Un jour nous aurons tous le niveau de CCNET, et il sera au chomage…mais en attendant remercions le...effectivement...

Salut CoderCrack…

A mon avis, le mieux serait de faire un tcpdump sur le wan du pfsense (mode console), et tu lances une requete sur ton client...tu verifies bien qu'il n'y a pas de regles particulieres...et tu verra le comportement par defaut si ca passe ou pas...(dans tcpdump met les restrictions qui vont bien juste pour voir les paquets de ta machine...)...

Je pense aussi qu'il n'y a pas de raison pour que le "bouclage" de ce compteur soit à l'origine de blocage. J'en suis même certain. J'ai quelques Pfsense dans la nature dont les compteurs ont fait plusieurs tours sans jamais poser problème.

J'ai trouvé la solution à mon problème.
Le souci venait d'une mauvaise IP dans le champ DNS du Serveur DHCP sur le LAN 2.
En effet, cela doit correspondre à l'IP de l'interface du serveur DHCP.
Donc tout fonctionne parfaitement, avec ou sans portail captif.

Je ne comprends pas j'ai de nouveau le message sur mon site 2 (client) :

openvpn[315]: TCP/UDP: Incoming packet rejected from xx.xx.xx.xx:1024[2] (adresse IP site 1 : serveur), expected peer address: xx.xx.xx.xx:1194(adresse IP site 1 : serveur) (allow this incoming source address/port by removing –remote or adding --float)

Je ne comprends pas. Avez-vous une idée du problème ?

Merci d'avance,

Jrmei

Pour obtenir du trafic sur OPT2(wlan), il a fallu que je rentre l'IP de mon LAN dans la case "GATEWAY" de la configuration du wlan.

Pourquoi ? Pourquoi pas sur les autres LAN ?

Aucune idée. Mais ça fonctionne.

Ah c'est marrant, je n'ai pas de traffic non plus sur mon wlan… Le DHCP fonctionne enfin.

Ca y est j'ai réussi.
J'avais juste inversé les deux cables et donc les interfaces sur le logiciel avaient les IP inversés.

Maintenant j'aimerais pouvoir configurer qu'une IP sur la connection newsgroup.
Car là ca marche que la moitié car une seul ip possible en même temps.

Ok vous avez donc un problème de routage avec un aller/retour asynchrone, la coupure est liée à l'inspection stateful.

J'ai suivi les tutos comme j'ai dit précédemment. Mais j'ai remarqué qu'il ne faut pas modifié A LA MAIN vars.bat. Il faut juste répondre aux questions posées lors de l'exécution de la commande vars.bat.

Généré les clés ailleurs ? Sur un poste à part du réseau tu veux dire ?

Pourrais-tu m'aider sur le nouveau post que j'ai créé stp ? (OpenVPN –---> Règles Firewall)

Merci.

raptor45.

Bonjour,

On va dire que ce post est clôturé vu que je suis passé à OpenVPN. Je pourrai vérifier ce que je veux plus tard par l'intermédiaire d'OpenVPN.

Merci.

raptor45.

j'ai revu mes réglages ipsec (au niveau du masque de sous reseau) et je peux pinger de pfsense vers zywall
l'inverse n'est pas encore possible mais dans les logs j'ai vu un blocage ICMP de l'interface ENC0(ipsec ?) vers LAN (pfsense)

pourtant, j'ai bien tout autorisé dans l'onglet ipsec
Proto     Source     Port     Destination     Port     Gateway

donc 2 choses, soit il me manque une route quelque part soit j'ai une règle qui bloque du coté de pfsense (le ping part bien du zywall et est bloqué par pfsense, donc je pencherais plutot de ce coté là)

edit : finalement j'ai trouvé d'ou venais l'erreur (regle trop agressive a un endroit)

le ping fonctionne dans les 2 sens et sans toucher les tables de routage

reste à optimiser le flux, j'ai des pertes de paquet (75%) quand je ping du site distant vers pfsense
en revanche depuis pfsense aucune perte (100%)

il est possible que cela vienne de la ligne adsl (abonnement 512k adsl …)

Bonjour,

J'utilise des clients VPN pour Windows, idealement en fonction de la psk utilisé j'aurais aimé pouvoir creer des regles d'acces au reseau.

Merci quand même

@baalserv:

Bonjour

je n'ai pas essayé de telle config, mais peut être avec leurs IP.

Pour les clients mobile, perso je préfère Open-Vpn.
En configurant 2 serveurs Open-Vpn sur pfsense, tu pourra définir les destinations respectives des 2 serveurs.

Je pense comprendre pourquoi mais je n'ai pas de solution.

Enfaite derriere le zywall il y a un IPCOP.

Tout les postes ayant comme passerelle le zywall (144.19.74.1) sont accessibles par le VPN.

Les autres passent par l'ipcop (144.19.74.3) pour le filtrage URL et autre et ne sont pas accessibles à travers le vpn.

J'ai donc ajouté une route sur l'ipcop du type : route add -net 144.20.0.0 netmask 255.255.0.0 gw 144.19.74.1 eth0

eth0 etant le LAN sur l'ipcop, mais aucun resultat.

Une idée ??

Bonjour,

Dans le même style, j'ai une ligne xdsl avec 5 IP Wan.
Donc si j'ai bien compris, je fais 4 ip virtuelles ''ARP"" sur l'interface WAN.

Ensuite je dois faire correspondre des IP du lan à certaines IP WAN, je fais sa avec le NAT 1:1 ?

Merci
Cordialement

ok merci pour l'info. Dommage qu'il n'y en ait pas en français. Pour le moment je lis toujours le site christian caleca : très intéressant !

Voilà, merci et à bientôt car je suppose que je vais venir poster de nouveau pour le VPN ! ;)

D'avance, merci.

raptor45.

Je m'y suis remis ce matin et c'est bon ça fonctionne. J'ai supprimé la règle dans firewall: rules: WAN et j'ai mis celle-ci:

Proto                          Source                  Port              Destination               Port             GW
ICMP                       130.130.1.192             *                   LAN net                    *                  *

Donc c'est ok. Je ping dans les 2 sens.

2ème phase : créer un lien VPN entre les 2 et vérifier que c'est crypté. Mais avant créer une connexion sans VPN et vérifier que c'est pas crypté. Pour cela, j'ai mis un nouveau post sur le forum. Merci d'avance.

raptor45.

Concernant ESX, je préconise le 4 compte tenu du fait qu'en version 7 du format VMX on peut aller jusqu'a 10 interfaces réseau dans la VM.
Si vous vous retrouvez limité à la 3.5 car votre serveur est d'ancienne génération il y a moyen d'amener le contexte VLAN jusqu'à la machine virtuelle (et donc créer une carte logique par VLAN dans pfsense) en créant un switch virtuel dit "Passthrough", pour cela il faut créer un switch virtuel dédié (donc au moins une carte réseau physique dédiée) qui possède un seul port group dont le VLAN ID est 4095 (en jargon ESX c'est le mode VGT).

Reformulez SVP.

Choisissez d'abord clairement vos besoins ( niveau de haute disponibilité, services critiques et modes dégradés etc.), une fois ceux-ci arrêtés dessinez l'architecture technique répondant à ces besoins.