bsr baalserv,

mais en 2.2.1, justement (hors ommission de ma part), cette selection du sens ne semble plus que possible au niveau du hostname

et plus en IP

problematique :  routage d'un port sur un hote présent derriere le CP, sans avoir besoin de l'authentifier et donc d'ouvrir les droits dans les deux sens

@slybreiz:

il est déjà derrière un autre par feu proxy  .

ca doit être charmant..

(mais hors sujet, donc je ne dis rien de plus)

Quand je redemarre le serveur j'ai cette erreur:

Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Starting Squid
Mar 17 15:59:21 squid[76600]: Squid Parent: child process 77300 started
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure' returned exit code '1', the output was '2015/03/17 15:59:21| WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance squid: ERROR: No running copy'
Mar 17 15:59:21 check_reload_status: Reloading filter
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:21 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:22 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:22 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync
Mar 17 15:59:22 php-fpm[245]: /rc.start_packages: Reloading Squid for configuration sync

Ce ne sont que des alertes pour dire que mon paramètrage est 'large' en memoire mais il ne dépasse pas les normes vu que j'ai 12Gb RAM et j'en attribue 8 a squid.

Et voila ce qu'il me dis quand j'active squidguard…:

Mar 17 16:04:32 check_reload_status: Syncing firewall
Mar 17 16:04:32 check_reload_status: Syncing firewall
Mar 17 16:04:33 php-fpm[15292]: /pkg_edit.php: Reloading Squid for configuration sync
Mar 17 16:04:33 check_reload_status: Reloading filter
Mar 17 16:04:33 squid[77300]: The url_rewriter helpers are crashing too rapidly, need help!
Mar 17 16:04:33 kernel: pid 77300 (squid), uid 62: exited on signal 6
Mar 17 16:04:33 squid[76600]: Squid Parent: child process 77300 exited due to signal 6
Mar 17 16:04:35 check_reload_status: Syncing firewall
Mar 17 16:04:35 php-fpm[94138]: /pkg_edit.php: Reloading Squid for configuration sync
Mar 17 16:04:35 php-fpm[94138]: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure' returned exit code '1', the output was '2015/03/17 16:04:35| WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance squid: ERROR: Could not send signal 1 to process 77300: (3) No such process'
Mar 17 16:04:35 check_reload_status: Reloading filter
Mar 17 16:04:35 check_reload_status: Syncing firewall
Mar 17 16:04:36 squid[76600]: Squid Parent: child process 29152 started
Mar 17 16:04:36 squid[29152]: The url_rewriter helpers are crashing too rapidly, need help!
Mar 17 16:04:36 kernel: pid 29152 (squid), uid 62: exited on signal 6
Mar 17 16:04:36 squid[76600]: Squid Parent: child process 29152 exited due to signal 6
Mar 17 16:04:39 squid[76600]: Squid Parent: child process 47128 started
Mar 17 16:04:39 squid[47128]: The url_rewriter helpers are crashing too rapidly, need help!
Mar 17 16:04:39 kernel: pid 47128 (squid), uid 62: exited on signal 6
Mar 17 16:04:39 squid[76600]: Squid Parent: child process 47128 exited due to signal 6

Là je vois qu'il chie sur l'url rewiter (je sais pas pq) et qu'il plante squid et le relance d'ou le retour de l'erreur des fichier trop grand en memoire.

Pour le reste je ne comprernd pas telment ce que signifie toutes ces infos.

J'ai mis en place la solution telle que vous me l'avez indiqué. Mes VPN fonctionnent par contre j'ai toujours ces coupures (si j'émets un ping permanent vers mon serveur distant, j'ai des "délais d'attente de la demande dépassée" dans les deux sens du (serveur distant vers serveur local et inversement).
J'ai un ping en moyenne de 75-80ms et avec quelques pics à plus de 100ms et jusqu'à 300ms de temps en temps.

Je ne sais pas si c'est une coïncidence mais j'ai l'impression que ça va quand même mieux depuis que j'ai créé un deuxième tunnel vpn, mais ce n'est pas encore optimal.

Si vous avez des pistes à explorer je suis preneur.

D'avance merci ;)

@Florian22:

6/ oui je te confirme bien, du moins chez moi, un user = une machine, (auth basée sur la machine)
  et non sur des identifiants, orientés multi-machines

Ce qui explique en partie nos différence de vue  ;)

Pour ce qui est de gérer des whiteliste dans le cas d'un déploiement en entreprise, ça dépend bien sur de la taille de l'entreprise mais c'est rapidement ingérable et donc irréaliste sauf cas particuliers avec un usage très limité du web.

@Holing:

Besoin : Mise en place d'un portail captif respectant les contraintes: Connexion à l'interface graphique sécurisée, Connexion en tant que client sécurisé, Comptes utilisateur dans un serveur Radius, Connexion temporaire avec des codevouchers, Proxy transparent, Filtre bloquant l'accès à certains sites (Violence, drogue ou a caractère pornographique).

