Je ne dis pas que ce sont les meilleurs, mais je dis qu'un bon sysadmin doit savoir changer ses habitudes et changer d'outils s'il le faut !

C'est à ce prix que l'on sécurise !

Oui, le proxy est sur pfsense. Je l'ai installé dessus depuis 5 mois, mais en ce moment depuis deux semaines, je ne sais pas ce qui se passe. Je vais vous donner une capture de l'utilisation du système qui est largement très normal et même sous utilisé mais le problème est là.

Pour squid sur pfsense, je sais que ce n'est pas du tout conseillé mais pas le choix. :)

Capture.PNG_thumb
Capture.PNG

Bonjour,

Je n'arrive toujours pas a cerner le probleme utilisez-vous cette fonctionnalité ? (voir PJ)

Merci


Bonjour ccnet,

Oui, je sais bien que tout ça n'est pas terrible niveau sécu… Voire, pas sécu du tout!
Un OpenVPN serait déjà mieux, mais il semble que cela risque d'être trop compliqué pour les utilisateurs concernés...

En tout cas, merci pour ces rappels.

@delafontaine:

Oui c'est activé sur le wan car quand je l'active sur le Lan je n'arrive pas à acceder a internet et meme piguer l'adresse Lan de ma box.
ie 192.168.1.254

Oula …..
Activer le Captive Portal sur le WAN - c'est du jamais vu ça encore :)  ;)
Il faut l'activer sur le LAN.

Puis:
Vérifier si un PC sur le LAN obtient bien un IP de pfSense - dans la plage 192.168.0.x
Vérifier les données "IP" sur ton Pc, et regarde bien si le DNS est bien "192.168.0.1" (l'IP de ton LAN pfSense) et le passerelle est bien "192.168.0.1".

T'as paramétré ton DNS sur pfSense comment ?

Il faut mieux tout lister ici (après le coup de CP sur WAN, je me demande ce que t'as pu mettre ailleurs comme paramétrage 'hors du commun')

Bonjour,

Je déterre ce sujet avec un retour positif d'un Eaton 5P sur PFSense 2.1.4

L'onduleur est reconnu en USB, même si son type n'apparaît pas dans la liste, en prenant comme type un onduleur MGE USB.

Les mesures de charge de l'équipement, charge batterie et temps restant sont réalistes.

Il y a probablement un truc que je ne comprends pas car je ne vois pas l'intérêt de NTLM si on fait du Kerberos  ???

je ne suis pas europeen (quebec) et non un g5 pour une centaine de dollars ici c'est rever en noir et blanc

de plus mon but n'est pas d'ajouter d'investissement financier.
le temps quand a lui, jen ai en rade ;) comparativement aux dollars .

la machine fonctionne Tres bien et de toute facon est deja ''overkill'' aller vers un 5e gen le serais encore plus.

coté bruit, presentement sous clear os jai aucun probleme (jai meme facilement trouver la documentation pour installer le tout)

mais sous pfsense les guides et tuto sont beaucoup moins presents que ceux pour linux.
il semble que la base de pfsense(bsd) soit plutot reservée pour les utilisateurs ayant de bonnes connaissances en programmation (ce qui n'est pas mon cas)

l'installation de pfsense sur la machine se fait sans aucun probleme tout comme la configuration du systeme et son utilisation

cette infra devra aller sur du housing chez online donc la j'aurais les ip necessaires, je vais donc attendre que cela soit en place sur le datacenter

merci de ta rapide reponse en tout cas

Le pouvoir de sanction est quand même une modification substantielle non ?
Sur le terrain on peut aussi constater qu'en 2014 la CNIL a condamné Google à 150 000 € d'amende. Mon avis est que c'est donc un peu plus "contrasté". Il y a, dans ces arrêtés du CE de 2009, une déception. Il y en aura d'autres mais il y aura aussi des succès. Dans ce domaine (droit et SI) nous avons régulièrement des "oscillations" d'un bord à l'autre. Voir par exemple l'évolution sur les messageries d'entreprises et leur consultation.

@ccnet:

Dès qu'il y a des modifications de vlan, d'affectation de carte l'expérience m'a montré qu'il fallait relancer Pfsense en effet.

Je ne l'ai pas précisé car à la lecture ça me semblait évident  :-[, c'est le modem TP LINK qu'il faut redémarrer.
Pas besoin pour pfSense.

