Bon, j'ai plutot bien avancé sur le sujet et je voudrais tous vous remercier du temps que vous m'avez accordé. tout fonctionne très bien. pour les machines dans le domaine, c'est nickel. seul interrogation, malgré un certificat valide, l'ouverture de la page web depuis le contrôleur de domaine continuait a m'afficher le message (site pas de confiance), mais des le lendemain et sans action de ma part, ça a disparu (le cache du navigateur ??) pour une machine hors domaine, j'ai ajouter le CA Root dans les stratégies local et ça fonctionne j'ai meme réussi (en convertissant les fichier auto signé PFX d'un serveur IIS a les signer et les re importer un grand pas en avant Encore merci a tous

Très débutant surement. Alors prenez connaissance de A LIRE EN PREMIER. Etre débutant n'est pas un défaut, alors si on veut progresser, il faut commencer par n'oubliez aucune chose ... N'ayez pas peur de faire 'long', craignez plutôt d'être incomplet ! (C'est ce qui explique que personne n'avait répondu !) Dans le post initial, une phrase telle 'il y a 2 sites avec les adressages suivants' aurait au moins donné l'impression que vous présentiez le problème un peu complètement. Comment voulez vous être aidé si vous ne dévoilez qu'une toute petite partie de la situation ???? Certes vous n'êtes pas seul à agir ainsi, mais c'est la base de la base ! Vous connaissez 'phase 1' et 'phase 2', c'est bien, mais savez vous que vous pouvez avoir plusieurs 'phase 2' ? Avec plusieurs 'phase 2' aucun besoin d'un NAT de bricolage et difficile à mettre en oeuvre ... (Avec IPsec, chaque extrémité doit être configuré de façon totalement identique = aux paramètres près, donc autant de phases 2 de chaque côté, cela va sans dire, donc je l'écris ...)

@chris4916 merci pour la réponse

Serait-il de supprimer un fil de discussion ?

Merci de prendre mes propos avec prudence : je ne suis pas certain d'avoir écrit avec la plus grande justesse, et je ne suis pas complet. Par exemple, je n'ai pas mentionné que chaque FAI a sa méthode de fourniture d'adresse IPV6. J'encourage ceux qui veulent s'y mettre de regarder : la doc de pfSense : https://docs.netgate.com/pfsense/en/latest/network/ipv6/index.html une video youtube des bases (de 2015) : https://docs.netgate.com/pfsense/en/latest/network/ipv6/index.html

oui c'est en raccourci ce que j'ai écrit: comme la 2.5 est passé en prod, la dev est en 2.6, nous sommes d'accord

@ervan said in Solution de collecte de flux HTTP/HTTPS pour HotSpot Public: J'avais commencer par monter un Squid, c'est OK pour du HTTP mais pas pour du HTTPS car je n'aurais pas accès aux PC venant de l’extérieur pour leur installer un certificats et faire du proxy HTTPS. Mais il n'y a pas besoin de certificat pour logger dans le proxy le fluc HTTP. Même avec HTTPS, HTTP CONNECt passe en clair. Tu n'as besoin de truster le certificat exposé par le proxy que si tu veux te positionner au milieu du tunnel (Man in the middle) pour par exemple analyser du contenu. Mais juste pour lister les connexions des utilisateurs, ce n'est pas nécessaire

@jdh Je suis tout a fait d'accord avec vous pour le réseau non privé, ceci sera revu lors du remplacement des serveurs. Il est souvent délicat de reprendre un infrastructure qui ne respecte pas les standards. Vu l'échelle du client, 65 postes réparti sur 2 sites, je qualifierais les deux réseaux de disproportionné. Malheureusement un changement en l'état n'est techniquement pas possible et le temps off possible non souhaitable.

PfSense supporte des packages : ce sont des logiciels, avec une interface web intégrée à l'interface pfSense. Mais ce n'est ni standard ni supporté par la team pfSense. Parmi les packages, le proxy Squid et son addon usuel SquidGuard permettant de traiter de blacklist d'URL. (Perso je recommande, à partir d'un certain volume, de ne pas utiliser le proxy sur pfSense. Depuis longtemps je créé des VM dédiées avec Debian / Squid / Squiguard / LightSquid / qq outils de maj de blacklist ...) Une page de doc sur la redirection dans SquidGuard est http://www.squidguard.org/Doc/redirect.html (avec en exemple une redirection vers une url en HTTP). Il n'est pas précisé si cela fonctionne sur HTTP et HTTPS, mais avec les proxy explicites que j'ai créé, je constate que les requêtes HTTP interdites sont bien renvoyées vers une page (HTML) dument configurée alors que les requêtes HTTPS deviennent 'blanches'. A la réflexion cela ne me parait pas très surprenant et finalement logique. D"un, il faudrait une redirection pour les pages HTTP et une autre pour HTTPS, de deux HTTPS est normalement crypté depuis le début de la session.

