Je comprends ce que vous me dites. PfSense est employé en tant que portail captif, proxy et filtrage de proxy. Dans nôtre organisation, nous devons avoir une gestion de la création des comptes, une traçabilité des personnes entrantes vis à vis de la législation Française, pour se "couvrir". Nous déléguons l'administration car nous avons un parc de 900 utilisateurs, avec une gestion du Wan et du Lan. Administrer nous même le portail captif alourdi ré la tâche de l'IT au quotidien ce qui n'est pas le but. Nous aimerions juste au niveau des logs vérifier qu'il n'y a pas d'abus sur les créations de compte. L'administrateur délégué signera une charte spécifique mais rien ne garanti sont respect de l'utilisation sans abus. Je vous sollicite sur le fait qu'un administrateur délégué a la possibilité de créer un compte admin sachant que ces droits sont inférieurs, il n'y a pas de fonctionnalité vérifiant le niveau d'accréditation afin de ne pas permettre à l'admin délégué de créer un compte supérieur au sien (affectation du groupe). Vous ne pensez pas que l'équipe de développement devrait s'y penché pour améliorer la gestion de la base locale ? Même si c'est une solution proposé pour un faible nombre d'utilisateur le produit ne sécurise pas lui même la base. La création d'un annuaire d'utilisateur avec l'utilisation d'un radius n'est pas ce que nous cherchons. Au niveau organisationnel, il ne s'agit d'une PME il y a une véritable gestion pour les employés, celà reste des clients nous cherchons à avoir une solution évitant une erreur humaine, si l'admin délégué attribut à un utilisateur un compte admin par erreur, si ce dernier s'y connait un minimum il pourra se loggué et faire sauté le filtrage par exemple. Les dates de validité des comptes sont déjà établie ne vous inquiétez pas. Merci.

Je pense qu'on vous a déjà donné des pistes (qui ont fait leur preuve). l'adresse public que le PFsense 1 contact est l'adresse du routeur/NAT : VRAI il faut configurer quelques choses sur PFsense 1 et 2 : FAUX (donc mauvaise conclusion !) Vous ne semblez/voulez pas comprendre qu'il y aura forcément à faire un transfert de trafic sur le routeur puisque les pfSense n'ont pas l'adresse publique sur le port WAN. Je ne comprends absolument pas ce que disent les techniciens FAI avec "le routeur supporte IPSEC en mod NAT mais qu'il ne supporte pas le NAT-T". Il semble évident que vous ne cherchez pas suffisamment à comprendre comment cela doit fonctionner : un passage chez Christian CALECA est nécessaire … Si nous répétons que cela est aisé avec OpenVPN, c'est que nous l'avons réalisé ... Perso, c'est mon dernier post sur ce fil.

Sur un autre forum (sur un objet proche), j'ai trouvé le magnifique lien vers ce document : http://www.gnurou.org/writing/smartquestionsfr ou Comment poser des questions intelligentes ? (Comment poser intelligemment des questions intelligentes ?) Ce document est limpide avec ses chapitres Avant de demander, Quand vous posez une question, et 2 chapitres, spécialement intéressants, Comment interpréter les réponses, Comment ne pas réagir comme un loser …

Eh bien il faut relire ce que j'ai écrit, car chaque mot compte ! Time-out ? Oui mais en faisant quoi ? En faisant, dans un navigateur, http://www.trucmuche.com. Or il faut décomposer ! résolution du nom -> doit avoir une valeur locale ! accès au serveur, ….

J'ai refais la configuration de mon modem toujours en pppoe depuis sa fonctionne. J'avais bien activé le tunable net.link.bridge.pfil_bridge sous Menu System → Advanced → System tunables pour mettre la valeur à 1. Mais je viens de l'enlever et sa fonctionne toujours. Donc sa doit être la reconfiguration du modem qui a résolu le problème. Bizarre. ???

Ok, j'oubliais qu'il y avait par défaut cette règle ultra permissive… Pouvez vous faire une capture coté pfsense pour voir si votre client tente bien une connexion. tcpdump -i em0 -ttt -n proto UDP and port 123 and host 10.1.1.1 ensuite redémarrez ntpd sur votre client. remplacer em0 par votre interface lan. Pour info, il faut attendre un certain temps avant que le serveur NTP de pfsense réponde favorablement à une demande de synchronisation. En effet lorsqu'il démarre il va attendre un certain nombre de synchronisations avec ses serveurs de référence afin de connaitre précisément son jitter. Généralement, au bout de 15 minutes il répond convenablement. J'ajoute qu'il y a effectivement eut des pb en 2.0 mais en RC3 tout devrait bien fonctionner pour ntp.

