@Bob60

Bonjour à tous,

Pour ceux qui cherche la solution pour le problème d'OpenVPN décrit ci-dessus, j'ai eu la solution sur ce forum, partie anglophone ;-)

Il suffisait de rajouter une CSO (réécriture spécifique au client) en complément de la configuration du serveur.

https://forum.netgate.com/topic/186219/site-to-site-openvpn-routing-issue

En espérant que cela puisse servir,

Robert

@seb-nevers
Pourquoi avoir cocher "Gateway duplicates" ?
Pour cette situation avec un triangle de 3 sites ce n'est pas une obligation.
Je ferais bien un test sans cette option qui déclenche 2 connexions en phase 1 entre les deux sites (les 2 connexions au statut "Connecting").
Si le soucis n'est pas là, il faut aller regarder dans les logs du service IPSec pour trouver ce qui retourne une erreur.

@seb-nevers
Bonjour,

nous sommes une petite structure avec environ 3000 étudiants et 300 personnels.

Nous avons des Netgate/pfSense en HA avec des sites à sites en OpenVPN et IPSec, plusieurs dizaines de VLAN, une centaine de connexions VPN pour le télétravail, le FreeRADIUS, le serveur DHCP.

Nous n'utilisons pas SquidGuard mais le package pfSense pfBlocker DNSBL à la place, qui récupère aussi les fichiers de blacklist.

Tous les logs du firewall sont envoyés sur un serveur de log en cas de perquisition.

Pour le portail captif, l'authentification passe par OpenLDAP mais de l'AD fonctionnerait aussi.

Pour la formation, si vous êtes en Europe, je pense que Provya ou Viatitude devraient pouvoir vous proposer cela, mais avec un compte CPF, je ne sais pas.

Pour la partie hardware, nous avons des Netgate 7100 HA mais nous allons passer à du serveur Dell plus puissant car avec notre population, les 7100 sont un peu légers au niveau CPU.

Nous utilisons pfSense depuis 2009 et ça a toujours fait le travail.
Le TAC est au top, très réactif.

La version de pfSense que nous utilisons est la pfSense Plus.

Bonne journée.

@Tueurdragon

Avec des interfaces en 10G, il est grand temps de passer à un firewall physique et non virtuel.

Je ne vois aucun intérêt à disposer d'un firewall avec 256G de disque ...

Je vous informe qu'en virtualisant, il y a forcément des problèmes réseau du fait de la virtualisation et de problèmes de drivers notamment avec un gros trafic.
D'où la nécessité d'aller à un firewall physique (avec des interfaces réseau bien reconnues par BSD ...).

Mes excuses. j'ai manqué de préciser qu'au niveau des sous réseaux des VLANs que c'était aussi du 192.168 (ça tombait sous le sens pour moi vu que j'avais dit que le LAN était 192.168.33.0/24😅 donc je n'ai pas pas pris le temps de réécrire 192.168 devant)

Je reprends.

Réseau LAN: 192.168.33.0/24.
Gateway: 192.168.33.110 (addresse du pfsense)
DHCP et DNS un windows server en 192.168.33.210

Réseau VLAN 45: 192.168.200.0/24 (réseau mis en place pour tests)
Gateway : 192.168.200.1 (Ip du pfsense)
DHCP range (192.168.200.10-192.168.200.20)
DNS: 192.168.200.1 (Le pfsense)

Réseau VLAN 180: 192.168.35.0/24 (Réseau de téléphonie)
Gateway : 192.168.35.1 (Ip du pfsense)
DHCP range (192.168.35.10-192.168.35.230)
DNS: 192.168.35.1 (Le pfsense)

Réseau VLAN 170: 192.168.192.0/24 (Sert à un seul équipement et sort via une IP publique différente des autres réseaux)
Gateway : 192.168.192.254 (Ip du pfsense)
DHCP range (192.168.192.10-192.168.192.20)
DNS: 192.168.200.1 (le pfsense)

Réseau VLAN 180: 192.168.36.0/24 (Réseau Wifi public)
Gateway : 192.168.36.1 (Ip du pfsense)
DHCP range (192.168.36.10-192.168.36.200)
DNS: 192.168.36.1 (Le pfsense)

@Lanstack said in VPN Ipsec - relay DHCP : NOK:

https://goopics.net/i/ntusa5

Le lien de mon lab : https://goopics.net/i/ntusa5

@F4FAQ_Xavier said in Coupure interface reseau:

Atom(TM) CPU D525

Ce processeur date de 2010.

Logiquement les drivers associés aux ports Ethernet doivent être capables de passer le débit.
Mais c'est le processeur qui fait tourner le code des drivers ...
Les drivers utilisent de la mémoire comme tampon, y en a-t-il assez ?

