@totokeupon:

Si un seul utilisateur est logger, il permet a tout le monde de surfer…
Si USER1 logger, la page d'authentification disparait et tout le monde a acces au web.
Une Idée ?

Au hasard… un proxy ?

Le portail captif va activer une règle qui va autoriser au travers du FW l'IP source. Mais si l'IP source est celle du proxy au travers duquel est faite la connexion,... le proxy est autorisé et dès lors tous les utilisateurs du proxy.

C'est une topologie Hub&Spoke avec A en Hub.

VPN A->B : local subnet sur A : A et C  (donc A pousse vers B une route pour réseau A et une route pour réseau C)
VPN A->C : local subnet sur A : A et B (donc A pousse vers C une route pour réseau A et une route pour réseau B)

Cela fonctionne comme avec IPSEC.

Edit: pousser les routes devient inutile si vous configurer le mode "redirect gateway" pour B et C. mais là tout le trafic local se trouve remonté vers A…

Baalserv vous a indiqué un fil très important pour que vous fournissiez de l'information : vous ne semblez avoir compris qu'à moitié le message …

En particulier, il est nécessaire que vous fournissiez, éléments par élément, des informations assez complètes et représentatives.
Par exemple :

Site 1 :

réseau local : ..... /... firewall : pfSense, version, adr ip LAN, mode d'accès à Internet Openvpn : réglages ....

Site 2 :
idem

En particulier, OpenVPN relie un réseau local à un des PC ou un client ... auquel est fourni une adresse ip et donc dans un réseau.
Si vous ne pensez pas à indiquer le moyen d'accéder à ce réseau, ... il ne peut y avoir de retour !

First if you want to post in English, you should post in the English section  ;)

Then, I've to admit that I don't understand what's behind this idea of forcing this kind of "double-NAT". IPSec doesn't work very well with NAT although this is feasible. In any case, if you want NAT only when using IPSec tunnnel, then you will have to configure this NAT at IPSec level. But why ???

@Chris4916

Heu … comment dire  ;D Il faut bien une exeption pour confirmer la règle  ;) IPSEC en ce cas !

Bien vu, Je fait du Ovpn ^^  8)

@chris4916:

Ne te méprends pas.

Aucun risque  ;)

@chris4916:

En ce qui concerne l'IDS, même si c'est une figure imposée, il n'est pas inutile, à titre de test, et donc temporairement, de ne pas l'utiliser, au moins pour arriver à isoler la source du problème.

Fait en désactivant complètement Suricata, en le désinstallant et en utilisant une version de Pfsense from scratch sans package.
Résultat idem.

@chris4916:

Ce qui m'échappe dans ton explication, c'est que, si je comprends bien, d'un coté tu dis "les temps de réponse en streaming sont mauvais" et d'un autre "lorsque je mesure, tout est normal". Ce n'est pas très clair pour moi.

Moi aussi c'est confus parce que les vidéos ne démarrent pas de façon aléatoire ou si la lecture fonctionne il ne faut surtout pas naviguer. Je pensais à un souci avec la gateway mais quoi  :-\

@chris4916:

Autre point qu'il ne faut pas négliger: la performance ne dépend pas que du FW ou du proxy mais également du poste client. As-tu fait différents tests à ce sujet ?

Testé avec un PC de test dans la salle serveur (PC de bureautique simple mais pas obsolète) et avec mon PC perso (Machine très puissante) les résultats sont les mêmes.

@jdh:

(La matériel sur la photo … j'ai travaillé avec ... et pfSense ne s'y installerait certainement pas : pas 386 !)

La photo n'est pas celle du matériel trouvé, mais s'en rapproche. C'est juste une illustration pour faire comprendre d'où on part.
Content de savoir qu'il y a des "vieux" ici je me sens moins seul  ;D

@jdh:

de l'occasion ?)

Obligatoirement. Ce sont des opérations de recyclage de parc comme beaucoup de marques le proposent aujourd'hui.
Il y a des avantages et quelques inconvénients…

@jdh:

il faut chercher ailleurs …

C'est bien ça, mais je ne sais plus trop par quel bout attraper le souci.

@jdh:

Le devoir d'une société de service vis à vis d'un client est aussi de lui dire que ce qu'il demande n'est pas bon … quoi qu'il en coute ...

Les clients sont informés des "bests practices" mais ils ont aussi des comptables. Donc en fonction des besoins réels il faut mettre des priorités aux chantiers et surtout les chiffrer. Tout ne se fait pas en un jour donc oui souvent on doit faire un peu moins "propre" sans pour autant faire n'importe quoi. Dans un monde virtuel on pourrait rêver que plus personne ne soit administrateur de son poste, que la sécurité des routeurs soit au top même chez les particuliers (qui travaillent comme à la maison), que les antivirus soit rangés dans un musée et que les hackers n'existent pas… Ce n'est pas pour demain  :(

OK. J'a tout compris.

Je viens de faire un test rapide et je rencontre (déjà) une anomalie.

