Bonjour kiokoman,

OK, merci pour l'info.

Bonne soirée.

Merci mais j'avais compris et déjà récupéré le fichier en question qui est le config.xml.

inbound vs. outbound ?

Hi
I am having issues with HAProxy and Nextcloud.

Where exactly do you paste that text?

I have tried to put it in the front end but nothing changes.

The issue Im having is that I cant access nextcloud via the Android app or the linux client.
I can access nextcloud from a web browser no worries.

Thanks

@chris4916
Oui je comprends, je mets les informations demain.

Alors fait toi plaisir: débranche l'interface LAN de ton boitier pfSense.
Si le schéma est vraiment celui que tu as dessiné un peu plus haut, avec ou sans pfSense, l'accès au LAN fonctionne de la même manière.
Et heureusement d'ailleurs.

A moins que, encore une fois, ton réseau ne soit pas ce que tu décris 😋

Partage donc avec nous un ipconfig ou ifconfig d'un poste de travail, selon l'Os de ta machine.
Et la même chose pour un de tes NAS.
Si ces machines se partagent le même subnet, sont connectées au même switch, alors pfSense ou pas, ça marche.

Et ta règle anti-lockout ne sert strictement à rien dans ce cas. Ce n'est pas elle qui te permet l'accès à l'interface LAN de pfSense.

Ton réseau N'EST PAS ce que tu décris.

Un matériel qui dispose d'un port ADSL et d'un port Ethernet (relié à un firewall tel pfSense) doit fonctionner comme un bridge RFC1483 afin que le lien PPPoE soit dispo au niveau du firewall (avec les identifiants à demander au FAI).

Exemple de matériel qui fait ça très bien : DLINK-DSL320b (il doit exister des équivalents sous d'autres marques mais celui est fiable et fonctionne depuis des années).

Le boitier indiqué perdrait toute utilité s'il permettait de bridger ainsi : à reconvertir en point d'accès (AC). (S'il bridgait, le wifi ne servirait plus à rien !)

désolé pour le retard, j'avais perdu espoir, honte à moi !

J'ai fais un peu de debug en suivant ce tuto : https://teklager.se/en/knowledge-base/pfsense-lte-troubleshooting/ mais il n'utilise pas l'option -s.
Que fais donc cette option ?

Bonjour,

Comme précisé par jdh, il est prudent de faire des sauvegardes individuelles et une complète.

Dans le cas des changements de nom des interfaces et ensuite une restore du XML sur un nouveau matériel, pfSense proposera d'affecter les configurations vers les nouvelles interfaces.

J'ai tenté ainsi il y a quelques semaines, en reprenant la config d'un HP ProLiant ML (équipé de cartes intégrés Broadcaom + PCI Intel), vers un DELL PowerEdge (2 x GB intégrés + une carte 4 x 1 GB) : tout est reparti sans problèmes (sauf la partie OpenVPN qui a foiré), j'avais également exporté les XML un à un, au cas où. Cerise sur le gâteau, le PC remplacé faisait parti d'un Cluster HA : la partie CARP a redémarré normalement, il a juste fallu faire un reboot des 2 pfSense.

Prudence donc, mais c'est un comportement général qu'il faut avoir, et en particulier avec un pare-feu !

J'ai repris ce fil depuis le début et avec un peu de recul, le DNS est bien envoyé à ton client DNS, c'est bien celui-ci de ton serveur Windows (je suppose) et tu n'as, semble t-il, pas de reject au niveau du FW (à noter que ta règle FW pour l'interface OpenVPN est en mode log, tu devrais donc voir passer tes requêtes de résolution de nom).

Donc tu devrais aller voir du coté du DNS lui-même si ces requêtes arrivent correctement.

Salut salut

1 - RTFM

2 - Recherche faite = null

3 - Entraine aide obptenue = null

CQFD

non cordialement

vous êtes en pleine forme, visiblement

@jdh said in [SQUID] probleme TCP_MISS/403:

'port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN' ???

Ce n'est pas ce que j'ai écrit (et ce n'est pas ce que demande la FAQ) : Il s'agit de trafic sortant, et NON de trafic entrant (port forward).

Ce trafic sortant est évidemment couvert par une règle 'allow from LAN to any port any'. Mais j'encourage à écrire les 2 règles précises avant cette ligne 'allow all', en particulier car on peut activer le log règle par règle.