Du coup, comme je viens de rebondir sur ce sujet suite à un débat sur le proxy dans un autre fil, je me permets de donner un avis  :-[

L'approche OpenDNS est probablement jouable en acceptant quand même pas mal de compromis, tant en terme de services offerts qu'en terme de sécurité.

si il n'y a pas de contrainte de profiling (tous les utilisateurs subissent les même filtres en permanence) si on considère que tous les services derrière une adresse IP sont à proscrire dès lors qu'il y en a un qui entre dans cette catégorie (par de granularité) si on ne s'intéresse pas au contenu de ce qui passe en clair sur le réseau (attachements, exécutables, virus etc…)

alors OpenDNS + Umbrella peut rendre un service acceptable dans certains environnements mais ne peut pas, si j'en comprends bien le fonctionnement, remplacer les solutions qui fonctionnent au niveau du protocole qu'elles couvrent.

Dans ce post il est principalement question de HTTP: un proxy bien configuré va rendre un niveau de service bien meilleur et bien plus sûr qu'OpenDNS, avec la possibilité de:
[list]

contrôler l'accès aux sites web en HTTP ou HTTPS ne filtrer que quelques URL spécifiques d'un site bloquer HTTP mais permettre SSH ou FTP ou le mail contrôler qui parmi les utilisateurs locaux peut accéder et quand mettre en œuvre un antivirus ….

bref, ce n'est pas comparable.
OpenDNS pour un device mobile qui se promène dans la nature sans VPN vers l'infrastructure sécurisée de l'entreprise, c'est envisageable.
Pour remplacer purement et simplement ce que ferait un proxy dans une entreprise (ici un hopital), je n'y crois pas beaucoup.

Ce que ne dit pas le cas décrit par Holing, c'est si la population qui accède au service est celle de l’hôpital (les employés) ou bien les patients. Il peut y avoir de petites (grosses) différences dans les contraintes et niveau de service.

Bonjour,

Je viens de passer a Xen6.5. Je vais tester surement ce soir le passage a 2.2 et voir si cela fait le même problème.

Des avis ?

Merci,

Bonjour,

Réponse un peu tardive, mais le problème est résolu…
Un peu noob sur les bords, j'avais oublié de bouger l'AP de port sur le switch
(il était toujours connecté avec Zentyal...)
Merci pour vos coups de main.
pwet-pwet.

1/ https://forum.pfsense.org/index.php?topic=79600.0

2/ https://forum.pfsense.org/index.php?topic=9708.0

@jzakaria6:

Bonsoir Mr Florian22

Déjà merci pour le temps que tu m'as accordé pour écrire tout ce paragraphe, ça se voit que t'es encore un étudiant  :) et tu disposes de beaucoup de temps devant toi ( car moi je suis dans plusieurs projet  :) )  surtout ta manière d'expliquer le fonctionnement du protocole et tout le baratin Mr Bac+3

je ne suis pas venu ici pour te clacher ou bien de te parler d'une manière un peux grossière comme tu as fait, sache que je bosse pour une grande multinational (vu mes compétence  :) )

j'utilise Windows tout simplement parce qu'il est très répondu dans le milieu professionnel ainsi que dans mes tâches quotidiennes, bref je ne vais pas te raconter ma vie  ;)

NB: Pour le  problème que j'avais évoqué en haut, il s'est avéré que je me suis précipité un peux car après un moment il a prie mon authentification Radius (latence réseaux)

Bon courage pour tes études  8)

ouvre tes cahiers et regle le timeout radius en fonction de la latence

ca t eviteras d'avoir des No Valid de manière aléatoire, imprévisible et récurrente.  … (info Kdo)

ps: bonne continuation dans la multinational"E"  (vu tes compétence"S")  (les autres dans les PME sont certainement des grosses merdes)...

ps2: On ne peut pas te gratifier d'avoir eu idée "du baratin" de toi même, vu que tu déboules ici avec ton "si supérieur" torche-balle.

ps3 : sache que toute la sainte journée j'ai "prié" pour qu'il l'ait enfin "prie"  ---  comme tu le dis si supérieurement bien

je retourne à mes études ...
et je te souhaite tout le courage pour tes cours du soir de niveau 6e Gram. Francaise.
(probablement des cours "supérieurs" en adéquation avec ta "si compétente position" dans ta si prestigieuse et mystérieuse multinational (E)

