Ce forum n'est pas là pour détecter, éradiquer les virus, ni pour faire la pub de son site … Point

Il y a des problèmes de compréhension.

Un portail captif est un 'interrupteur' entre WIFI et WAN :

avant identification, il n'y a aucun accès entre WIFI et WAN l'identification (=ouverture de l'interrupteur) se fait par le premier accès HTTP détourné vers la page d'authentification.

Donc, bien sûr,

un, le dns d'un client NE PEUT-ETRE côté WAN deux, l'ouverture ne PEUT PAS se faire par détournement d'une session HTTPS
Il est important de comprendre pourquoi ces 2 conséquences surviennent …

Il y a en effet au moins deux risques techniques à ne pas contrôler le trafic dns.
1 Le déni de service par amplification de trafic exploite le fait que les réponses dns sont d'une taille nettement supérieures aux requêtes.
2. Dns peut être utilisé pour acheminer un trafic qui ne devrait pas l'être. Citons dns2tcp http://www.hsc.fr/ressources/outils/dns2tcp/ et tous les outils qui permettent d'utiliser UDP DNS pour établir des connexions vpn. Par exemple :
https://www.splitbrain.org/blog/2008-11/02-dns_tunneling_made_simple

Il est donc tout à fait nécessaire de ne pas laisser sans contrôle le trafic entrant comme sortant qui utilise UDP 53 ne se faisant passer pour du trafic dns légitime.

@ ccnet :
J'ai une carte mere superMicro avec 2 port ethernet.
mais le Pfsense tourne sur une VM qui est hebergé par une esxi
Donc je ne suis pas sur que cela soit un pb de driver.

Mais je vauis quand meme regarder cette piste.

Merci

Voir les derniers messages : https://forum.pfsense.org/index.php?topic=134971.15

J'ai envie de hurler : il manquait la route retour …

C'est tellement simple et évident, que je m'était lancé dans l'analyse des trames réseau ...

Quand je pense au temps perdu sur ce problème ...

Merci grandement.
Merci grandement.
Merci grandement.

Je vous invite à créer un nouveau sujet. Votre problématique n'a de commun que le vpn avec le sujet sur lequel vous répondez. PornicFR traite de client nomade, vous de vpn intersite. C'est très différent.
Pour ce nouveau sujet je vous recommande la lecture de A LIRE EN PREMIER : https://forum.pfsense.org/index.php?topic=79600.0

En l'état je ne comprend que très partiellement à votre problème. En gros çà marche dans un sens mais pas dans l'autre. Aucune information technique n'est fournie  : plan d'adressage, topologie, règle, … Pas plus que la description de tests basiques qui ont été effectués, ou non. En gros votre question est du type : Quel âge avait Henri IV ?
Si vous répondez à cette question vous deviez comprendre dans quelle gêne nos sommes ou bien ne pas avoir besoin de notre aide.

Edit : Pas plus clair après votre second post !

salut salut

je dirais même plus, vous avec un char d'assaut et vous lui rajoutez des coussins tout au tour de lui pour ne pas qu'on lui égratigne la peinture ?

image forte mais pas si éloigner que cela, petit rappel de conception et de sécurité, un proxy doit être en retrait du pare feu pas sur le pare feu lui même.
en ne faisant pas comme cela vous vous rajouter une fragilité sur votre infra et facilité le travail pour une attaque de l'extérieur.

sinon comme la indiqué ccnet, c est un module rajouté , pas forcement maintenu coté support par cette communauté, voyez plutôt du coté du bon forum applicatif.

cordialement.

Rien compris non plus. Surtout avec ceci :

ce qui m’évite d’allumer le serveur pFsense inutilement

On se demande donc bien quel rapport avec Pfsense. Surtout éteint !

Bonjour,

Je ne vais pas répondre spécifiquement à la question posé mais, si tel est la demande, il est très facile de doubler la vitesse de téléchargement d'un seul est unique fichier en disposant de 2 lignes ou plus en load-balancing :D

Dans les faits il y aura bien 2 sessions distincte (1/ligne) mais la vitesse de dl du fichier serra à peut de chose près le cumul de la bp disponible sur les liens.

