Bonjour à vous, merci pour vos retours.

@kiokoman négatif aucun L3, les deux PFsense sont placés tous deux derrière des box.
Le site de production a un PFsense placé derrière une livebox PRO donc le port 1194 est NAT vers le PFsense.
Sur le site de backup il y a une box VideoFutur mais en tant que "site client" il n'y a pas d'ouverture de flux à faire dans la box (c'est d'ailleurs pour cela que le VPN est monté dans ce sens car la box VideoFutur est une vraie daube et on ne peut rien paramétrer).

Pour rappel, mon PFsense client (backup) peut accéder à n'importe quel périphérique derrière le PFsense de prod (le serveur vpn). Mais mes périphérique du site de backup n'arrivent pas à passer dans le VPN.
Dans l'autre sens, rien ne passe. Le site de prod, que ce soit le PFsense ou bien les périphériques n'arrivent pas à passer dans le VPN.

L'état du VPN est cependant "UP"

@HuskerDu effectivement il y avait deux liens, une Fibre Orange et une Fibre Bouygues. J'ai supprimé le liens Bouygues rien ne change. Mais le lien Bouygues était déjà désactivé lors des tests :(

Merci d'avance pour votre lecture.

Bonjour ccnet

Merci de l'info. Je ferais donc d'une pierre deux coup.

Cdt

A nouveau des informations utiles :

le serveur mail est de type Exchange, le serveur mail est de type 'standard' c'est à dire IMAP (ou moins bien POP) et SMTP servira pour l'envoi.

Dans le cas d'Exchange,

Outlook est le meilleur client le protocole idéal est, en local MAPI, à distance (Exchange hébergé) Activesync (donc du HTTPS)

Dans le cas d'un serveur de mail 'standard'

Outlook n'est pas le meilleur client IMAP, beaucoup préfèrent Thunderbird (client lourd) les protocoles usuels sont IMAP(S) et SMTP(S) (25/465) ou SUBMISSION (587)

Les clients lourds usuels peuvent plus ou moins faciliter la config : Thunderbird est très bon pour cela, Mail (W10) un peu moins bon, Outlook est très manuel.
En tout état de cause, le mieux est de connaitre les protocoles utilisés et configurer manuellement, c'est plus rapide.

le temps d'aller chercher l'info et de corréler le port à l'ip, le port est réutilisé par une autre connexion.

Je ne comprend pas bien comment vous travaillez.

@Tatave merci pour votre réponse, je ne suis pas français et évidemment je ne maîtrise pas l'orthographie.
Pour la recherche, j'ais bien cherché et suite a une discussion qui parlait d'un réseau dans un hôtel avec la solution vouchers j'ai posé ma question.
Pour ce qui est de la nétiquette je m'excuse.

Cordialement
Ilario

@ccnet merci

Bien merci ! J'ai fait une petite révision sur les termes cités plus haut, et j'ai découvert le principe et fonctionnement du wpad

Pour commencer en interne, je vais configurer le proxy sur mon pfsense. Puis je m'aider de ce tuto ? Merci
https://datalogus.blogspot.com/2016/06/pfsense-231-security-explicit-squid.html

Hello, j'ai enfin pu faire ce que je voulais, la raison pour laquelle je n'y arrivais pas est super idiote : une de mes carte réseau ne supportait pas les VLAN.
Merci pour vos conseils et votre patience ! :)

@jdh said in [résolu] Accès impossible au routeur PfSense depuis WIFI (LAN OK):

j'ignore si l'interface web est présente sur toutes les interfaces par défaut, mais ça doit être le cas. Or, usuellement, il y a bien souvent une règle autorisant tout de WIFI vers LAN, donc l'ip WIFI ou LAN du pfsense devrait être accessible

