le problème semble etre résolu.

Merci pour votre réponse Juve.

Voici des alternatives que ma suggéré un collègue.

Peut-être que cela pourrat aider quelqu'un:

_oui c'est du routage multicast, il faut que tu installes sur pfsense mrouted (d'ailleurs c'est un produit purement bsd donc ca devrait fonctionner sans pb), ici j'utilise sa version adaptée sous linux sans pb, par contre il faut que tes flux multicast soient emis avec un ttl superieur a 1 sinon ils ne passeront pas.

L'autre solution consiste a installer un vlc qui fait pivot sur le routeur, il prend un flux d'un cote et il le rebalance sur une autre interface, par contre vlc sur bsd pas simple ???. Afin d'eviter tout souci sur ton reseau il faut que tes flux soient emis sur la plage  230.0.0.0 sinon ca risque de mettre le bazar sur le reseau, le multicast ipv4 n'est pas au point du tout.

ou alors tu utilises le routage multicast intervlan sur tes switchs hp, avec la commande "ip igmp" sur les 2 vlans et dans tous les switchs, mais c'est plus correct de le faire au niveau du routeur pfsense._
Voilà
Bonne continuation et merci à vous

Pour connaitre les règles chargées à un instant T, connectez vous en console ou en SSH au firewall et executez la commande suivante depuis le shell:
-> pfctl -s rule (affiche les règles de pare-feu)

-> pfctl -s nat (affiche les règles de nat)

pour moi il ya un Pb au niveau des adresses IP (plusieurs reseaux sur le meme segment)

D'où l'usage des vlans.

Bon, je ne suis pas très motivé pour aller triturer le code PHP, n'ayant d'ailleurs pas de compétence de développeur PHP…
Il faudrait en outre regarder de plus près comment marche pfilter, ce que je n'ai pas encore eu trop le temps de faire...

Ce que j'avais vu en faisant mes tests :

en créant une règle de NAT sur le port 21, pfSense démarrait un process :
/usr/local/sbin/pftpx -f <my.private.ftp.server.ip>-b <my.public.ip>-c 21 -g 21
le fameux proxy ftp !

En créant un NAT sur un autre port public vers le port 21 de ma machine interne serveur ftp, rien.

Voici des extraits de pfctl concernant le FTP :
vr0 = lan
vr1 = wan
vr2 = dmz -> serveur ftp
Le ftp helper est aussi activé sur l'interface lan (vr0)

TRANSLATION RULES:
nat-anchor "pftpx/" all
rdr-anchor "pftpx/" all
no rdr on vr0 proto tcp from any to <vpns>port = ftp
rdr on vr0 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021

FILTER RULES:
scrub all no-df random-id fragment reassemble
anchor "ftpsesame/" all
anchor "ftpproxy" all
anchor "pftpx/" all
pass in quick on vr1 proto tcp from any to <ftpserver>port = ftp keep state label "USER_RULE: NAT FTP server"
pass in quick on vr1 inet proto tcp from any to <my.public.ip>port = ftp keep state label "USER_RULE: NAT FTP server"
pass in quick on vr0 inet proto tcp from any to 127.0.0.1 port = ftp-proxy keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on vr0 inet proto tcp from any to 127.0.0.1 port = ftp keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on vr1 inet proto tcp from any port = ftp-data to (vr1) port > 49000 flags S/SA keep state label "FTP PROXY: PASV mode data connection"
pass in quick on vr2 inet proto tcp from any to 127.0.0.1 port = 8022 keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on vr2 inet proto tcp from any to 127.0.0.1 port = ftp keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on vr1 inet proto tcp from any to (vr1) port > 49000 flags S/SA keep state label "FTP PROXY: RFC959 violation workaround"

Les seules lignes ajoutées en créant la règle de NAT sur le port 21 sont donc les deux premières règles de filtrage en bleu.

J'avais également bien entendu parcouru en détails le forum en anglais sans trouver de réponse à cette problématique.

Je reste donc sur mon idée d'origine : le FTP helper ne marche que sur le port par défaut.

Je trouve qu'il faudrait pouvoir spécifier un port alternatif ou même tout simplement activer le FTP helper en cochant une case à la création d'une règle de NAT.
Cela ne semble pas compliqué.
Je vais donc certainement poster une "feature request" dans la section NAT du forum…</my.public.ip></ftpserver></vpns></my.public.ip></my.private.ftp.server.ip>

Selon mes recherches, l'option IDE sur alix2c3 n'existe pas !

Peux-tu le confirmer ?

@Pro21:

Si tu as rien dans les logs du FW, que tu as tout autorisé et désactivé tout ce qui pouvait freiner la connexion, il ne te reste plus qu'a utiliser du tcpdump pour capturer ce qui se passe et voir le soucis. (tcpdump -i toninterface -ttt -vv not port 22)
As tu bien vérifié que tu avais la bonne config réseau (genre le masque de sous réseau) ?

