@Shadow:

Le netmask est large car, par praticité de lecture, j'ai voulu segmenter visuellement les types de machines par leur ip.

Le choix du netmask n'est pas complètement anodin.
D'autan que si tu gères, comme je le pense, tes IP à la main, c'est que tu as peu de machines. Du peux donc maintenir un fichier avec des "zones" pour tes types de machines dans un /24, ce qui représente déjà 254 hosts  ;)
Et dans ce cas, il convient, "normalement", d'utiliser une adresse dans le range 192.168.x.x, ce qui te permet un nombre de hosts déjà considérable.

Ce point est à prendre en compte pour des aspects de "taille de réseau" en interne mais également pour des aspects justement liés au VPN:
si tu choisis une classe A ou B sans considération, le rsique pour que le site distant soit dans un range qui se superpose (même partiellement) augment, ce qui nécessiterait de mettre en œuvre une couche de NAT supplémentaire alors que dans ton cas, ce n'est pas indispensable.

Je te suggère donc d'une part de lire un peu de littérature sur l'usage des netmasks et de considérer, compte tenu de ta volonté de mettre en œuvre un serveur VPN, le problème potentiel que je décris.

Je ne vois rien de vraiment choquant dans les copies d'écran que tu fournis (même si effectivement on pourrait discuter du choix de SHA1 pour l'authentification).
Il faut donc aller voir dans les logs… car il est fort possible que le FW coté pfSense bloque quelque chose.

Rien à voir avec IPsec: je suis interpellé par tes netmaks. Je pensais que c'était une erreur dans le premier message mais les détails du second confirment ceux-ci.
Pourquoi pas /23 coté pfSense si tu as plus de 254 hosts maiis le /16 coté Livebox  :o

Qu'as-tu tu, coté pfSense, dans "Status / system logs" ?
Regarde les logs system mais surtout les log du FW et du VPN  ;)

@baalserv:

Je n'interviendrai pas dans le débat sans fin entre toi et JDH (car totalement inutile et non constructif^^) mais je vais tout de même te répondre  :)

En effet, quasiment systématiquement, quel que soit ce que je poste ou presque, ça se termine avec jdh dans un (non) débat stérile, inutile et non constructif.
Dommage  ::)

@baalserv:

Premièrement dire : Va le faire ailleur mais pas içi ! (avec une solution que tu semble considérer comme idoine) C'est mal me connaitre car ce n'est pas mon style du tout  :-\

Oh non pas du tout. Je n'aime pas vraiment SME.
Si j'avais à choisir aujourd'hui une solution ce type (c'est à dire UTM), avec une contrainte forte qui serait une interface graphique, j'irai plutôt vers une plate-forme Zentyal antérieure à 4.1  ;D

@baalserv:

Deusio : Quand à Sme je vais déveloper plus bas  ;)

@chris4916:

Il y a effectivement d'autres solutions et si le besoin est uniquement un MTA filtrant, pfSense n'est pas la solution, pas plus que SME à mon avis. une plate-forme Linux avec Webmin si le coté interface graphique est indispensable (bien que je n'aime pas du tout cette approche) me parait plus efficace.

Ha … parce que SME n'est pas une plate-forme Linux avec Webmin ?  :o

pas à ma connaissance mais je peux me tromper.
quand tu écris "webmin", tu penses à ça ? (juste pour éviter une confusion supplémentaire)

@baalserv:

Oui SME propose un mode serveur+GW offrant alors des services de routages et FW mais également d'un mode serveur only  ;)

Effectivement, je ne pensais pas du tout, au moment où je formulais ma remarque, et dans le cadre de "pas de MTA sur pfSense", à ce mode de déploiement "SME sans FW"  :-[

[quote]Sme est basé sur CentOs et est construit avec un système d'ebay et template apportant cloisonnement et sécurité. Sme à été conçu pour offrir des services de serveurs (Mails, fichiers, dhcp, dns, ldap, …) , contrairement à pf qui lui est conçu pour offrir des services de fw avant tout.

Ma proposition est bien plus honète que tu ne me le prète et donne une piste à explorer  ;)

Certainement. pfSense + SME "server" est une solution viable dans le mode "server only" et ma remarque ne s'applique bien sûr plus avec cet objectif de MTA filtrant supporté par SME en mode "server only".