Oui, l'interface web est présente sur toutes les interfaces, mais accessible seulement si une règle permettant l'accès est accordée.
Par défaut seul l'interface LAN possède une telle règle LAN vers Any, et en supplément une règle anti-lockout permettant les accès vers l'interface web situé devant les autres règles afin d'assurer que si quelqu'un ajout une règle de blocage qu'il ne se coupe pas la main.
La problématique que seul l'interface LAN possède un règle permissive vient du fait que les interfaces supplémentaires OPT peuvent servir autant pour accorder un accès à l'Interne que pour raccorder une DMZ ou un deuxième lien WAN, donc impossible, dans l'état actuel, de déterminer s'il faudrait ajouter une règle par défaut ou non.
Un amélioration possible à pfSense serait de poser cette question à l'utilisateur lors de la configuration initiale d'une interface additionnelle, par exemple, un crochet signifiant que cette interface servira pour accorder les accès à des utilisateurs à l'interne, et dans un tel cas, une règle par défaut serait crée. Je pense déjà aux questions inévitables qui viendront sur ce forum 😖

@Dragibus désolé si c'est un peu condescendant mais.... https://lmgtfy.com/?q=127.0.0.53 ?

Un portail captif est fait pour entrer une authentification.
Et si elle est validée, on peut même rediriger vers la page appelée à l'origine.
Une fois l'authentification validée, il y a une règle firewall créée avec des réglages précis.

Je ne vois pas bien l'utilité de fournir une info 'vous vous êtes trompé 3 fois'.

Il est aussi assez clair que le service de portail captif est plutôt fait pour être simple : Keep It Simple and Stupid comme disent les anglophones ...

@Lebleu Bonjour,

Pfsense est vraiment une très bonne solution. Cependant vous pouvez aller jeter un oeil avec la solution alcasar. elle est beaucoup plus simple mais vous réclamera une machine plus boostée que celle que vous avez pour l'instant.

Bon courage

Cordialement

Jean

Je suis assez nouveau dans le réseau informatique, auriez vous des pistes ou me donner plus d'information s'il vous plait car je ne sai spas ce que c'est root_re2 par exemple, je n'ai aucune interface ou autre qui s'appel comme ça.

Bonjour ! il y a le paquet ntopng qui permet d'identifier les flux avec de beaux graphiques mais il est consommateur de ressource et a tendance a ralentir le pfsense. A utliser a des fins de diagnostics. cdlt.

J'ai déjà expliqué que l'identification est impossible et illusoire : l'usage demande juste une adresse ip, au mieux un identifiant de portail ...

D'ailleurs regardez ce qui est fait chez des restaurants de gastronomie américaine : on demande une adresse mail mais juste 'x@x.com' fonctionne car cela a bien la forme d'une adresse email !

Pour des 'visiteurs irréguliers', il suffit de

créer un signal 'visiteur' autoriser uniquement http, https et pas plus sur cette zone

Il n'y a nul besoin de fournir quoi que ce soit d'autre ...
Dans le sens inverse, si vous commencez à ouvrir autre chose, il en faudra toujours plus ... et il n'y aura que des emmerdes !

Bonjour après beaucoup de recherche et de test en interne la moitié de mes problèmes sont résolus :)

Je mets ici une partie de la résolution :
Pour sage comme j'ai changé le mot de passe il fallait changer le mot de passe administrateur des services où était la base de données.

Aller chercher SQL Server et SQL Server Agent, faire un clic droit > propriété puis dans l'onglet connexion mettre le nouveau mot de passe et redémarrer les services. Faire cette manip pour les deux.

service sql serveur.JPG

Par contre je n'arrive toujours pas à résoudre mon problème de ping :)

@Nemesis-f "bienvenue sur internet"?

ceci est simplement révélateur que tu as oublié de mettre un tls-crypt sur ta configuration VPN

185.200.118.x semble être les scanners d'un cloaker assez connu ( adscore.com ). Pour plus d'infos sur ce qu'est un cloaker, je te renvoie vers une vidéo de micode (il explique ce que c'est à la fin de la vidéo ) : https://youtu.be/5vCdM4RvoiQ
94.102.49.190 est un scanner de shodan
120.52.152.18 est un scanner du pare feu chinois. La chine scanne l'Internet pour détecter et bloquer les VPN...et prendre le contrôle de serveurs vulnérables

bref, rien de bien mechant quoi

@Gertjan
Merci pour le pc poubelle j'en pas et l'entreprise ne veut pas en fournir mais je vais sur youtube pour voir