@sandy said in PfSense / OpenVPN | Connexion VPN effective, LAN accessible, ressources HTTP/HTTPS inacessibles:

Buenas queridos colegas
En el dia de hoy les traigo un problema que no me deja trabajar
Tengo una versión instalada de pfsense de 2.4.4-RELEASE-p3 (amd64) en una Motherboard Intel(R) Xeon (R) CPU 3050 @ 2.13GHz 2 CPUs: 1 package(s) x 2 core(s)AES-NI CPU Crypto con 6 tarjetas de red para mis conexiones ya que utilizo varias vías para conectarme y no tengo fibra óptica todo esta funcionando muy bien hasta hace unos días que se me reinicia y pone carteles como 9 minutos y al final dice así:
db:0:kbd.enter.default> reset
cpu_reset: failed to restart BSP
cpu reset: restarting BSP
em1: watchdog time –resetting
este último es cuando está trabajando pero es molesto pues me desconecta las máquina de la LAN me gustaría saber como solucionarlo no se puede trabajar

aie

il vous manque assurément des bases de réseaux élémentaires, et de l'avancé par la suite

Merci de faire un tour sur ce poste qui vous évitera grand nombre de question technique et de maternage
https://forum.netgate.com/topic/63434/a-tous-les-d%C3%A9butants

Prenez vous en mains à forte raison qu'un stage sert aussi a certaine entreprise pour faire le tri entre un branleur à qui vont faire faire le café, et un travailleur à qui ont va proposer par la suite un poste ou une alternance quand l'on a jugé que le stagiaire en veut mais n'a pas toutes les cartes en mains.
Pour l'instant je vous classe dans la première catégorie, un gars qui attend qu'on lui fasse les choses et lui mâche le travail.

Vous donnez plus l'impression de prendre les gents pour des imbéciles et que vous ne cherchez en aucun cas la réflexion et encore moins la démarche de résolution d'une situation donnée.

Continuer dans la même lancée, ma gamine qui n'est ni dans l'informatique et ni dans un domaine technique quelconque (c'est une collégienne) pause des questions plus poussées après avoir fait un travail préalable des recherches sur les sujets qui sont demandés ou qui l'interpellent, (comment fonctionne un moteur, comment je fais pour dessiner une histoire façon manga...) et revient vers les adultes ( nous ses parents, ses professeurs, ou aussi des professionnels quand elle en rencontre) en posant ces questions qui des fois sont très simplistes mais non dénuées de sens, jusqu'à la question très pointue qui est d'un niveau stratosphérique.

Donc comment croyez vous que puissions penser de vos questions et de l'envie de vous aider.

Non cordialement.

Salut salut

@eebya97 ce topic est suffisamment ancien pour en ré-ouvrir un propre et en conformité aux exigences de la section du forum.

Vous êtes libre de suivre ou pas ces exigences, dans le cas du non suivi des exigences vous vous exposé au mieux à une ignorance total d'une partie des habitués qui ont ou ont eu un grand parc de machine sous ce produit, au pire une remontée de bretelles virulentes de ceux ci.

Cordialement

ps : je n'interviendrais pas plus sur ce topic.

@adnlight said in Aide config ExpressVPN et PfblockerNG:

es

il faut lire adepte

Une autre citation: "La connaissance s'acquiert par l'expérience, tout le reste n'est que de l'information"

Avec le routeur, il est notable qu'il faut, à minima, ajouter une route à pfSense ...

Mais faire ce schéma, n'éclaire que le côté logique : ça fonctionne logiquement comme ça ... si la virtualisation fonctionne comme on l'attend (ce qui n'est pas certain).

Vous êtes amateur, oui, mais vous avez dans votre installation des choses peu courantes pour un amateur, et qui, chacune, exige une certaine expertise pour fonctionner correctement !

Salut salut

Heu va falloir suivre certain précepte pour que nous puissions vous comprendre.

https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-%C3%A0-respecter-pour-la-demande-d-aide

Pour vous il va falloir suivre ce lien si avant, sans quoi vous n'aurez pas plus d'aide.
Bonne compréhension

Vous fournissez des infos, mais c'est très désordonné et assez incomplet !