Le point récurent est vraiment celui des packages que pfSense (ou plutôt des développeurs) met à disposition, sans cependant intégrer les fonctionnalités dans le développement de base.
Ce serait bien sûr beaucoup plus simple si l'équipe pfSense ne permettait absolument aucun changement aux fonctionnalités intégrées. Pas de menu package, rien dans le wiki. Que du FW et rien que du FW  ;D
Mais ce n'est pas le cas car le besoin, pour certaines infrastructures, de déployer une solution autant que possible "tout en un" est évident et même l'équipe de pfSense ne peut résister à s'ouvrir à ce type d'intégration.

Du coup, la position (que je qualifie de dogmatique lorsqu'elle n'est pas étayée  ;)) qui consiste à ne dire que "pas de ça sur pfSense" est difficile a tenir sans argument technique car celui qui va consulter la doc en ligne de pfSense va même y trouver des préconisations en terme de hardware en cas de déploiement de package.
Le forum de pfSense fait une large place à ces add-ons et l'interface de pfSense intègre cette option, avec une liste des packages et de leur description.

Il me semble qu'il serait beaucoup plus constructif du coup d'expliquer et d'argumenter au lieu de renvoyer systématique la personne qui pose la question dans ses pénates.
Ta solution alternative rentre dans ce cadre, même si il n'y a pas vraiment d’explications du "pourquoi ce n'est pas faisable avec pfSense".

Nous avons essayé d'échanger il y a quelques mois autour de ce sujet (à propos du proxy HTTP) mais la discussion tourne rapidement court  :( sans que, de mon point de vue, un argumentaire fort soit mis en avant pour justifier qu'il ne faut surtout pas, et ce systématiquement, aller dans cette direction de déploiement d'un package sur pfSense.

Et la réponse n'est pas aussi simple que ça, sauf si le point qui prévaut est de dire que de toute manière c'est mal développé et mal maintenu  ;D

Je vous remercie pour vos réponses
J'ai un switch Cisco 8 ports qui gère les vlans donc pour la partie switch aucun problème
Je vais m'orienter vers la solution d'un point d'accès netgear.
C'est vrai que la solution du DHCP sur pfsense pour le wlan invités est une bonne remarque

Le 2nd lien http://wiki.squid-cache.org/ConfigExamples/ContentAdaptation/C-ICAP me semble correspondre à votre recherche.
A noter qu'il est indiqué "as-is" mais des éléments montrent qu'il n'avance pas au hasard …

Je tiens à m'excuser pour la formulation qui ne respecte pas les règles.

+1, vous serez plus précis la prochaine fois

'softflowd' est un package de type 'sonde netflow' : archi de surveillance réseau développé par Cisco.
Une url intéressante est https://www.osnet.eu/fr/content/une-sonde-netflow-pour-pfsense (écrit par Gregober, modérateur du forum français).
Il s'agit d'une technique de relevé de 'tout' le trafic, remonté vers une console.

J'utilise plutôt le package : ntop.
Il correspond à la commande bien connue 'ntop' et se présente aussi comme 'sonde netflow'.
Je l'utilise seule : juste pour catégoriser les flux entrants/sortants du pfSense.

Par exemple, on peut avoir

All protocols > top talkers > Last day : liste pour J-1 des top senders et top receivers IP > Summary > Traffic : table en ligne les hosts, en colonnes, les flux (plusieurs colonnes)

Bonjour JDH Ccnet et Chris4916, je vous remercie pour vos réponses instructives.

Vous m'avez éclairé sur plusieurs points. Je retiens la solution du cron tab, dommage qu'on ne puisse pas logguer dans une base de donnée avec squid ça m'aurais bien plus. Je trouve ça plus simple de faire une petite requete SQL pour afficher a extraire les infos.
Si non je n'avais pas du tout penssé au ACL, se qui tombe sous le sens quand on considère les différentes problématique du portail Captif, je vais me renseigner de se côté la.
J'ai eu il y a peut la vue sur se que l'on demande aujourd'hui a un portail en terme de fonctionnalitée et de gestion. J'ai donc avec ça et vos explications une vision plus claire au niveau des objectifs a remplir.
Bref avec un peut méthodologie, de recherche complémentaire je devrais m'en sortir.

Merci a vous, je reviendrais vous embêter si jamais j'ai de gros points noirs.

Test de l’ouverture d’un accès à distance à travers SSH depuis la machine LAN vers la DMZ

Si il s'agit d'écrire une règle pour pouvoir accéder en ssh à une machine en dmz depuis le lan, lisez la doc. C'est vraiment un basique et nous n'allons pas le faire à votre place. Idem pour le reste. Si c'est autre chose , c'est incompréhensible. C'est mal écrit, bourré de fautes, aucun effort personnel et vous êtes incapable de reformuler. On a vraiment pas envie de vous aider.

