Ok vous avez donc un problème de routage avec un aller/retour asynchrone, la coupure est liée à l'inspection stateful.

J'ai suivi les tutos comme j'ai dit précédemment. Mais j'ai remarqué qu'il ne faut pas modifié A LA MAIN vars.bat. Il faut juste répondre aux questions posées lors de l'exécution de la commande vars.bat. Généré les clés ailleurs ? Sur un poste à part du réseau tu veux dire ? Pourrais-tu m'aider sur le nouveau post que j'ai créé stp ? (OpenVPN –---> Règles Firewall) Merci. raptor45.

Bonjour, On va dire que ce post est clôturé vu que je suis passé à OpenVPN. Je pourrai vérifier ce que je veux plus tard par l'intermédiaire d'OpenVPN. Merci. raptor45.

j'ai revu mes réglages ipsec (au niveau du masque de sous reseau) et je peux pinger de pfsense vers zywall l'inverse n'est pas encore possible mais dans les logs j'ai vu un blocage ICMP de l'interface ENC0(ipsec ?) vers LAN (pfsense) pourtant, j'ai bien tout autorisé dans l'onglet ipsec Proto     Source     Port     Destination     Port     Gateway *            *    *                    *    * donc 2 choses, soit il me manque une route quelque part soit j'ai une règle qui bloque du coté de pfsense (le ping part bien du zywall et est bloqué par pfsense, donc je pencherais plutot de ce coté là) edit : finalement j'ai trouvé d'ou venais l'erreur (regle trop agressive a un endroit) le ping fonctionne dans les 2 sens et sans toucher les tables de routage reste à optimiser le flux, j'ai des pertes de paquet (75%) quand je ping du site distant vers pfsense en revanche depuis pfsense aucune perte (100%) il est possible que cela vienne de la ligne adsl (abonnement 512k adsl …)

Bonjour, J'utilise des clients VPN pour Windows, idealement en fonction de la psk utilisé j'aurais aimé pouvoir creer des regles d'acces au reseau. Merci quand même @baalserv: Bonjour je n'ai pas essayé de telle config, mais peut être avec leurs IP. Pour les clients mobile, perso je préfère Open-Vpn. En configurant 2 serveurs Open-Vpn sur pfsense, tu pourra définir les destinations respectives des 2 serveurs.

Je pense comprendre pourquoi mais je n'ai pas de solution. Enfaite derriere le zywall il y a un IPCOP. Tout les postes ayant comme passerelle le zywall (144.19.74.1) sont accessibles par le VPN. Les autres passent par l'ipcop (144.19.74.3) pour le filtrage URL et autre et ne sont pas accessibles à travers le vpn. J'ai donc ajouté une route sur l'ipcop du type : route add -net 144.20.0.0 netmask 255.255.0.0 gw 144.19.74.1 eth0 eth0 etant le LAN sur l'ipcop, mais aucun resultat. Une idée ??

Bonjour, Dans le même style, j'ai une ligne xdsl avec 5 IP Wan. Donc si j'ai bien compris, je fais 4 ip virtuelles ''ARP"" sur l'interface WAN. Ensuite je dois faire correspondre des IP du lan à certaines IP WAN, je fais sa avec le NAT 1:1 ? Merci Cordialement

ok merci pour l'info. Dommage qu'il n'y en ait pas en français. Pour le moment je lis toujours le site christian caleca : très intéressant ! Voilà, merci et à bientôt car je suppose que je vais venir poster de nouveau pour le VPN ! ;) D'avance, merci. raptor45.

Je m'y suis remis ce matin et c'est bon ça fonctionne. J'ai supprimé la règle dans firewall: rules: WAN et j'ai mis celle-ci: Proto                          Source                  Port              Destination               Port             GW ICMP                       130.130.1.192             *                   LAN net                    *                  * Donc c'est ok. Je ping dans les 2 sens. 2ème phase : créer un lien VPN entre les 2 et vérifier que c'est crypté. Mais avant créer une connexion sans VPN et vérifier que c'est pas crypté. Pour cela, j'ai mis un nouveau post sur le forum. Merci d'avance. raptor45.