Je vais essayer de capturer ce qui se passe en effet, sinon j'ai bien la bonne config, la ps3 etant en DHCP et les postes de mon réseau aussi (la WII fonctionne sans problème derrière pfSense).
Merci encore ;)

Si le boitier est en 255.255.255.0 il essaira toujours de répondre en dirigeant ses paquets vers sa passerelle par défaut pour tous les clients qui ont un 3eme octet différent du sien. Dès lors il y a problème, le flux aller est direct et le flux retour est dirigé vers la pfsense.

Désolé de t'avoir induit en erreur…  -> Pas de problème merci a toi d'avoir pris le tps de me répondre

Bonjour MathieuIRIS,

Voici une vulgarisation du VPN… Il faut voir l'Internet comme étant un bocal rempli d'eau, chaque molécule d'eau est une adresse IP sur le réseau publique. Donc quand un molécule parle à une autre tout le monde l'entends... Le VPN c'est comme mettre une paille entre deux molécules, dès lors les molécules peuvent se parler sans que les autres voient ce qu'elle se disent.

Le VPN c'est un tunnel (paille) virtuel crypté entre deux points sur l'Internet. À partir du moment où le tunnel est monté et actif, les communications entre les deux points sont crypté et sécurisé. Avec un VPN vous pouvez relier un ordinateur à un réseau privé d'entreprise, vous pouvez relier deux réseau privé d'entreprise à condition qu'ils ne possèdent pas les mêmes adresses et masques de réseau et finalement vous pouvez relier deux ordinateur entre eux. Il existe différent méthode de création de VPN, les deux plus commune sont IPSec et PPTP (GRE). pfSense supporte IPSec, PPTP, OpenVPN, ce dernier je ne le connais pas beaucoup.

Malgré le fait qu'il soit moins sécuritaire que l'IPSec, le PPTP est bien pratique, car toutes les machines Windows XP possèdent le client pour créer la connexion de façon native, donc l'installation d'un client tier n'est pas nécessaire comme pour l'IPSec.

Pour faire du contrôle à distance, il n'est pas absolument nécessaire de crypter les données, ça pose un certain risque, mais le risque est quand même juste limité au man-in-the-middle, chez moi, mon port RDP fait face à l'Internet et je n'ai jamais eu de problèmes, un bon mot de passe bien sécuritaire, une règle firewall qui préviens le Brute-Force du mot de passe et le tour est joué. Le mot de passe n'est pas envoyé en texte clair comme pour le courriel, mais il n'est pas crypté.

Voici un tunnel VPN IPSec entre deux réseau privé.

192.168.100.1/24 <-pfSense-> 1.2.3.4/32 <-Internet-> 5.6.7.8/32 <-pfSense-> 192.168.200.1/24                     |_____________________VPN______________________|

Dans le schéma on voit que le VPN relie deux pfSense ensemble, donc les clients du réseau de gauche peuvent communiquer avec les clients du réseau de droite, ils peuvent exécuter la commande "ping 192.168.200.25" les paquets ICMP echo-request passerons à travers le VPN comme si rien n'était, pour les deux coté le VPN est complètement transparent.

Je ne crois pas qu'il soit possible de fabriquer un tunel PPTP entre deux réseau, si c'est faisable ce n'est pas une pratique courante.

enfet si ca mache je te remerci pour tes conseils et ta gentillesse …... ;) ;) ;) ;)

Pourquoi ne pas utiliser tes pfsenses à la place de tes pix ? Tu pourrais éventuellement monter des tunnels IPsec entre chaque site via tes pf. Comme tu supprimes déjà un niveau de complexité sur ton infra.
Enfin ce n'est que mon avis.

je fait le test
mais lorsque je ping le serveur Winserver ne répond et je peut pas connecter a internet

En fait j'ai mon Wan qui est sur mon réseau d'entreprise et le Lan correspond au réseau wifi pour authentifier les utilisateurs par le portail captif. Dans tous les cas la question ne se pose pas je serais obliger de faire 2vlan sur le switch pour séparer mes réseaux.

Merci beaucoup pour vos réponses!

Merci

Oui, il suffi de choisir l'interface lorsque l'on cré la règle de NAT.

je souhaiterai a partir du live cd installer sur differents hardware pfsense basé sur un fichier de configuration généré auparavant, ceci en vu d'une installation multi sites.
la moulinette de generation des fichiers de configs est faite il faut juste pouvoir les utiliser a l'install et non par un restore une fois l'interface graphique d'administration joignable.

je voulais savoir si la topologie suivante et correcte avec se ke je veu!!!!!

C'est un maquette d'essai pour voir si le portail intercepte bien et redirige bien :

trunk vlan (1,50,997)
                                                      |
                                                      |
                                                      |
serveur IIS(vlan 50) –-----------switch(vlan50)-----------WAN(vlan50)---Pfsense------LAN
      (web)                                        |                                                          |
                                                      |                                                          |
                                                  AP (vlan997)                                            vlan42     
                                                ssid-Vlan42

quand je ping de l ap sur l'interface WAn ca fonctionne et quand je ping de l ap sur l'interface lAn ca ne marche pas
et quand je ping l' ap de l'interface lan et wan ca marche..........

Il est certain que pour réaliser de telles configurations, il faut maitriser le routage et avoir un technicien qui le maitrise chez l'opérateur (c'est le plus dur).