Il suffis pour cela d'utiliser Firefox ou Waterfox et avec l'add-on : DownThemAll
En fait, DownThemAll ouvrira 1 sessions par lien à sa disposition; de la même façon si l'on dispose d'une ligne type fibre et qu'il trouve plusieurs sources pour le fichier, il ouvrirra plusieurs sessions jusqu'a saturation de la bp disponible.
Il a aussi d'autres fonctions très pratique, perso, j’aurai vraiment du mal à me passer de cet outils ^^

Il doit surement en exister d'autres

My2Cents

La rotation des log définie au niveau de pfSense ne s'applique pas au niveau du package Squid, de mémoire.

Tout cela a fini par tomber en marche !

Les deux mais avec des modèles de base car la HA a été ajouté dans un second temps.
J'ai bien l’impression que le cluster c'est simplement deux modèles de base. Peut être un JR45 en plus livré avec !

Bonjour,

Merci pour le rappel concernant les capacités NTP Server de pfSense, nous avons évoqué/pensé à cette piste.

Nous venons de regarder en détails, et il s'avère que pfSense n'arrive pas à se synchroniser non plus !

La configuration des routes et/ou NAT Outbound n'est peut être pas bonne.

N'étant pas physiquement sur place, on va attendre (avant de faire des conneries) d'être sur place ;-), c'est plus sûr.

bonjour

merci pour la reponse.

Mais comme je l ai dit plus haut ma rele WIFI est la meme que le Lan , tout passe (je suis d accord avec toi , on doit gradue)

donc mon wifi c est ipv4  wifinet  *  *  *  * comme la regle Lan mais malgres tout j ai du ouvrir le pour 53 du dns why?

merci
bonne journée

Les débutants gagnent à regarder le fil A LIRE EN PREMIER !

En particulier ici, il y a un manque flagrant d'informations :

adressage, schéma, comment est relié le point d'accès Wifi à une interface (ethernet) ? un client se connecte-il au wifi (SSID/cryptage/clé connu), récupère-il une adresse ip (lien avec pfsense ok, dhcp ok)

Bref, pas d'infos, pas d'aides possibles …

Je ne sais pas à quelle doc ou HowTo Tatave fait référence mais la très grande majorité des liens que tu risques de trouver va décrire du dual-Wan du point de vue du LAN, c'est à dire utiliser 2 WAN en failover ou en load-balancing (policy routing).

Regarde déja du cote de "disable reply-to" (menu system/advanced)

With Multi-WAN it is generally desired to ensure traffic leaves the same interface it arrives on, hence reply-to is added automatically by default. When using bridging, this behavior must be disabled if the WAN gateway IP is different from the gateway IP of the hosts behind the bridged interface.

mais il faut peut-être également jeter un coup d'oeil à la manière dont NAT est configuré.
Quels sont tes settings de ce point de vue ?

Un peu en marge de ta question:

avec 2 WAN (ADSL + FTTH), tu as tout intérêt, pour les services sortants (accès internet) à définir un groupe de gateway et configurer tes règle de FW sur l'interface LAN pour utiliser ce groupe, via les policy routing, soit en load-balancing soit en fail-over selon comment tu configures les membres du groupe.

Je viens de faire une batterie de tests. Avec des pings de tout les côtés, accompagnés de tcpdump.

Voici ce que je trouve :

VM ONLINE (192.168.1.0/24) vers VM MAISON (192.168.2.0/24), via tunnel IPSec => OK
VM MAISON (192.168.2.0/24) vers VM ONLINE (192.168.1.0/24), via tunnel IPSec => OK
PFSENSE MAISON (192.168.2.254) vers VM ONLINE (192.168.1.0/24) => OK
PFSENSE OLINE (192.168.1.254) vers VM ONLINE (192.168.2.0/24) => OK

Quand je ping, VPN connecté vers une VM MAISON, si je schématise, le paquet doit faire :

Mon PC –----VPN-----> PFSENSE ONLINE ------TUNNEL IPSEC-----> PFSENSE MAISON ------> VM

Voici dons la réponse que j'obtiens au TCPDUMP sur PFSENSE ONLINE, lorsque je ping :

22:46:15.313806 IP 10.0.9.2 > 192.168.2.103: ICMP echo request, id 13780, seq 240, length 64
22:46:15.313823 IP 10.0.9.1 > 10.0.9.2: ICMP host 192.168.2.103 unreachable, length 36

J'ai pourtant une route sur ce PFSENSE, pour le traffic vers 192.168.2.0/24.

Bonjour, non justement aucun message d'erreur dans les logs, mais pb résolu, j'ai réinstaller le package et HOP , par magie, j'ai pu télécharger ma blacklist !