Il me montre aussi ce genre d'erreur des fois "Secure Connection Failed" et après quelque second ça remarche.

Je ne lirais pas correctement ? Mais c'est l'hôpital qui se moque de la charité …
Pourquoi tenez-vous absolument à préciser EXACTEMENT ce que j'ai écrit plus haut (de façon CLAIRE) :
@jdh:

WPAD, par définition, fournit un script 'javascript' qui, en fonction d'une URL, retourne soit 'DIRECT' soit 'PROXY:xxxx:xxx'.

(j'ai écrit 'fournit', j'aurais pu écrire 'fait trouver' mais c'est le sens.)

Je suis intervenu, récemment, sur un site du groupe, site de 300 personnes, où était en place une GPO pour fixer le proxy.
J'ai expliqué WPAD, mis en place le nouveau proxy, créé les fichiers proxy.pac, et la GPO a été supprimée … à la satisfaction de tous.

Utilisez une GPO pour CE sujet est une idée TRES moyenne parce que mettre WPAD n'est pas plus compliqué et fait PLUS.
En particulier, je trouve très STUPIDE d'avoir à expliquer aux utilisateurs de portables pros qu'ils doivent, pour travailler chez eux, de déconfigurer (et le refaire à chaque fois) !
Le bel argument de 'c'est fait souvent' ...

Maimonide : Donne un poisson à un homme, il mangera un jour. Apprends-lui à pêcher, il mangera toute sa vie.
On n'est pas dans la même catégorie ...

En Informatique, il y a 3 types de personnes :

celui qui a préparé (et qui va réussir) celui qui se lance direct et qui a des connaissances, et va s'en sortir celui qui se lance direct et n'a pas de connaissances

Il y a intérêt, pour la 3ième personne, qu'elle apprenne à se poser des questions, à chercher avant d'appeler au secours, à diagnostiquer et à appeler en fournissant de l'info !

Là, sans doute, vous n'êtes expérimenté ni en virtualisation ni en pfSense.
Cela fait beaucoup de choses … et beaucoup de raisons de ne pas y arriver, alors si, en plus, vous n'êtes ni capable de distinguer ni de chercher D'ABORD par vous même.

Pour vous aider commencez par lire A LIRE EN PREMIER ...

@NicoPesto : vous m'avez mal lu/compris, et, de plus, je ne porte pas de jugement de valeur.

Vous avez lu les documents de l'ANSSI.
Très bien, moi aussi, et d'ailleurs, je les cite, cf @jdh:

Se pose la question du déchiffrement des sessions HTTPS.
Les bonnes recommandations (pour la France) :

CNIL : (mars 2015) https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions ANSSI : (juin 2012) https://www.ssi.gouv.fr/agence/publication/ssltls-etat-des-lieux-et-recommandations/ ANSSI : (octobre 2014) https://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
Dans ce dernier document, l'aspect juridique est (esquissé) à partir de la page 26 …

(Lisez ce qu'écrit ccnet dans ce fil …)

Le déchiffrement pose des problèmes techniques et juridiques, en particulier d'informations des utilisateurs ! (C'est factuel)

Un erreur de compréhension est faite très généralement (quand on méconnait les détails précis) :

si le besoin est de blacklister, nul besoin de déchiffrer, si le besoin est d'analyser l'intérieur, par exemple téléchargement en HTTPS d'un fichier de type virus, alors le déchiffrage est nécessaire ( … mais le poste client a forcément un antivirus !).
De plus, si la majorité des sites passant en HTTPS, inéluctablement HSTS va aussi s'accroitre et il met en échec SSL Bump ...
Je ne crois pas que pfSense + les packages Squid/SquidGuard fassent aussi analyse antivirus, donc cette solution ne fait que blacklister, d'où l'inutilité de SSL Bump ! (C'est mon analyse)

NB : pour un site en blacklist, si le site est en HTTP, la page renvoyée sera celle définie par le 'redirect' de SquidGuard, et si le site est en HTTPS, la page renvoyée est blanche et il n'est pas possible de faire mieux.