@ elliryc "Le NAT est utile quand tu ne connais pas le réseau privé distant." Le concept m'échappe.

@jdh mais en local, cela fonctionne : pas besoin d'ajouter "index.php" et pas en distant mais c'est pas grave, j'ai mon acces depuis l'exterieur Encore merci de votre aide a tous

Du coup, pour vous permettre de m'aider, voici les seules informations que j'ai de mon FAI : Adresse IPv6 de la box: 2a01:XXXX:XXXX:9c00:a63e:51ff:fecb:b8d6 Le préfixe IPv6 est : 2a01:XXXX:XXXX:9c00::/56 Qu'est-ce que je dois en faire pour configurer correctement les différentes interfaces ?

C'est la base du filtrage que réalise un firewall.

@philippe34 said in *net /*address/ ce pare feux/tout ?????: SOURCE =172.16.1.2 et DESTINATION=lan1 net (il ne peut communiquer qu'avec le réseau lan 1)vrai?? Non : plus simple : le flux ne passe pas par le firewall !! Il faut commencer par de bonnes pratiques : noms courts et simples des interfaces, alias systématique avec normage des noms (ext_xxx pour les ip externes, lan_xxx pour les réseaux, srv_xxx pour les serveurs accédés, ....). J'ai écrit au moins les bonnes questions à se poser, je vous laisse réfléchir. Exemple : pourquoi n'utilise-ton jamais 'WAN net' ? Pierre DAC : rien ne sert de penser, il faut réfléchir avant.

On est là dans l'erreur classique d'avoir les yeux focalisés, et on ne voit donc pas tous les éléments en jeu. D'où l'importance de passer par le formulaire A LIRE EN PREMIER : on doit exposer peut-être plus de choses, et parfois cela permet de voir plus loin. WireGuard est une solution qui pourrait prendre la suite d'OpenVPN (surtout pour le mode Roadwarrior). Je ne pense pas que le produit soit encore en phase de mise en prod ... (Plus performant ? Avec des concepts plus sûr, oui ! Exemple : une faiblesse de tous VPN consiste en la négo de protos d'authentification ou cryptage, qui peuvent être obsolète et sont conservés pour compatibilité ...)

Quelques remarques : bravo pour l'utilisation du formulaire : il y a des infos, je n'ai aucunement aidé, l'origine du pb n'est pas indiquée. Si vous le voulez, merci de préciser l'origine : est ce un suppression sauvage ? est ce un rafraichissement dns ? est ce un test unique ? Je considère qu'utiliser le package Squid est généralement une erreur. Ici faute d'infos je n'ai pas initié sur ce sujet, et bien que Squid peut traiter HTTP et HTTPS. Toutefois, j'ai souvent écrit que, rédiger le formulaire prend un peu de temps et oblige à lister pas mal de choses ... et parfois ce temps met le doigt sur le problème ...

Je pense que tout a été dit sur UPnP (et DLNA qui se base dessus). réseau local exclusivement, au niveau des TV, il faut les sélectionner sur les protos autre que DLNA qu'elles supportent (la découverte en moins). Pour les sources type NAS, ils disposent généralement d'autres protos en sus du DLNA. (Sur une Debian, on ajoute Samba pour le proto SMB et uShare pour DLNA : la même arborescence est accessible pour les protos.)

Il y a des solutions qui fonctionnent : les routeurs 4G. Exemple : https://routeur-5g.fr/routeur-4g-fixe/ Un smartphone en connexion USB, cela (me) semble hautement improblable ...

Bonjour Sébastien si vous pouvez connecter un clavier et un écran sur le boitier/serveur (atalante ?), il y a de bonnes chances que la console soit accessible directement. Le menu permet un reset du compte administrateur (ca dépend peut-etre de la version, mais si ça date de 2 ans ça devrait y etre). C'est surement le plus rapide. Sinon, il y a quelques étapes supplémentaires pour reprendre la main. https://superuser.com/questions/625346/reset-pfsense-web-interface-password-through-main-console C'est plus dur à lire qu'à faire @+