Merci pour votre réponse en effet comme cela c'est plus clair :)

Salut,

Merci à tous, vous m'avez bien éclairé.

A+

Meirick

ok merci

Il reste un problème essentiel : un proxy n'a rien à faire sur un firewall même si c'est commercialement répandu. Le proxy sur le firawall est tolérable pour les toutes petites structures. Nous avons expliqué à maintes reprises pourquoi sur ce forum.

les besoins d'optimisation du firewall étant assez différents de ceux d'un proxy.

C'est effectivement le cas.

oui nan effectivement je viens de comprendre mon abbération ….cependant actuellement sur une v2 BETA 5, qu'elle carte PCI wifi N est compatible avec le systeme ?

Comme son nom l'indique, il s'agit d'encapsuler.
Si le trafic de site à site est de type ip pur, il n'y a guère besoin de GRE …

Merci
et
bonne soirée

Un petit UP, le prix est bien sur négociable  ;)

dans la config du client mettre deux une lignes:
(server pf1SDSL - déjà donné par la config)
server pf1Free; - mettre dans la case "Custom options"

Si j'interprète bien le fonctionnement d'openvpn, alors c'est openvpn qui se connectera automatiquement sur le deuxième serveur si le premier ne répond pas.

Merci, c'est exactement ce que je suis en train de faire, sans la virtualisation. =)

Oui il faut prendre tout celà avec des pincettes.

On est en train de parler de code qui "aurait" été inséré dans le crypto framework d'openBSD au début des années 2000 (bibliothèque de code fournissant les algorithmes de cryptage asymétrique/symétriques, eux meme utilisés par la couche IPSEC d'openBSD). Pfsense utilise une couche IPSEC dérivée (fortement) de cette permière implémentation.
La "backdoor" "aurait" pour but d'extirper les informations d'échange de clés afin de pouvoir décrypter une transmission IPSEC entre deux équipements.

La communauté s'est lancée depuis 10 jours à la chasse à la backdoor mais il en résulte qu'il n'y a rien de "malicieux" pour l'instant. Ils ont trouvé des bugs, affectant des fonctions obsolètes.

Enfin, l'histoire en elle même est assez farfelue, les codeurs n'auraient eut un NDA que de 10 ans…., les personnes citées affirment ne rien avoir inséré, le code a été mainte fois forké sur des produits libres comme payants (n'oubliez pas que darwin, le noyau MacOS, est un fork freeBSD).
Il est fort probable que les instances de renseignement de différents pays agissent de la sorte, y compri (et de manière contractuelle, avec un cadre définit) avec des produits éditeurs...

Attendons de voir...

C'est encore plus simple quand on lit ce qu'il y a à l'écran …

Dans l'onglet "Preprocessors" il faut valider "Enable DCE/RPC2 Detection" ...

Facile !

Bon travail à tous.

Tu peux essayer de bloquer les peer 2 peer avec le traffic shaper.

Auriez-vous des logs lorsque le problème se produit?

Une combinaison intéressante à tester avec Pfsense V2. Une plateforme de référence avec un GUI pour Squid + Squidguard ? A suivre.

Bonjour,

D'après ce que je lis, je n'ai pas du tout comprendre de l'utilité d'un PFsene…

Mon besoin est de faire un portail captif avec prise en charge d'un serveur radius, et prise en charge de VLANs.
Dans mon cas, si une personne possède un compte il entre ses identifiants, et se fait contrôlé par le radius, et dans le cas d'un client, il accèpte les règles d'utilisation et se fait "logger" sur un compte générique avec aucun accès au réseau interne de l'entreprise, mais directement relier par une passerelle à notre firewall.
Me trouvant presque dans la même situation que shnakeur, est-ce que mon choix de placer un PFsense sur une Appliance entre mon routeur FAI et mon switch/contrôleur Wifi est une bonne solution ou trouvez vous ça inutil aussi? (A savoir que je comptais utiliser le PFsense surtout pour faire la limitation de débit pour les users clients.)
Dans le cas de l'inutilité, que conseilleriez vous pour un portail captif de ce type de gestion de hotspot?

D'avance merci pour votre réponce.

J'avais trouvé ces solutions intéressantes, mais je les ai écarté pour les raisons suivantes.

Intel Atom N270 1.6 Ghz - 4 ports GbE LAN + 1 port FE LAN (chipset Intel)
http://www.osnet.eu/fr/content/firewall-fwa-3035l

Cet équipement ne dispose pas de suffisamment de port selon le besoin exprimé.

ou pour du très haut de gamme: Intel Pentium M à 2.0GHz - Interface PCI-E sur carte mère GbE LAN 4 ports & port PCI FE LAN 4 ports
http://www.osnet.eu/fr/content/firewall-fwa-5010

Cet équipement permettrait d'avoir le nombre de ports suffisants, mais serait limité en cas d'évolution du besoin. Et surtout cette solution dépasse le budget disponible :/

Mais merci pour ces suggestions :)

Et d'intervertir les interfaces entre elles? WAN deviens SDSL et SDSL deviens WAN. changer de carte reseau, de port PCI,

Tester sans résultat.

De toute façon, le problème est sûrement plus complexe que vous le présentez : plus de réseaux, des vlans, … ?

Pour mes premiers tests, non, je suis aller au plus simple et j'utilise bien le schéma donné lors de mon premier post.

Quand on réalise des tests, il est impératif, à un moment, de cesser de croire à certains acquis : un dhcp qui fournit correctement une adresse à partir d'une adresse mac peut très bien se mettre à délirer …

On est bien d'accord, cependant je n'ai jamais vu un DHCP merdé sur un seul poste et pas sur les autres.

Et puis en dhcp, il FAUT regarder les baux : certains serveurs sont configurés pour des baux TROP courts.
(Il y a eu une époque où les Freeboites fournissaient des baux de 60 secondes !!).

Le baux DHCP d'IPCop est réglé à 1800sec.

Ce problème est GRAVE : il faut TOUT regarder, y compris les câbles, les switchs, les cartes réseaux, …

J'ai déjà regardé toute la partie physique sans trouvé de cause. J'ai l'habitude face à ce genre de situation de remonter un à un les couches du modèle OSI: physique, liaison …

Attention à la méthodologie des tests : pas 3 modifs à la fois : comment sait-on lequel bloque ?

Je teste bien mes modifications une par une, jamais plusieurs modifications à la fois.

=> Il est possible que vous ne compreniez pas à quoi servent les Alias : c'est ABSOLUMENT indispensable d'utiliser le maximum d'Alias dans l'écriture des règles de filtrage.

On est aussi tout à fait d'accord.

Pour information, j'ai renoncé à régler ce problème, vu que la liaison ADSL sera configuré au final en PPOE et plus en DHCP derrière un IPCop comme c'est le cas actuellement. J'ai testé cette liaison en PPOE et PFSense est opérationnel.