Je ne sais pas si il y a une solution "mieux" car cette notion de mieux dépend de beaucoup de paramètres mais il y a d'autres approches possibles.

Juste un exemple de ce que je considère comme définitivement mieux:

si les utilisateurs sont nominativement connus et donc avec un compte pour s'authentifier, ce qui me semble un minimum dans cet environnement, il est assez simple de mettre en place un filtrage, au niveau du proxy HTTP, pour que les utilisateurs d'un groupe (LDAP) particulier soient bloqués.

Il suffit alors de gérer 2 groupes dans LDAP:

les utilisateurs à jour de leur cotisation les utilisateurs en retard

d’autoriser les utilisateurs "à jour"  et de bloquer les utilisateurs "en retard".

Pratiquement, comment faire ça ?

soit en gérant du simple "group membership" mais ce n'est ni élégant ni efficace soit en maintenant, pour chaque utilisateur, un ou plusieurs attributs LDAP relatifs à la cotisation et en créant des groupes dynamiques basés sur l'attribut qui dit "a payé".
Il est alors même possible de gérer une date de payement ou d'échéance et de se baser dessus pour envoyer des warning  ;)

Avec SquidGuard, le profiling par groupe permet, dans SquidGuard, de définir une redirection particulière pour l'ACL associée à ce groupe, et donc de personnaliser la page d'erreur  8)

C'est une amorce d'identity management qui permet d'associer le service à un utilisateur et non plus à une machine. D’ailleurs, comment ça se passe avec l'utilisateur qui  plusieurs devices (son ou ses laptop, son smartphone etc…) ?

Sauf cas très particuliers, les tâches administratives qui s'appuient sur l'adresse IP ou l'adresse MAC, c'est une fausse bonne idée  :P
Une fois cette notion acquise, il faut en effet chercher d'autres solutions fiables.

(EDIT: typos)

@blbmalek:

Salut mes amis et un grand merci pour ces précieux conseilles
Voila je crois que j’ai trouvé ou est le problème
Dans  services–------------------------squidguard proxy ----------general settings
Sous l’option  Blacklisit options  j’ai  ce message
Check this option to enable blacklist.            (Option cocher)
Do NOT enable this on NanoBSD installs!
J’ai  besoin d’une explication sur ce message  Do NOT enable this on NanoBSD installs  et comment le résoudre
Cordialement

Le moins que l'on puisse dire est qu'il n'y a aucun rapport entre votre problème et ce message purement informatif !
Il n'y a rien à résoudre. C'est un avertissement qui vous enjoint de ne pas utiliser cette option sur une installation basée Nanobsd. Rien de plus. Nous ne savons pas si c'est votre cas ou non.

Salut salut

Pourquoi je n'ai rien compris des explications ?
Enfin bon je ne pense qu'il faille comprendre quelques choses ici

ha si j'ai cru lire ipsec et vpn passant par un pf, avec un doute sur de la mise ne virtualisation quelques part somewhere (cf ce qui est en quote)  @Nasrox:

J'ai pris un snapshot pour ne pas me faire avoir encore une fois.

Y a t il un soucis résolut ou pas ? Je ne saurais dire.
Comme mes camarades pas vu plus d'information à part çà un post qui  ne sert à rien.

Non sens déconner !!!!!!!!!!!!!!!!!!!!!!!! vous nous prenez pour des madames irma ou madame soleil  ou bien ?

nota, reportez vous au https://forum.pfsense.org/index.php?topic=79600.0 ! et un schéma.
pour vous se n'est pas une option, mais plus une obligation.

Non cordialement (je reste poli mais cela me pique d'en dire plus mais moins courtoise).

salut salut

@ blbmalek
**il vous a été répondu sur un fil que vous avez initié, vous n'aurez pas plus d'aide en vous initiant dans le fil d'un autre.
Cela a le dons d’irriter certaines personnes qui bien qu'ils est une réponse a votre problème ne vous répondront pas plus ici.

Tant que vous ne vous conformez pas au recommandation énoncé sur votre propre poste.**

non cordialement.

Cela n'a pas de rapport avec la ligne téléphonique ni de la faible configuration, il s'agit de configuration à rajouter.

Non, les matériels en jeu ont leur importance et ne se valent pas !

La performance d'une ligne ADSL décroit avec la distance, c'est connu …

On relance le cd d'installation ? C'est simple et efficace mais vous auriez quand dû le trouver tout seul !