Il est possible qu'un boitier plus moderne fasse correctement passer ce débit, même avec un simple Celeron ...
Il y a eu des fils sur des boitiers modernes et peu couteux ...

@jdh merci pour ton intérêt à mon poste et j’adore la phrase d’einsten !

En gros j’ai un utilisateur en interne qui accède à un logiciel sur un serveur et il y accède avec une ip fixe qui est dans le réseau 192.168.13.0/24 sauf que mon vpn me fournis une ip en 10.0.8.0/24. Du coût il ne peut pas accéder au serveur.

J’ai enfin trouvé !

@mr_nets

waiiiii!!!!!!!!!!!!! super!!!!!!!!!!!!!!!!!!! le cadeau de Noël!!!!!

merci pour votre aide

@Gertjan
Merci pour vos conseils. Enfaite c'est l'aviation civile donc ce n'est pas un wifi "public". Il est pour ceux qui viennent passer leur brevet de pilotage, des employés d'autres sites qui viennent etc. Les comptes qui ont accès au portail sont créées par des "secrétaire". On fait partie d'un ministère et mon maitre de stage m'a dit qu'il doit être en mesure de tout fournir en cas d'audit ou quelque chose comme ça. Moi j'applique ce qu'on me demande. De même, il était partit sur 0 dépense, sauf pour un potentiel certificat, il a fait une exception.
On va dire que la demande est de filtrer des sites, logs et un portail captif. Ils ne veulent pas analyser 24h/24 (enfin je pense 😁 ).

Pense-tu que PfblockerNG pourrai faire office de bloqueur de site, vu qu'il travail au niveau DNS, il déchiffre pas les trames HTTPS.

J'ai vu pour squid qui n'est plus supporté, je trouve ça étrange, dans pfsense il y a la version 0.4.46 et sur le site la dernière version c'est la 6.5 qui date du 7 décembre ... Mais vu que j'ai pas de chance, je le vois à la fin après avoir passé 2 jours sur un doc word clean 🤣

Merci et bonne soirée

@Victor-5

Je pense (mais je n'en suis pas sûr) que tu peux jouer avec l'option "State Timeouts"
le passer de normal à Agressive
Voir en bas de page pour la comparaison entre les 2
https://wiki.evolix.org/HowtoOpenBSD/PacketFilter

Mais rien ne sera "immédiat"

Ensuite si tu veux appliquer immédiatement ta règle aux flux impactés, il faudra passer par du scripting pour : injecter ta ou tes regle(s), lister les flux impactés et tuer les anciens flux identifiés

Tuer tous les états correspondant à des IP source et/ou destination Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 : # pfctl -k 192.0.2.0/24 Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 et dont l’IP destination est 198.51.100.10 : # pfctl -k 192.0.2.0/24 -k 198.51.100.10 Tuer tous les états dont l’IP destination est 198.51.100.10, peu importe la source : # pfctl -k 0.0.0.0/0 -k 198.51.100.10

@Issa2023

Hello,

tout d'abord, je te conseille de limiter le nombres de ligne en optimisant tes regles via l'usage d'alias

exemple : regrouper sous un alias "web_ports" le 80 et le 443
97db1b4c-67af-4ab8-8f06-04ba96c4e61c-image.png

alias port pour application steam
e47af2af-cdcc-417d-bb8f-7bb7c70bdeee-image.png

Ceci rendra tes règles plus lisible et facile si tu souhaites ensuite les désactiver

Ensuite, si tu souhaites ne pas ouvrir tous les ports vers internet, il faut identifier les règles nécessaire à tes applications

https://support.activision.com/articles/ports-used-for-call-of-duty-games

idem créer d'abord un alias ou 2 si tu souhaites distinguer les ports par protocoles dans tes regles

ce qui te donnera ensuite quelquechose comme cela (c'est un exemple)

9956674a-c8bc-4a7f-82d2-85adb3190e17-image.png

Ensuite si ça ne marche toujours pas regarde dans tes logs du firewall ce qui est bloqué
9a1d0cc9-b4da-4770-9af2-7923b5157d10-image.png

Cherche TCPView de sysinternal , il peut t'aider à identifier les ports utilisés par une app en particulier sur ton pc

@oberte

On trouve vite que splice est une nouvelle action de bump : cela reste du transparent (et c'est mal).

J'ai X fois dit ce qu'il y avait à dire sur le proxy transparent ou l'interception SSL.

Je n'utilise plus que pfSense que pour mon usage perso. Mais professionnellement le problème demeure.

HSTS est une méthode simple pour que le navigateur vérifie le non-remplacement du certificat : les sites vont aller vers HSTS, donc le principe du proxy transparent va disparaitre.

Un proxy explicite est ce qu'il faut faire, point.