J'ai ajouté un route sur la configuration VPN "Site a Site" du Site B (Celui-ci possède la configuration "server")
j'ai redémarrer manuellement les 2 services (Client sur Site A et Server sur Site B), mais la route ne se crée sur le site A

La route est ajouté est push "route RESEAU REMOTE ACCESS"

Pour mon autorité de certification sous pfSense, j'ai fait ce choix pour assurer une compatibilité parfaite entre les systèmes.

D'où ma question car c'est ce que je soupçonnais. Comme expliquer ce dessus, c'est inutile. X509 n connait pas de variantes selon les outils utilisés. J'ai par exemple encore cette semiane récupérer des certificats et clés existant, générés je ne sais comment ni avec quoi pour produire un pfx avec XCA, mais en Novembre dernier j'ai fait la même chose en utilisant OpenSSL. Il peut arriver que l'on génère le trousseau de clés dans XCA et de faire la CSR sur le site de l'autorité de certification avec son outil en ligne. Bref tout cela est du X509. On ne parle même pas de compatibilité.
Évidement l'hébergement de la PKI sur le firewall c'est très moyen.

Rien à voir avec Pfsense. On ferme.

2.0.3-RELEASE (i386)
built on Fri Apr 12 10:22:57 EDT 2013
FreeBSD 8.1-RELEASE-p13

Tout est dit …

Il y a un moment où on se dit qu'il faut un peu de professionnalisme ...

Se poser les bonnes questions ….

appli -> fichier de conf -> log dans fichier xxx -> visu par vi/cat en ssh

C'est un raisonnement très habituel ...

Bonjour à tous,

J'ai avancé un peu de mon côté en prenant en compte ce que vous me dites mais que je ne peut malheureusement pas toujours appliquer.

Pour faire un point de l'avancé, j'ai paramétré "Limiters" afin de limiter la bande passante par IP. Cela fait un moment que ça tourne en phase de test et tout est ok.

Pour la partie priorisation de flux, SQUID n'est pas utilisable en même temps que Limiters. J'ai lu que ça fait depuis une certaine version de pfSense que les 2 ensemble de peuvent pas fonctionner.

J'ai donc paramétré Traffic Shaper pour faire ma QOS.

Voici la liste de mes files d'attentes :

Quand je regarde de plus près, je vois bien les flux passer sur les parties ACK et Default mais rien dans mes parties Audio, Téléphonie etc..

Sur la partie LAN, j'utilisais les ports sources des postes (apparemment Traffic Shaper est basé sur le port cible comme vous m'avez dit, mais dans ce cas à quoi sert le "port source" dans le paramétrage ?) Il faut donc que je trouve une autre solution, car mes trames sont taguées lorsqu'elles partent des postes.

Mais sur la partie WAN, j'utilise bien l'IP de mon serveur Skype avec les bon ports, mais toujours rien qui apparait dans le graphique et les logs.

Je tourne toujours en rond et commence a désespérer..

Salut,

la bonne pratique windows serveur est de désactiver tous les autres serveurs DHCP sur ton réseau. il faut que win serveur qui attribue les adresses IP sur ton réseau LAN.

Salut,

Merci à vous tous, j'ai résolu le problème ! c’était à cause d'une mauvaise architecture de mon réseau suite à mes connaissances limités dans ce dernier. et surtout la complication de la virtualisation.

Déjà après avoir lu plusieurs tuto, c'est une très mauvaise pratique d'y mettre un firewall dans une machine virtuelle sur la même machine physique que windows server (Aussi suite à des recommandations des utilisateurs certifié windows sur le forum TechNet de microsoft).

Cordialement

Il a toujours été conseillé de désinstaller les packages avant une mise à jour. Par ailleurs je ne vais pas m’étendre à nouveau sur la problématique de Squid sur le firewall. Enfin vous pouvez lire utilement peut être ceci : https://doc.pfsense.org/index.php/2.3_Removed_Packages
Il y a de nombreuses évolutions entre les 2.1.x et 2.3.x .

Help , je suis dans un lycée , et si on a plus de filtrage d'URL , c'est la catastrophe.

Une bonne préparation de ce type d’opération est la clé du succès. En aucun cas non ne procède directement sur l'équipement de production, sans test ni solution de retour arrière testée et validée.

@ccnet:

Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.

Oui c'est vrai!! C'est une erreur de ma part de penser ainsi. On peut avoir un petit réseau mais avec des données très sensibles qui nécessitent une protection maximum, donc un niveau de sécurité plus élevé.

Merci pour votre éclaircissement @ccnet

@ccnet:

A ma connaissance la résolution dns n'a pas d'odeur.

Tu a perdu ton flair ?  ;D ;D

Ok je sort  ::)

@skymaster369:

A pars en connectant un clavier et un écran directement sur le pfsense et en reinitialisant le lan, je ne vois pas.
Cordialement.

Voilà vous avez la solution  ;)

Le tracking des logs, authentifications, etc… Ainsi que le stockage de ses données doit aussi faire l'objet d'une déclaration à la CNIL car dans l'absolu on peut savoir qui fait quoi où quels jours à quelle heure. Déterminer les habitudes de chacun pour faire du mailing, publishing, etc...