Oui mais dans votre histoire je suis obligé de faire pointer mes utilisateurs vers l'adresse pfsense pour les dns ? 1. Ce n'est pas notre histoire mais c'est de la gestion dns. 2. Vous sans doute pouvez le faire avec vos dns AD. C'est comme cela que ca se gère et pas avec un aller retour par l'extérieur. Ce qui pose des problèmes de sécurité. Enfin le serveur web devrait être dans une dmz.

Bonjour, je pensais avoir répondu… mais non. Merci pour le lien, je pense que mon problème correspond à ce cas: If you have multiple/parallel IPsec tunnels and you have packet loss to one or more of the tunnels, it may be due to duplicate identifiers. Check your tunnel definitions, and be sure that for each tunnel you have defined between two given routers, there is a unique identifier. Example: Tunnel 1: Site A:10.0.0.0/24 <-> Site B:192.168.0.0/24         Identifier: User FQDN, site-a1.example.com     Tunnel 2: Site A:10.0.0.0/24 <-> Site B:192.168.10.0/24         Identifier: User FQDN, site-a2.example.com Without unique identifiers for each tunnel between two given routers, the ipsec daemon cannot distinguish between the traffic for each tunnel, and will likely drop/lose packets. Mais je n'ai pas su le résoudre. de l'autre coté de mon tunnel j'ai un ipcop (avec un seul réseau en 192.168.1.0/24), je suppose que lorsque je l'aurais changé par un pfsense et bien configuré (avec mes deux réseaux LAN et VOIX), ce problème sera résolu. je viens à peine de recevoir une nouvelle machine pour ça. Encore merci

Un ti tuto J'ai jété un oeil apres dans other y a un tas d'option avec high et low priority ? Merci

Toujours personne?

Merci pour les infos je vais plus creuser par là :) Ce que je voulais pas dire, mais après tout :) je suis dans la fonction publique et on s'occupe d'hébergement avec le wifi. Certains ont réussi à téléchargé via utorrent et bim, hadopi. Je mettrais bien des mots de passes, mais beaucoup d'usagés de passage et qui va donner les informations quand je suis pas là ? :) Ne jamais rajouter de travaille a un fonctionnaire, ca le tuerait. Donc obligé de faire en ouvert. En tout cas, je vais plonger dans Squid :) Merki

Désolé, mais cela n'est pas possible. Comme l'a dit précédemment JDH, se sujet a été abordé très récement

Un paquet IP entre un PC avec un navigateur (FF ou autre) et un serveur web est JUSTE un paquet IP : une ip source et une ip destination. Or dans les data du paquet, et dans le cas spécifique de HTTP, il y a EXPLICITEMENT le nom de domaine. Donc un serveur web, et plus précisément un proxy, sait analyser le flux et réagir en fonction. Il FAUT donc un proxy pour y arriver puisque c'est une analyse de flux (couche 3 ou 4 comme l'écrit ccnet). Tout cela est mieux expliqué chez Christian CALECA … qu'il faudrait que vous regardiez ...

Pas de souci. Départ en vacances pour 3 semaines donc on voit tout ça plus tard :)

J'aurais aimé une explication très simple : je gère un pfSense avec une interface WAN et 3 interfaces "LAN" correspondantes à 3 sociétés distinctes. il ne faut donc qu'il n'y ait aucun accès direct entre chacun des "LAN", mais cela ne doit pas empêcher chacune d'accéder au serveur web public de l'autre … D'une, chaque zone LAN doit avoir une règle d'interdiction vers chaque autre zone. De deux, chaque zone LAN doit utiliser une ip publique distincte via un NAT Outbound non automatique. De trois, cela empêche-t-il d'accéder à l'ip publique destinée à un serveur public de l'autre ?

Il existe pourtant de la doc : http://doc.pfsense.org/index.php/Multi-WAN_Version_1.2.x http://forum.pfsense.org/index.php/board,21.0.html et http://forum.pfsense.org/index.php/topic,16923.0.html

Très bien merci pour votre retour.