre un certain temps avant que le serveur NTP de pfsense réponde favorablement à une demande de synchronisation. En effet lorsqu'il démarre il va attendre un certain nombre de synchronisations avec ses serveurs de référence afin de connaitre précisément son jitter. Généralement, au bout de 15 minutes il répond convenablement.

J'ajoute qu'il y a effectivement eut des pb en 2.0 mais en RC3 tout devrait bien fonctionner pour ntp.

Oui mais dans votre histoire je suis obligé de faire pointer mes utilisateurs vers l'adresse pfsense pour les dns ?

1. Ce n'est pas notre histoire mais c'est de la gestion dns.
2. Vous sans doute pouvez le faire avec vos dns AD.

C'est comme cela que ca se gère et pas avec un aller retour par l'extérieur. Ce qui pose des problèmes de sécurité.
Enfin le serveur web devrait être dans une dmz.

Bonjour,

je pensais avoir répondu… mais non.

Merci pour le lien, je pense que mon problème correspond à ce cas:

If you have multiple/parallel IPsec tunnels and you have packet loss to one or more of the tunnels, it may be due to duplicate identifiers. Check your tunnel definitions, and be sure that for each tunnel you have defined between two given routers, there is a unique identifier.

Example:

Tunnel 1: Site A:10.0.0.0/24 <-> Site B:192.168.0.0/24
        Identifier: User FQDN, site-a1.example.com
    Tunnel 2: Site A:10.0.0.0/24 <-> Site B:192.168.10.0/24
        Identifier: User FQDN, site-a2.example.com

Without unique identifiers for each tunnel between two given routers, the ipsec daemon cannot distinguish between the traffic for each tunnel, and will likely drop/lose packets.

Mais je n'ai pas su le résoudre. de l'autre coté de mon tunnel j'ai un ipcop (avec un seul réseau en 192.168.1.0/24), je suppose que lorsque je l'aurais changé par un pfsense et bien configuré (avec mes deux réseaux LAN et VOIX), ce problème sera résolu. je viens à peine de recevoir une nouvelle machine pour ça.

Encore merci