Continuez à être précis et être actif comme sur le premier post : là vous semblez à court de méthode de test : une modif, un test, puis une autre modif, un autre test, et ainsi de suite ...

@Tatave voila ce que j'ai trouvé dans le fichier /var/squid/log/access.log

1578684384.329 237 192.168.2.2 TCP_MISS/403 270 GET http://foip-v02.robertsspaceindustries.com/ - ORIGINAL_DST/35.153.171.151 text/html
1578684385.507 165 192.168.2.2 TCP_MISS/403 270 GET http://foip-v02.robertsspaceindustries.com/ - ORIGINAL_DST/35.153.171.151 text/html

@jdh
j'ai supprimé ma régle flottante, j'ai rajouté
allow from LAN1 to any prot TCP port 8000-8020
allow from LAN1 to any prot UDP port 64090-64110
allow from LAN1 to !192.168.0.0/16 prot any port any (acces internet)

j'ai activé le log pour les deux premieres regles, je vois du flux dans ces régles, le flux sortant est donc OK pour autant j'ai toujours une erreur 403 cote SQUID.

j'ai tente un curl pour essayé d'en savoir un peu plus sur le contenu de la requete.

curl -vvv -x http://192.168.2.1:3128 -I http://foip-v02.robertsspaceindustries.com

Trying 192.168.2.1... TCP_NODELAY set Connected to 192.168.2.1 (192.168.2.1) port 3128 (#0)

HEAD http://foip-v02.robertsspaceindustries.com/ HTTP/1.1
Host: foip-v02.robertsspaceindustries.com
User-Agent: curl/7.64.1
Accept: /
Proxy-Connection: Keep-Alive

HTTP/1.1 403 Forbidden
Date: Fri, 10 Jan 2020 19:46:03 GMT
Content-Type: text/html
Content-Length: 38
X-Cache: MISS from localhost
X-Cache-Lookup: MISS from localhost:3128
Via: 1.1 localhost (squid)
Connection: keep-alive

on en saura donc pas plus avec le curl ^^... je continu de reflechir sur le sujet mais j'avou avoir epuisé mes differentes solution, et même apres de nouvelle recherche google, je n'ai trouvé aucune nouvelle piste....

Le problème venait à la fois du NAT et des routes non transmises aux clients VPN, en renseignant cela dans pfSense et après redémarrage du service OpenVPN tout est bon.

J'ai même pus enlever la connexion OpenVPN client vers mon Mikrotik puisque le serveur OpenVPN suffit.

Merci en tout cas malgré ma tempête d'informations.

@chris4916 said in Aide configuration et compréhension Pfsense:

Ah oui. Dans ces conditions, tu peux choisir l'adresse IP que tu veux, bien sûr 😂
A l'occasion, lis quand même un peu de documentation publiée par l'IETF.
Tu verras qu'ils ne s'occupent pas du tout de netiquette 😀
https://fr.wikipedia.org/wiki/Request_for_comments

Bonne année 😉

Merci bonne année a vous aussi et bonne santé surtout 😉

Je ne comprends pas cette histoire de "redirection de fichiers de conf Squid".
De quoi s'agit-il ?

Il y a pas mal de prose sur le web relatif à la mise en œuvre de Squid + Squidguard + la liste des domaines / sites le blacklist de l'université de Toulouse. De mon point de vue, ce n'est pas ça qui pose de réelle difficulté. A l’extrême limite pour ceux qui sont vraiment réfractaires à la ligne de commande, webmin permet de gérer ça avec une interface graphique, mais ce n'est pas indispensable, au contraire.

Il est bien plus délicat de se reposer la question du pourquoi du portail captif, de la manière dont on va diffuser les informations relatives à l'emplacement du proxy et l’authentification des utilisateurs.

@Tatave merci beaucoup

@Tatave said in SNORT : aucune action:

elle s'intercale entre le point d'entrée et le(s) serveur(s) de mails.

il faut également intercaler ce composant à la sortie. Mais il semble que mailcleaner ne supporte pas, par défaut en tous cas, DKIM et DMARC. Ou alors la documentation (de la version commerciale, car il n'y a pas de doc avec la version community) ne le mentionne pas.