Quel est votre schéma ? Quels sont les adressages ip ?

Schéma (présumé) :

Internet <-> Box <-> (patte 1) ESXi (patte 2) <-> switch : LAN
2 réseaux : Box <-> patte 1 et patte 2 <-> LAN

ESXi : 2 interfaces réseaux = 2 vswitchs (à appeler vWAN et vLAN par exemple)

L'ESXi devrait avoir la patte 2 par défaut !
L'ensemble des matériels LAN et ESXi devraient être dans le réseau LAN avec comme passerelle et dns l'ip LAN de la VM pfSense. En particulier, le pfSense DOIT être la passerelle de toutes machines pour que le VPN fonctionne bien !

Bien évidemment la VM pfSense est la seule à avoir 2 interfaces réseau : une dans chaque vswitch.

Un VPN est prévu pour un nomade qui se connecte à un réseau et accède à des services 'simples' (web, partage smb, ...), sans doute pas à iScsi qui ne doit pas du tout bien fonctionner dans un contexte 'client VPN'.

Depuis ESXi 6.5, on accède à un host en mode web par défaut

Je pense que la réponse est sous vos yeux !

Une règle 'Serveur net' vers '*' n'est pas suffisante !
Il vaut bien mieux N règles :
'Serveur net' vers 'Vlan_utilisateur net'
'Serveur net' vers 'Vlan_voip'
et ainsi de suite

Quand on prépare les règles d'un firewall, il faut construire un tableau carré avec les N interfaces, en ligne les interfaces sources, en colonne les interfaces destination, et à l'intersection on écrit les règles utiles. (Bien sur la diagonale, n'est pas utilisée : le trafic d'une interface vers la même interface ne passe pas par le firewall !)

Je ne vois pas la pertinence de créer un cluster de pfSense virtualisés sur un même serveur !

Au mieux, on visera cela pour une preuve de concept.

Mais, en production, un firewall doit être physique, alors 2 en cluster, c'est forcément aussi physique ...

NB : je ne ferais aucune publicité de votre démonstration de virtualisation sous Hyper-V ... Il existe heureusement d'autre hyperviseur bien plus efficace (ESXi ou KVM, par exemple Proxmox)

Je confirme que le problème était bien que le produit était pas en dhcp mais en statique et donc avec une ancienne passerelle.

Je continue mes recherche sur pfsense

Je ne peux pas simplement bloquer un site plus son "Alias" ( je crois que cela s'appelle comme cela )
Ex: machinbidule.com + www.machinbidule.com

Edit: en créant une liste personalisée, dans DNWBL Feed, j'ai pu bloquer manuellement mon domaine en "www.machinbidule.com".

Y a t'il un moyen de bloquer tous les sous domaines de machinbidule.com automatiquement ? ( fr.machinbidule, it.machinbidule, www.machinbidule )

Merci

Quand on lit le sujet, on n'est pas du tout surpris par le contenu, la pauvreté des informations fournies, et par l'absence d'une description digne de ce nom ...

Pour votre info, 'comme si le site était filtré par un proxy', SQUID, que vous avez installé, est un proxy ! C'est dire si je suis sûr de votre compréhension de ce que vous faites ...

Comme beaucoup, vous estimez qu'il faut 'filtrer HTTPS', sans rien comprendre des enjeux de la casse de la sécurité HTTPS mise en oeuvre (par SSL-BUMP).

Or les sites vont, de plus en plus, mettre en oeuvre HSTS, rendant caduque le filtrage HTTPS. On ne pourra pas dire que personne n'a prévenu de la stupidité de la démarche.

Et un lien (facile à trouver) pour comprendre (en français) : https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Je cite une phrase : 'Une attaque du type man-in-the-middle ne peut pas intercepter de requête tant que le HSTS est actif pour ce site.'. Autrement dit le navigateur refusera d'afficher le contenu du site si le certificat est altéré (cas exact de filtrage https par ssl-bump).

Il y a de l'info, c'est bien, mais l'info est incomplète et surtout en désordre ... Je vous encourage à faire mieux ...

