Bonjour, PfSense n'EST PAS un outils destiner aux ''end users'' ! Si vous vous en avez les compétances vous pouvez toujours ''tweeker'' le code du webGUI mais cela reste un TRES mauvaise idée que ce soit en therme de sécuritée ou de stabilitée et je ne vous parle même pas des conséquences lors de la prochaine MAJ. Il vous reste à bien choisir l'utilisateurs ET lui faire bien comprendre les conséquences d'une mauvaise manip dans le Webgui Cdt

Bonjour voici la suite de mes tests: Toujours sans règles pare-feu LAN J'ai DNS et DHCP sur le pfsense débit –> DL 91Mb/s UP 93Mb/s Demain ou vendredi J'essaye les règles pare-feu que j'ai scindé en 2 voir 3 alias. De séparé le WAN et le LAN sur les 2 cartes réseaux.

Quelques question en plus de celle qui précède qui est importante mais en principe en https le proxy (si proxy) n'intervient pas. Le navigateur utilisé est le même sur la même machine ? C'est TLS v1 qui est utilisé ? On ne devrait utiliser que la version 1.2 sur le plan sécurité. Il possible que le navigateur ne puisse pas vérifier la chaine de confiance du certificat. Vous pouvez tester l'état de votre site d'un point de vue ssl avec https://www.ssllabs.com/ssltest/

Je pense que tu as lu trop vite Non j'ai bien lu … les infos fournies, et je corrige mes informations : pfSense dispose de Perl (testé avec which perl -> /usr/bin/perl puis perl -v) ! Ici on voit une 'astuce' pour Squid/SquidGuard qui exige Perl. Perl est-il partie de pfSense ? Sans doute non ! Que je remplace par Ici on voit un correctif possible à une astuce SquidGuard/Squid. Cela ne change guère mon point de vue sur les packages (au contraire) : vous pouvez suggérer votre correctif au mainteneur du package. Le formulaire aurait permis aux lecteurs de comprendre, dès le début, que votre problématique était dans un contexte "Home". On peut alors comprendre que vous essayez de réduire le nombre de machines … dans VOTRE contexte. Mais, dans un contexte pro, une machine dédiée au proxy (souvent virtualisée) pourra être customisée pour répondre à ce type de problématique ... sans aucun impact sur l'efficacité du firewall. NB : bravo pour votre test avec 'echo ".... GET" | squidguard' : c'est le test qu'il faut faire pour valider votre config squidguard  (et que je fais quand je créé un proxy dédié). Vous avez cherché !

La population du forum ne se divisent pas en 2 seules catégories : les professionnels qui sont vite "gonflés" par les débutants, les débutants qui se retrouvent copieusement rembarrés. C'est un peu plus compliqué : les pros qui sont indifférents, les pros qui se lassent vite (de l'absence du formulaire et … des remontrances de la catégorie 5 ...), les débutants qui acceptent de remplir le formulaire, les débutants qui rechignent à remplir le formulaire mais qui finissent par le faire, les débutants qui refusent de remplir le formulaire et qui maltraitent celui qui a le malheur de demander le formulaire. (Je suis nettement dans la catégorie 2.) Parmi les débutants, les 3 et 4 peuvent poser des questions intéressantes et nouvelles. La catégorie 5 est celle des 'assistés'. (Elle a gagné, pour le cas du forum Ixus, ... par ippon !) Je ne vois pas au nom de quoi, on les laisserait agir de la sorte ... car, dans les faits, les pros 2 puis 1 finissent par ne plus être présents ... (à force d'être las !) (Ils peuvent être rembarrés et, généralement, ne comprennent même pas ... comme dans la vraie vie !) Il me parait plutôt souhaitable d'ajouter un post (au ton 'ferme') au fil 'A LIRE EN PREMIER: Charte à respecter pour la demande d'aide.' Ce post devrait indiquer l'utilisation du formulaire est FORTEMENT conseillé l'utilisation du formulaire est LE moyen d'accélérer les réponses l'utilisation du formulaire est un signe d'efficacité et de respect des lecteurs (il n'y a pas de forum si c'est le bazar !) la non-utilisation du formulaire est MAL VUE par certains la non-utilisation du formulaire entraine que certains ne répondent plus (bien qu'ils aient la réponse !) la gratuité des réponses et du temps passé par des pros n'est pas compatible avec l'irrespect. ... et sûrement beaucoup d'autres conseils du même type comme sur les fils sans question, les délais de réponses ... Pour ce qui me concerne, je suis parmi ceux indiqué en 4 et 5. Mais vous l'avez compris ...

Salut salut @baalserv d’où le fait que je n'ai pas insisté. @hitgsnoop J'en suis fort aise que vous ayez trouver la solution et surtout le retour que vous en faites. Cordialement.