Concernant ESX, je préconise le 4 compte tenu du fait qu'en version 7 du format VMX on peut aller jusqu'a 10 interfaces réseau dans la VM. Si vous vous retrouvez limité à la 3.5 car votre serveur est d'ancienne génération il y a moyen d'amener le contexte VLAN jusqu'à la machine virtuelle (et donc créer une carte logique par VLAN dans pfsense) en créant un switch virtuel dit "Passthrough", pour cela il faut créer un switch virtuel dédié (donc au moins une carte réseau physique dédiée) qui possède un seul port group dont le VLAN ID est 4095 (en jargon ESX c'est le mode VGT).

Reformulez SVP.

Choisissez d'abord clairement vos besoins ( niveau de haute disponibilité, services critiques et modes dégradés etc.), une fois ceux-ci arrêtés dessinez l'architecture technique répondant à ces besoins.

Bonjour, Guldil : indirectement, votre configuration ressemble à celle que je souhaite mettre en place. Quelques détails diffèrent mais : pourriez-vous jeter un coup d'oeil à un de mes posts : http://forum.pfsense.org/index.php/topic,18428.0.html Et me donnez quelques détails sur votre mise en place finalisée ? Je pense que la solution passe par AON + OPT, mais justement il me faudrait des confirmations. Vous en remerciant d'avance, Cordialement,

merci beaucoup pour la confirmation. j'ai testé et j'ai vu que ce n'était pas possible. Du coup, j'attends avec impatience la sortie de nftable, prévue fin 2009. Pfsense ne me servira que pour les petits réseaux. encore merci.

Les paquets sont forgés avec l'IP de l'interface par laquelle passe le traffic et non la VIP, ce comportement est présent dans la plupart des routeurs.

Ce que tu peux faire pour MSN et j'ai testé ce weekend, c'est d'installer un snort avec la rule CHAT/MSN d'activer  ::) Le client MSN ne pourra plus se connecter et l'IP du serveur sera blacklistée pendant 60 mins (valeur par défaut) Pour emule c'est pareil, faut activer la rule qui va bien (de mémoire dans P2P) c'est radical ! pour le reste tu peux effectivement mettre un proxy sur Pfsense mais là je n'ai pas testé … (un autre truc qui me passe par la tete... si la politique s'applique à tous tes users, tu peux utiliser opendns en resolver et configurer le filtrage pour que les sites tel que Facebook, webmail et autres soient deny ! :p)

Oui effectivement…les comptes inactifs etc...c'est assez logique et tellement que je n'y pense meme plus (des que j'ai des nouvelles machines, j'enleve le compte admin etc...) pour le reste, ca va je suis pas trop mal...je fait deja presque tout (normal)... et contre la modification des tables arp dynamiques et statiques que faire ??? tripwire ??? meme sur le pfsense...???

Aucun serveur n'est configuré pour faire la résolution de noms j'utilise cette configuration Compte tenu de votre message, manifestement c'est bien Pfsense qui gère la résolution. Le serveur qui pose problème est il bien enregistré comme les autres ? Pouvez vous décrire complètement la configuration, pour une fois. Il faut arracher les informations une à une , c'est assez difficile de faire un diagnostic correct.

pfSense utilise pOf pour la détection des OS : http://lcamtuf.coredump.cx/p0f.shtml Peut-être trouverez vous l'info que vous cherchez à cette adresse là.

Effectivement…dans le cas ou nous sommes sur le Wan pour pingueer une adresse lan c'est pas possible...Enfin pas possible dans le cadre legal...apres avec de l'icmp spoofing...et ben on peux pinguer une adresse en lan en etant sur le wan, mais c'est une autre histoire... Doncc CCNET efectivement tu as raison je n'avais pas compris qu'on etait sur le wan... En fait j'utilise le pfsense en tant que machine totalement dans le lan, ce qui fait que l'interface "Wan" correspond en fait a mon lan...et la je peux de n'importe ou pinguer le lan ou le wan sans probleme...(mais a la reflexions meme sur la patte wan (mais dans un lan)...finalement qui repond...Moi il me semblait que mon pingue passait bien a travers le FW et allait jusqua mon serveur...mais je le reprete dans le cadre d'un pfsense au sein d'un reseau, et non en Bordure de reseau...