Donc, dans votre cas

un certificat valide pour un site web en DMZ est intéressant  pour les users depuis Internet, un certificat valide pour administrer pfSense n'a d'intérêt que pour un ... administrateur (forcément interne), un proxy avec cassage HTTPS pour les utilisateurs internes va (forcément) changer le certificat (=remplacement de TOUS les certificats de TOUS les sites !)

Donc l'utilisateur interne ne verra pas le même certificat que l'utilisateur sur Internet , alors que vous faites l'effort de fournir un certificat valide !
Vous constatez, comme moi, que c'est illogique.

A titre perso, je ne peux que vous encouragez à fournir un site web

avec un certificat valide (vous l'avez fait) et avec HSTS actif (reste à faire)

Tu peut éditer le titre avec [Résolu] stp

Rebonjour,

Déjà je te remercie pour la réponse rapide, je vais tenir compte des conseils et je vais essayer de faire mon possible.
L'aide m'a permis de mieux comprendre le fonctionnement de PfSense.

PS : Si j'ai mon poste client en IP Fixe c'est parce que je déploie PfSense directement sur l'environnement de production car je n'ai pas d'autres environnements de test à disposition. C'est donc assez compliquer de faire mes essais sans crée d'impact sur les utilisateurs.

En tout cas encore merci pour l'aide apportée je vais fonctionner dans votre sens, je pense qu'il sera préférable de ne pas brûler les étapes et afin d'arriver à une solution qui fonctionne.

En espérant que ce post puisse être utile à d'autres.
Bye

Et il ne vient pas à l'idée de fournir un lien vers ce hardware (très) exotique ? Une référence sur une étiquette collée sur le matériel ?
(Fil ouvert le 26 avril !!)

En recherchant 'cranberry hardware', on arrive sur un fabricant de matériel wifi (routeur, point d'accès) : est cela ?
S'il s'agit de ce type de matériel, il ne semble pas déconnant que xBsd ne s'y installe pas …

en effet, mystère  :-X

Merci à toi Gertjan.

C'est bizzare, mais du jour au lendemain, tout à fonctionner, sans que je touche à rien…  :-\

On va se contenter de ça...

Merci à vous! :D

@ccnet:

La majorité des personnes qui arrivent ici avec des problèmes étiquetés Pfsense ont en réalité des problèmes de compréhension ou connaissances des mécanismes basiques.

C'est mon analyse également  ;)
Ce qui n'empêche pas de discuter des sujets en question dans la mesure où s'est quand même mis en œuvre via ou autour de pfsense 8)

:)

Si besoin n'oubliez pas que vous pouvez aussi contacter notre support technique, même pour ce genre de question.

Cordialement,

Pour finir je ne cherche pas a coupler Squid avec Open DNS on me demande de viré  Squid.

C'est très curieux de faire cela !
Et c'est d'autant plus curieux que c'est une demande SANS la moindre justification technique probante.

A minima, il faudrait, depuis un compte dument ouvert chez OpenDNS, vérifier que sur un historique conséquent (1 mois mini) de la navigation avec Squid, la solution OpenDns fait mieux.
A partir de l'historique, limiter au nom dns début et à un exemplaire, et vérifier qu'OpenDNS retourne une valeur correcte.
Mais ça, ça n'est même pas fait.

Ce projet est fumeux et établi sur une base non scientifique …

Vous ne pourrez pas dire que nous vous avions pas averti ...

Je ne sais si je dois mettre une règle sur mon interface WAN

Vous n'hébergez aucun service en interne donc non.

La première étape de config d'un firewall est d'affecter (correctement) une adresse ip à une interface.
Si déjà cela n'est pas réalisé correctement …
(Les ip virtuelles ne sont que les ip disponibles de la range fournie.)

Je ne peux pas croire qu'à la relecture de ce qu'on écrit, il n'y ait pas un 'tilt' !
Vous n'avez sûrement pas envie d'être aidé !

(Quel est cet opérateur qui fournit une range de 64 adresses ip publiques à quelqu'un qui n'est pas capable de les utiliser ?)

(Quand à Chris4916, il n'a jamais du travailler avec une ligne Internet Pro type SDSL ou fibre avec range /29 : bien évidemment que le firewall est en statique et non en DHCP !)

Bonjour,

Je vous remercie de tous vos retours. Je vais donc désactiver cette fonction.