Bonjour, Quand sur ce forum d'entraide, qui plus est d'un produit libre/open source je lis : C'est urgent , je n'ai qu'une réponsse, celle-ci : https://portal.pfsense.org/support-subscription.php Contribuer donc à la péréniter de cet outils merveilleux qui hors matériels ne vous à pas couter 1 centime, surtout avec la mauvaise volonté flagrante que vous montrez à vous faire aider. ^^ Cdt

Ok, merci pour la réponse. Si ce n'est que ça, ce n'est pas gênant… Crosoft veux toujours en faire trop, c'est comme ça qu'il y a des bugs...

Salut, ça ne me choque pas plus que ça, c'est le débit moyen en upload que j'ai sur les différents sites. Sur ce site je suis à 1200m du DSLAM. 12mega en download, 0,60 en upload, ça me parait raisonnable. Possibilité d'avoir du SDSL… mais 600€ mensuel  :o

:-[ Parce qu'il faut probablement lire la doc pfSense un peu plus dans le détail pour appliquer le bon paramètre. Il y a beaucoup de paramètres qui s'appliquent aussi bien coté serveur que coté client. ping-exit est peut-être un peu brutal  ;D regarde du coté du paramètre "keepalive" qui a un comportement différent selon qu'il est appliqué coté serveur ou client. 0 voir également car potentiellement lié à lin-exit des paramètres comme: –inactive --ping-restart Je vais faire des tests de mon coté, car même si je ne suis pas directement concerné par ce problème, c'est intéressant.

@Narcomed: Bonjour, Je ne sais pas si cela est relié mais j'avais une vielle version aussi une 2.X.X. et elle était également en 32 bits et c’était tout Pfsense qui plantait a cause de SQUID.  J'ai fais une sauvegarde de configuration et j'ai fais par la suite une réinstallation avec une version en 64 bits et ça avait régler les problemes.  Si le hardware le permet je conseil de toujours faire les installations en 64 bits. En fait c'est la prochaine étape, si je n'arrive pas à régler ce souci. A noter que Pfsense est installé dans une VM KVM.

<mode incruste="">J'étais présent comme JDH & CCnet sur l'exélent forum IXUX dont nous parle JDH dans un précédent post. (Forum tjr dispo en lecture seule : ixus.net)</mode> salut, je suis tombé cet été (pas avant puisque ce n’était pas mon monde) sur plusieurs fils d'ixus.net, et j'ai effectivement remarqué plusieurs intervenants que je vois ici. des intervention de qualités déjà à l'époque. la seule différence est qu'en 2008/2009, jdh etait moins ronchon ! J'ai(me) bien ton approche naturelle et la touche d'humour ; ton intérret didactique dans ce post en fait (pour moi) son intréret général, c'est pourquoi j'aimerai revenir sur un point qui me chagrine, à savoir : tes questions ! ^^ Il est (pour moi) très pertinant d'avoir sur un forum des questions digne d'intéret MAIS également leur réponsses  ;) Intégrer dans tes précédents post les questions que tu t'est poser et leur réponsses ne donnerons que plus de valeur valeur à ton fil  :D dans un premier temps, je te remercie… si si ! ca fait toujours plaisir, et c'est toujours mieux que de se faire envoyer bouler au premier post. tu as tout à fait raison, mais comme tu l'as remarqué, je n'ai pas encore commencé l'install. donc pour le moment, ce n'était que des réflexions à moi-même. je vais donc reprendre les prochains posts et effectivement y intégrer les questions que je me suis posé de façon claire. pour le moment, mes réflexions ont porté principalement sur le matériel, ma config existante et la façon de mettre pfsense en prod de façon progressive (dès que je serais persuadé que c'est l’outil qu'il me faut) sans m’empêcher de bosser au quotidien. encore merci pour tes encouragements et bonne soiree.

Je me souviens d'un de mes patrons qui me disait "tu délègues quand tu maîtrises" (parce que si le "délégué" lâche, tu es capable de reprendre). Mais il y a le cas où tu ne maîtrises pas. Il y a donc 2 sortes de clients : celui qui a une bonne compétence, celui qui n'est pas assez compétent (qui croit l'avoir). Le premier refusera de faire un MITM, le second n'en aura pas même conscience. Il est clair que les fabricants d'UTM visent les seconds … qui sont les plus nombreux. Comme clients, je ne souhaite pas être mené en bateau. (Suis-je a-normal ?) L'avant-vente qui viendrait me parler de son formidable UTM qui fait tout, aurait forcément la question du MITM. Et là il sait ou pas. Néanmoins, je verrais d'un bon oeil un prestataire me proposant 2 solutions et m'expliquant que la 2ième, plus chère, est plus respectueuse ... Il y a contradiction entre 'Marketing' et 'Sécurité' ... (Dans la pratique, je n'ai besoin de personne pour faire les firewall des entreprises où je passe depuis 15 ans. Mais il m'est arrivé d'utiliser des petits boitiers type Zyxell, ou des moyens comme WatchGuard, ...) (Dans l'une, j'ai commencé par annuler le contrat de support d'un checkpoint à 4000€/an dans une pme industrielle de 300 pers sur 2 sites : fallait pas pousser ...) (Si un avant-vente parle de choses qu'il ne connait pas à fond, tant pis pour lui ...)

