Tout cela a fini par tomber en marche !

Les deux mais avec des modèles de base car la HA a été ajouté dans un second temps.
J'ai bien l’impression que le cluster c'est simplement deux modèles de base. Peut être un JR45 en plus livré avec !

Bonjour,

Merci pour le rappel concernant les capacités NTP Server de pfSense, nous avons évoqué/pensé à cette piste.

Nous venons de regarder en détails, et il s'avère que pfSense n'arrive pas à se synchroniser non plus !

La configuration des routes et/ou NAT Outbound n'est peut être pas bonne.

N'étant pas physiquement sur place, on va attendre (avant de faire des conneries) d'être sur place ;-), c'est plus sûr.

bonjour

merci pour la reponse.

Mais comme je l ai dit plus haut ma rele WIFI est la meme que le Lan , tout passe (je suis d accord avec toi , on doit gradue)

donc mon wifi c est ipv4  wifinet  *  *  *  * comme la regle Lan mais malgres tout j ai du ouvrir le pour 53 du dns why?

merci
bonne journée

Les débutants gagnent à regarder le fil A LIRE EN PREMIER !

En particulier ici, il y a un manque flagrant d'informations :

adressage, schéma, comment est relié le point d'accès Wifi à une interface (ethernet) ? un client se connecte-il au wifi (SSID/cryptage/clé connu), récupère-il une adresse ip (lien avec pfsense ok, dhcp ok)

Bref, pas d'infos, pas d'aides possibles …

Je ne sais pas à quelle doc ou HowTo Tatave fait référence mais la très grande majorité des liens que tu risques de trouver va décrire du dual-Wan du point de vue du LAN, c'est à dire utiliser 2 WAN en failover ou en load-balancing (policy routing).

Regarde déja du cote de "disable reply-to" (menu system/advanced)

With Multi-WAN it is generally desired to ensure traffic leaves the same interface it arrives on, hence reply-to is added automatically by default. When using bridging, this behavior must be disabled if the WAN gateway IP is different from the gateway IP of the hosts behind the bridged interface.

mais il faut peut-être également jeter un coup d'oeil à la manière dont NAT est configuré.
Quels sont tes settings de ce point de vue ?

Un peu en marge de ta question:

avec 2 WAN (ADSL + FTTH), tu as tout intérêt, pour les services sortants (accès internet) à définir un groupe de gateway et configurer tes règle de FW sur l'interface LAN pour utiliser ce groupe, via les policy routing, soit en load-balancing soit en fail-over selon comment tu configures les membres du groupe.

Je viens de faire une batterie de tests. Avec des pings de tout les côtés, accompagnés de tcpdump.

Voici ce que je trouve :

VM ONLINE (192.168.1.0/24) vers VM MAISON (192.168.2.0/24), via tunnel IPSec => OK
VM MAISON (192.168.2.0/24) vers VM ONLINE (192.168.1.0/24), via tunnel IPSec => OK
PFSENSE MAISON (192.168.2.254) vers VM ONLINE (192.168.1.0/24) => OK
PFSENSE OLINE (192.168.1.254) vers VM ONLINE (192.168.2.0/24) => OK

Quand je ping, VPN connecté vers une VM MAISON, si je schématise, le paquet doit faire :

Mon PC –----VPN-----> PFSENSE ONLINE ------TUNNEL IPSEC-----> PFSENSE MAISON ------> VM

Voici dons la réponse que j'obtiens au TCPDUMP sur PFSENSE ONLINE, lorsque je ping :

22:46:15.313806 IP 10.0.9.2 > 192.168.2.103: ICMP echo request, id 13780, seq 240, length 64
22:46:15.313823 IP 10.0.9.1 > 10.0.9.2: ICMP host 192.168.2.103 unreachable, length 36

J'ai pourtant une route sur ce PFSENSE, pour le traffic vers 192.168.2.0/24.

Bonjour, non justement aucun message d'erreur dans les logs, mais pb résolu, j'ai réinstaller le package et HOP , par magie, j'ai pu télécharger ma blacklist !

(Pas mieux que ccnet, forcément.)

La question est : un firewall doit être sûr et fiable, de plus il doit répondre vite à son rôle essentiel (=primaire) : le filtrage de paquets, et là on est en dessous de la milliseconde.

Les conséquences évidentes sont :

pas de virtualisation : 'vol de cycle' pas de tâches qui 'occupent' (proc, mémoire, temps) : proxy, base de données, IDS, antivirus, relais mail, …
Mais doivent rester : vpn (et cryptage) parce que lié au routage et au filtrage, portail captif (authentification extérieure) parce que position naturelle.

Autres exemples :

le dns local sera assuré par de DC Windows mais le firewall fournira le 'fowarder' dns, le dhcp local (LAN) sera assuré par le DC mais le dhcp de WIFI GUEST peut être fourni par le firewall ainsi que le dns (puisqu'il y aura un mur avec le LAN).

Mais bon, pour vous, c'est pour du perso ...
En particulier vos explications n'ont rien à voir avec le problème, pour lequel je ne vois aucune démarche par étape ...

@jdh:

Il est totalement inutile de créer ce vpn sur le pfSense AMPSHA.

NB : le vpn a créer devrait être OpenVPN et non PPTP obsolete, non secure et difficile à faire traverser un firewall !

Avis que je partage. Pourquoi déporter le vpn d'un client unique sur Pfsense alors que le dit client est capable de faire cela lui même. A part pour se compliquer la vie …
Je confirme que ce bazar de nat est inutile. Pfsense gérant tout ce qui est nécessaire pour le trafic sortant.

OK j'ai solve mon problème :-)

c'était tellement bête que je suis passé à côté des dixaines de fois. J'avais paramétré une limitation de la BP sur les ports du switch WAN1 et WAN2 pour simuler des liens ADSL à 16Mb/1Mb.

Le débit des interfaces VLAN est immédiatement remonté à 935M après désactivation.

Merci.

@radavy:

Problème:
Pfsense does not keep Mac address

Try to formulate the question with more then 6 words.
And while you're at it : this is the french section of the forum - Franglais doesn't work very well here.

Quelle ip dois-je préciser en source ? l'ip publique ? l'ip du routeur ADSL ?

Rien à mettre dans source a priori. En dessous dans destination:
"Single host or alias" et l'ip wan de Pfsense dans la champ à droite. Sous réserve.
Tans que votre routeur ADSL ne redirigera pas le flux vers l'interface wan de Pfsense, il n'y a aucune chance pour que cela fonctionne.

Le fonctionnement d'un cluster repose sur l'égalité du maitre et de l'esclave : les matériels doivent être identiques.
D'ailleurs, l'écrasement des règles traduit bien que les config doivent être identiques.
(Le pire : l'esclave à une interface en moins : après bascule maitre -> esclave puis esclave -> maitre, les règles de l'interface en moins auront disparues !)

Voyez, il y a 2 façons de dire la même chose :

@ccnet:

En résumé vous faites du NAT pas de la sécurité.

@jdh:

Ce n'est pas pfSense qui apporte de la sécurité, c'est la façon de l'employer

pfSense est un firewall, qui sait faire du forward (NAT > Port Forward), mais qui ne fait pas l'analyse à l'intérieur du protocole !

Un, il faut savoir quel port.
Deux, il faut savoir comment insérer un proxy qui va réaliser le travail nécessaire de contrôle du protocole, et, ainsi, apporter de la sécurité.
(De la sécurité … là où il n'y en a pas ou peu ...).

Je confirme que sans rien connaitre de votre configuration, nous ne savons que dire …

Ok donc là c'est normal.
Une modification chez Orange en été, vous allez attendre un peu.