@Gertjan:

Ton WAN possède un IP local ( RFC 1918 ) donc je te conseille de regarder de plus près les règles NAT et parafeu de ton routeur en amont. T’auras une petite surprise.
Règle d'or : jamais - sauf peut être le VPN (porte) 1194 - doivent être natté en amont.
Règle d'or 2 : le GUI n'est pas accessible à partir du WAN - et par défaut c'est le cas.

L'adresse IP de mon WAN est lié avec une IP Public. L'accès au GUI depuis le WAN a été désactivé.

@jdh:

Les utilisateurs de pfSense devraient être des administrateurs.
Pour quelles (fausses) raisons des clients devraient avoir un profil utilisateur de pfSense ?

Mon tuteur souhaitait juste donner un accès limité au GUI afin d'éviter de transférer constamment les configurations aux utilisateurs. Vu vos retours je vais désactiver cet accès.

@jdh:

En ce qui me concerne, de toute façon, les utilisateurs NE SONT PAS administrateurs de leurs PC (et c'est BIEN mieux), donc ils ne peuvent l'installer.
De plus, je n'installe plus OpenVPN Client GUI, car je suis resté sur la nécessité d'être administrateur pour l'exécuter (ce qui n'est peut-être plus le cas).
(J'installe SecurePoint SSL VPN Client qui fonctionne très bien, et avec la config d'OpenVpn bien sûr.)

Au siège nous n'utilisons pas le client Openvpn également à cause du problème que vous mentionnez. Cette configuration avait pour cible les utilisateurs en télé travaille ou mobile qui sont administrateurs de leurs machines perso.

Je vous remercie encore
Cordialement

'Jour.

Coté Proxy etc, j'en ai pas.
Mais coté Portail captif : ça vérifié avec https://doc.pfsense.org/index.php/Captive_Portal_Troubleshooting

ipfw table all list

dans les tables NOMDETONPORTAIL_allowed_up et NOMDETONPORTAIL_allowed_down il doit y figurer les IP's de ton serveur - ton URL.
Chez moi :

.... --- table(cpzone1_allowed_up), set(0) --- 188.165.53.87/32 2090 0 0 0 2001:41d0:2:927b::3/128 2090 0 0 0 --- table(cpzone1_allowed_down), set(0) --- 188.165.53.87/32 2091 0 0 0 2001:41d0:2:927b::3/128 2091 0 0 0 ...

C'est le cas ?
Et si oui, coté Portail captif tout est bon.

Par contre, plus personne utilise une si vieille version de pfSense "2.2". faut pas faire ça, ça rend caduc la possibilité de recevoir de l'aide.
( et du coup, inspecter les règles ipfw seront aussi différent je pense …. je ne sais plus ... consulte https://doc.pfsense.org/index.php/Captive_Portal_Troubleshooting )

@flipflip:

Pas facile de trouver un titre pour mon problème.

Genre : "DNS local ne fonctionne pas …..".

@flipflip:

J'ai créé deux règles NAT pour les ports 8061 et 4435 (port fictif) que je redirige vers un serveur sur mon LAN. Tout est ok quand je suis à l'extérieur, j'accède à mon serveur.

Parfait.

@flipflip:

Mon problème est que parfois j'ai besoin, depuis le même périphérie, d'accéder au serveur mais depuis mon LAN sans possibilité d'indiquer à l'appli une ip local. Dans ce cas pas moyen d'accéder au serveur. Les ports sont ouverts sur l'interface LAN et je laisse tout sortir sur l'interface WAN.

T'inquiète. J'ai compris. Il te faut un "nom" ou URL, genre blablabla.mon-lan.local

"mon-lan.local" est bien sur le "Domain" que t'as mis ici : System => General Setup

Il suffit que tu :(voir image)

192.168.100.100 est l'IP de ton serveur.
"blablabla" le nom du host - a choisir.

Note : de demande jamais ton FAI s'il peuvent entrer dans le DNS d'un nom de domaine "sur le net" des hosts d'un réseau local - avec des IP non routables en plus. C'est peu comme demander au ministère dedu transport de changer le code de la route pour que les feu rouges seront des feux bleus …

dnsresolverlocal.PNG
dnsresolverlocal.PNG_thumb