Pour le smtp, j'ai utilisé celui de mon hebergeur internet dans SME8

pour le problème de communication entre LAN et WIFI: j'ai rajouté une rules en gateway "*****" et destination "WIFI net"

edit: en reprenant mes notes, dommage que je n'ai pas lu la doc plus attentivement (je suis pas fortiche en anglais ;D) https://doc.pfsense.org/index.php/Multi-WAN#Firewall_Rules
Policy Route Negation
When a firewall rule directs traffic into the gateway, it bypasses the routing table on the firewall. Policy route negation is just a rule that passes traffic to other local or VPN-connected networks that does not have a gateway set. By not setting a gateway on that rule it will bypass the gateway group and use the routing table on the firewall. These rules should be at the top of the list – or at least above any rules using gateways.

salut salut

une réponse vous a pourtant été donnée, vous ne la comprenez pas, c'est une autre affaire.

non cordialement

mais je trouvais mieux qu'il y ai son nom…

Si l'utilisateur saisi "Schrompf vert" vous n'êtes pas très avancé. En pratique c'est totalement inutile et n'apporte aucune fonctionnalité de sécurité. Ou plus vicieux, l'utilisateur indique le nom d'une autre personne. Je vous laisse penser aux conséquences …

connexion VPN SSL qui viserait à contourner le proxy.

C'est judicieux d'y avoir pensé. Mais comment avez vous réalisé cela ?

Bonjour,

je suis stagiaire boulanger

alors voila j'ai acheté ma farine, mes oeufs et je me suis dit, j'ai pas de four, donc je vais faire une brioche au micro ondes.

je me suis lancé, et j'arrive pas a avoir une couleur bien dorée, ca veut pas prendre !

je voudrais des liens pour m'expliquer comment faire de bonnes brioches au micro ondes, sachant que je suis stagiaire boulanger.

ps:  asteriSk

@sapeurorca:

@Florian22:

pourquoi ne pas implementer Opendns et restreindre le DNS coté LAN?

Tu parle de faire un peu comme une blacklist DNS ?

Merci beaucoup pour ces tuyaux.

OUI, c'est un impoisonnement, pour tous les sites de thematiques a bloquer, les dns envoie une ip "frauduleuse"

c'est transverse niveau protocolaire (contrairement au proxy)

Par curiosité avez des trafics entrants (openvpn par exemple) qui transitent normalement via la LiveBox ? Jusqu'à plus ample vérification je propose d'envisager un problème potentiellement lié à la Livebox.
Si vous n'avez aucun trafic sur Wan (de type IpSec) lors de la tentative d'établissement d'une connexion je pense qu'il faut soupçonner la Livebox. Pour cela une vérification en activant la capture de trame sur Wan nous renseignera utilement.

:-) Ok.

Merci beaucoup à vous.

Pour les documentations free :-), vous en aviez à me proposer? Car je suis en quête sur la connaissance de pfSense et tout ce qui vient avec.

Cordialement.

@ccnet:

C'est très différent mais pas plus sûr pour autant. Les connexions vpn devraient être réalisées sur pfsense soit sur les équipements actuellement présents connectés à une interface spécifique ou bien directement gérées par Pfsense. On accorde souvent une confiance excessive aux liens vpn. Le problème reste que l'on ne sait pas qui est à l'autre bout réellement et comment il travaille. Idéalement un lien vpn dpit être filtré et ne déboucher que dans une dmz prévue pour cela. Le reste du réseau doit resté isolé et protégé.
En espérant que cela apporte de l'eau à votre moulin.

J'espère pouvoir supprimer ces routeurs un de ces jours et assurer des VPN Network2Network uniquement avec le cluster pfSense :-)

C'est une installation neuve, boitier livré en pfSense 2.2. La configuration est bien de type PSK, pas de certificat. J'ai testé Mutual PSK ou Mutual PSK + XAuth : idem.

Je partage l'avis sur l'intégration d'IPSec par la firme à la pomme : entre les mises à jour de sécurité qui foirent IPSec ou autres, il y a de quoi se poser la question toute légitime de passer par des solutions tierces plus efficientes ;-)

Je vous recommande VPN Tracker, si vous aviez besoin d'intégrer des tunnels IPSec + Mac OS X, d'autant plus que le support est réactif et très compétent en cas de soucis.

En complément, je suis tout à fait conscient que IPSec et OpenVPN n'ont rien à voir, mais je précisais dans mon post initial que sur ce point là OpenVPN, pas de soucis : ouf !

On peut clore ce sujet ;-)

Cordialement.

Faut-il spécifier un DNS sur le pfsense afin de pouvoir sortir ?

Pfsense n'effectue pas la résolution dns pour le trafic http issue d'une machine raccordée à une de ses interfaces. Pfsense peut fournir la résolution dns et est interrogeable par une de ces machines. On peut aussi fournir ce service autrement.
Dans votre cas (plutôt tordu et malsain d'un point de vue sécurité) et compte tenu ce que vous rapportez (dons sous réserve de la validité de vos tests) la résolution dns fonctionne donc le trafic UDP/53 passe mais pas le trafic http.
Un examen des règles en place, voir l'utilisation de Wireshark pourrait vous éclairer.