Je reprends :

je ne vois aucun besoin de faire du NAT et des ip 'proxy-arp' : un serveur Nagios en LAN est parfaitement capable de surveiller une livebox situé en WAN et une machine dans un autre réseau (routé si besoin).

De toute façon, il faut bien comprendre que si un ping, depuis Nagios, n'a pas de retour, il n'y aura pas de surveillance. Un point c'est tout.

Encore une fois, il est ESSENTIEL de poser un besoin avant de poser une solution.

Il serait judicieux de décrire un peu mieux le besoin, les contraintes réseaux, …

risque de routage via l'interface WAN sans passer par le LAN

On va où là ? Pourquoi faire quelque chose d'aussi nul et d'aussi inutile ?

L'initiateur, qui a oublié son problème car il ne répond plus, n'est pas très compétent, certes. Et il tente, forcément sans logique.
Notamment au point de faire des choses complètement anormales, comme celle de changer la passerelle par défaut !
En aucun cas, je ne saurais lui reprocher son inexpérience.

Mais en aucun cas, on doit 'router' avec ce pfSense : encore une aberration !

A quoi servirait d'expliquer une technique très très peu utilisée (et qui, ici, n'a aucun intérêt !) ?

Les 2 phrases citées insultent TOUS ceux qui répondent et donne de leur temps gracieusement.
D'ailleurs certains arrivent très bien à lire le post en haut et savent utiliser le formulaire :
ce fil est d'ailleurs encore ouvert alors que ceux qui ont utilisé le formulaire ont obtenu des réponses, c'est encore une démonstration !
J'ajoute que la dernière phrase est carrément horrible : 'ne vous investissez pas'; et puis quoi, venant d'un tout nouveau !

Le problème essentiel est qu'avec 775 posts, on attendrait juste un peu de solidarité sur la question du formulaire.
Il suffit d'observer les fils qui partent en c. : forcément il y a chris4916 qui laisse aller sur le formulaire !

Merci pour le retour.  ;)

Petit commentaire à propos de la performance et de sa mesure:

il faut prêter attention au protocole utilisé lorsque tu mesures le débit.
SMB (CIFS) est un protocole bavard prévu pour fonctionner sur du LAN et son débit chute sensiblement sur le WAN ou dès que la latence augmente (raison pour laquelle il existe des équipements "accélérateurs" qui simulent un "ACK" local).
Pour avoir une bonne idée du débit, il est préférable d'utiliser des protocoles style FTP (bien que ce ne soit ensuite pas le meilleur choix en prod) ou HTTP.

Et quelle était l'erreur (ou l'adaptation) ?

@loulou:

J'avoue je suis un boulet je n'avais pas vu la section française et j'avais posté dans la section english…

Si l'anglais ne te rebute pas, tu auras beaucoup plus de retours dans la section anglaise du forum  ;)
Pas toujours parfais mais beaucoup de retours. c'est le propre de tous les forums

Contexte : Nous sommes dans une une résidence accueillant des touristes. Un milieu vertical.

Besoin : Je souhaite mettre en place un hotspot avec Open Mesh car c'est vraiment pas cher et très pratique (pas de lien RJ45 nécéssaire). Mais le problème c'est qu'ils ne proposent pas l'enregistrement des logs de traffic (adresse mac, ip, site visité, date+heure). Je les ai contacté et ils m'ont dit que certains de leurs utilisateurs utilisent pfsense pour avoir cette fonction.

Je dois être un boulet moi aussi car je suis allé voir le site d'Open Mesh et je ne comprends pas la valeur ajoutée ou je ne comprends pas comment ça marche.
Ceci étant, si le besoin est d'intercepter et conserver dans un log des informations de type "site visité", tu n'as pas d'autre choix que de déployer un (des ?) proxy.
A défaut de proxy (qui travaille au niveau du protocole HTTP), tu n'auras pas le site visité mais l'adresse IP

Dans cette optique, pfSense ne va pas beaucoup t'aider.
Il faut regarder du coté de Squid et surtout bien étudier les aspects de rotation et archivage des log.

@setsuneh:

Par ailleurs, de combien a-t'on besoin de ports ethernet pour une utilisation? J'aurais 3 pc + tv notamment …. Merci

Le minimum, c'est 2 ports:

un port WAN (celui que se connecte à ta box) un port LAN (auquel tu connectes un switch qui va accueillir tes machines

Si tu veux héberger des services (comme un serveur web par exemple  ;)), il te faut idéalement un port supplémentaire pour gérer une DMZ sur laquelle tu va déployer cette machine (et donc un switch supplémentaire si tu as plusieurs machines)