[quote author=jdh link=topic=97593.msg543700#msg543700 date=1438781463]
<mode a_coté="">Pourquoi utiliser ce type de matériel (avec partie Wifi) ?

Pour éviter box ou modem FAI, j'utilise usuellement des modem ADSL classiques comme tplink td8616 ou td 8816 ou dlink dsl-320b.
J'évite d'acheter un matériel avec une partie inutile comme le wifi.</mode>

Car j'ai migré en VDSL donc ces modems de techno ADSL me sont inutiles  ;)
Pas de modem VDSL non routeur, à ma connaissance.
Je n'ai pas fouillé plus que LDLC ou materiel.net.
Je désactive le wifi et ça me va.

Un peu hors sujet mais si ça intéresse de futurs lecteurs, je trouve l'interface très bien :
légère, pleins d'options. On peut avoir un aperçu depuis le site TP-Link, rubrique émulateur.

A priori stable. La connexion est meilleure que la livebox (bon ça, il n'y a pas de mal  8))

D'accord, merci beaucoup pour vos précisions.

@ccnet:

C'est un apprentissage artificiel, sans rapport avec la réalité du terrain

@jdh:

Une solution simple, efficace, peu contraignante et qui offre de nombreux plus : le proxy dédié et son complément naturel WPAD.

Je vous remercie pour vos réponses et pour votre expertise. Je vois que vous poussez à chaque fois la réflexion plus loin pour trouvez la meilleur solution (même au delà de l'aspect technique). J'avais déjà lu le document sur les recommandations de l'ANSSI.

Mais ici j'aimerais précisément faire fonctionner le MITM https depuis SQUID3 sur pfSense. D'autres l'ont déjà fait. Je cherche juste à comprendre pourquoi le MITM ne se fait pas malgré que tout semble bien paramétrer (voir ma config dans le premier post)

Besoin : Une connexion internet double Wan (Failover) pour 2 sous-réseau (Réseau admin + réseau poste clients).
            Réseau admin : Vlan 10 (serveur DC) 192.168.0.x
            Réseau client  : Vlan 20 (poste client) 192.168.1.x

Une configuration plus simple, claire et que maitriseriez plus facilement serait l'usage de deux cartes physique au lieu de Vlan.
Je confirme ce qu'indique Ballserv pour le lien entre le switch et Pfsense : celui ci doit être un trunk.
Le montage de Vlan sur une crate physique de Pfsense a été décrit mainte fois sur ce forum. Notamment ne pas monter un Vlan directement sur la carte physique mais monter 2 Vlans, l'interface physique n'étant pas utilisé pour un sous réseau. Cela nécessite le plus souvent un redémarrage.

Bonjour,

Une solution simple :

travailler avec CBQ créer deux queues sur l'interface WAN : une pour le LAN1 et une pour le LAN2 et n'autoriser le partage de bande-passante que pour une seule (option "borrow from other queues when available") créer deux règles sur l'interface "floating" : une pour faire matcher le trafic LAN1 <-> WAN et l'assigner à la bonne queue ; une seconde pour matcher le trafic LAN2 <-> WAN et l'assigner à la bonne queue.

That's all folks!

https://forum.pfsense.org/index.php?topic=69908.0

La demande a été faite au fabriquant, avant de passer commande, de nous recommander un produit compatible pfSense, FreeBSD. Je suppose donc que l'architecture est supportée par FreeBSD. pfSense 2.2.3 pour la version, dernière en date. Comme source d'inspiration, je me suis aidé de ce sujet https://forum.pfsense.org/index.php?topic=34799.0
Il est similaire à mon cas, même si l'appliance n'est pas la même.

@jdh:

Je ferais d'abord l'essai avec une seule ligne WAN et aucun loadbalancing.

le pfsense étant utilisé par l'entreprise en continue, je peux difficilement effectuer ce genre de tests actuellement…

sauf erreur de ma part, les pages que tu décris sont les pages que voient les utilisateurs qui passent par le portail captif. Celles-ci n'ont aucun impact sur le fonctionnement de ce dernier. Il faudrait donc commencer par vérifier la configuration du portail.
J'intuite, de ta description, que tu utilises également un proxy HTTP ?

une description plus détaillée de l'ensemble aiderait certainement notre compréhension  ;)

quid des logs ?