Niquel ça marche parfaitement maintenant, c'était bien le nat. merci à vous les gars. J'ouvre un nouveau sujet pour un nouveau pb.

Bonjour bastion, Je viens d'essayer cela ne fonctionne pas pour moi. Même problème.

Salut, Je suis le modérateur du forum. Ce post est un peu un gloubiboulga indigeste…  Je passe !

(Il est important d'utiliser le formulaire : cela aide le lecteur et, au final, vous avez de meilleures réponses.) Mon expérience en terme de CARP remonte à pfSense 1.3, je présume que le concept demeure. Un cluster, c'est 2 machines et un lien (interface) de synchro entre elles. L'une est master (active), l'autre slave (inactive). Chacune a sa propre adresse ip sur chaque interface, mais la machine master a, en plus, les adresses ip virtuelles qu'il faut utiliser (ou du cluster). La bascule consiste transférer les adresses ip virtuelles (quand le master tombe). Il est à comprendre que l'on accède, bien sur, qu'aux ip virtuelles ensuite (quelle que soit l'interface) ! Pour les interfaces internes (à adressage privé), pas de difficulté : 192.168.1.11 ip lan de fw1, 1.12 ip lan de fw2, et .10 ip lan virtuelle du cluster. Pour une interface wan à adressage public, c'est plus compliqué. Si on possède une range d'adresses ip suffisante, on y arrive : exemple : réseau 128.128.128.160/29 donne 8 adresses dont 6 utiles : 128.128.128.160 = réseau (inutilisable) 128.128.128.161 = routeur FAI 128.128.128.162 = dispo 128.128.128.163 = dispo 128.128.128.164 = ip WAN (reelle) fw2 128.128.128.165 = ip WAN (reelle) fw1 128.128.128.166 = ip (virtuelle) cluster 128.128.128.167 = broadcast (inutilisable) Si on ne possède pas une range suffisante, on triche en agrandissant et … en priant pour ne jamais être en contact : exemple : réseau 128.128.128.160/30 donne 4 adresses dont 2 utiles : 128.128.128.160 = réseau (inutilisable) 128.128.128.161 = routeur FAI 128.128.128.162 = ip (virtuelle) cluster 128.128.128.163 = broadcast (inutilisable) On configure tous les wan en /29 avec les ip réelles de fw1 et fw2 en .165 et .166. La conséquence sera le fonctionnement ok mais l'impossibilité de causer avec les vraies .164-.167 ! Ne pas oublier de faire attention au NAT OUTBOND qui doit être en manuel avec ip virtuelle du cluster ! A adapter si en plus failover ... (double wan) Attention, je retirerai le dhcp qui me semble peu aisé à basculer

Salut, Désolé si je me suis mal exprimer… en espérant être plus clair avec ceci .... Contexte : Nouvelle configuration dans un environnement en production Besoin : Avoir un site principale avec deux lien internet et deux PFSENSE qui se connecte à 4 site distant WAN : Deux fournisseur internet LAN :  un réseau en DHCP la production DMZ : un réseau DHCP pour les expérimentations Régles NAT et firewall : redirection de port de WAN à LAN pour enregistreur de caméra et serveur Web Packages ajoutés : aucun Autres Fonctions assignés au Pfsense : OPENVPN [image: schema.png] [image: schema.png_thumb]

Oui c'était en terme de sizing hardware. Bon ben merci pour l'info, le squid ne log que les http / https ou je me trompe?

Voyez : vous ajoutez maintenant des infos qui peuvent faire changer les réponses ! Si vous saviez le temps gagné pour tout le monde si, dès le départ, le problème était bien exposé … Il est très clair que, pour FTP, il est essentiel de comprendre qu'il y a 2 modes de fonctionnement, et qu'il y a un choix à faire. (Le bon site : wikipedia forcément). La doc pfSense est, elle aussi, très claire (si lue plusieurs fois). Vous avez fait un choix, le mode actif. Bien. Cobian Backup sait gérer : http://www.astucesinternet.com/modules/smartsection/item.php?itemid=81 Etape 2-C  (1er lien trouvé avec 'cobian backup ftp mode'). (Je croyais Cobian Backup mort ?) Robocopy n'a jamais fait de ftp, à ma connaissance. Je crois que rsync n'est pas à ignorer pour faire des backup. Clairement ce fil est loin d'être parfait : présentation mauvaise et insuffisante connaissances insuffisantes de protocoles J'espère que vous ferez un beau post de conclusion : rappelant la problématique indiquant les éléments mis en place avec les choix de mode, les paramètres le fonctionnement obtenu