En particulier,
on ne comprend pas le rôle du routeur linksys : la plupart des box fonctionnent en routeur,
on sait que pfSense est virtualisé, ce qui est grandement plus complexe, mais on ne sait rien : y a t-il bien 2 interfaces ethernet distinctes sur l'hôte de virtualisation ?
pourquoi un DHCP en WAN : parfaitement inutile !

Le schéma normal est
Internet <-> Box <-> interface 1 / hôte / interface 2 <-> switch <-> LAN
et dans l'hôte de virtualisation, une seule VM a 2 interfaces virtuelles sur les 2 interfaces physiques.

OpenVPN en suivant les tutos, on doit y arriver !
Mais c'est plutôt en TAP qu'en TUN ! Toujours routage et non bridge !!

Pour décrire une config OpenVPN, il faut :

la config pfSense (copie d'écran) la config client (fichier .ovpn texte) les règles OpenVPN les logs côté client les logs côté pfSense la règle WAN pour OpenVPN l'info 'route print' côté client

Sur le client, on aura installé TAP et OpenVPNGui (ça fait longtemps que j'installe plutôt SecurePoint SSL VPN).

Vous semblez ignorer la notion d'alias : c'est indispensable de se faciliter la vie avec des alias, vous lisez bien plus rapidement une règle si elle utilise des alias.

C'est surtout une question de logique, pour pouvoir être aidée ou pour aider, il faut donné (avoir) un minimum d'info

J'ai essayé sans le bridge, mais j'ai été incapable de faire en sorte que les clients qui était sur des interfaces différents se voie :/
Soit c'est du a l'option "BSS" (c'est lui que je suspectais) qui le bloque, mais le plus probable est que ce soit ma propre ignorance la coupable^^

Mes cartes wifi (que j'ai nommé dans mon 1er poste) était bien reconnu et elle fonctionnait, sauf que par moment elle déconnait et vu que l'on m'a dit que PFSense était pas adapté a mes besoins je l'ai débranché, mais avant de le faire j'ai découvert que mes déconnexions et peu être aussi mes ralentissements était surement du a la mise en veille des cartes, car des que j'allait dans les options "état->Wifi" et que j'actualisait la carte "coupable" mon réseau réapparaissais aussitôt
Donc si ca peut donner des pistes a ceux qui ont aussi ce problème...

Pour OpenWrt je ne pense pas que je l'installerai car comme vous l'avez dit, il est surtout fait pour les AP et a moins de recompilé sa base, il y a peut de chance que tous les pilotes dont j'aurai besoins soit dans la "base", je vais tous de même essayer car ca coute rien

J'ai posé cette question plus haut concernant les tableaux de flux donc si vous pouviez me dire si c'est bien cela et si la liste est complète (trouver sur le site de Microsoft)

"Cliquer ici"

Merci

L'ANSSI peut certifier les matériels qu'on lui présente !

Les matériels Stormshield sont certifiés parce que Stormshield est filiale d'AIRBUS et a fait cet effort.

Il est probable que pfSense ne sera jamais certifié, comme d'autres firewall open source.

Le document cité par ccnet est extrêmement intéressant et rappelle toutes les bonnes pratiques en matière de firewall, zone, virtualisation.
Sauf le passage sur WPAD, sans doute mal compris par le rédacteur !

Salut ccnet,

Effectivement je pouvais avoir un probleme de qualité de voix (voix haché) mais je l'ai resolue en limitant la bande passante dedier au vlan data. laissant le champ libre au vlan voix.

mon probleme n'est pas celui la, les besoins en bande passante pour de la voix et de la data sont diametralement opposé. la voix a besoin de vitesse de transmission (enromement de petit paquet udp) alors que la data a besoin essentiellement de bande passante, la vitesse de transmission étant secondaire en TCP.

Donc la solution que se dessine va etre 2 vpn par site l'un dedier a la voix et l'autre dedier a la data avec des configurations de buffer differente.

Si tu as une experience je suis preneur.

To get the image file, please open a ticket at https://go.netgate.com