Comme dit (excellement) par ccnet, le schéma, s'il avait été fourni dès le post initial, aurait évité de partir dans de mauvaises suppositions.

Il est très clair qu'il faut 'tuer' votre Ipcop : pourquoi gérer 2 firewall différents alors que pfSense peut parfaitement gérer 3 réseaux internes (dont 1 DMZ) (ce dont est incapable Ipcop !).
Enfin le split-dns ou horizon est une astuce assez basique qui évite d'utiliser une bricole tel le 'NAT reflexion'.

Vous envisagez de mettre cela sur Pfsense ?
A titre d'information avec ce hardware( dl360 g5 - 2 CPU Xeon 3Ghz - cartes réseau Intel Pro 1000 ) j'obtiens des débits soutenus de plusieurs centaines de Mbits/sec.
Sur le plan fonctionnelle la richesse de Pfsense me semble suffisant sans rien à avoir à envier à des solutions propriétaires parfois très onéreuses.
Pas d'inquiétude sur la capacité de Pfsense à supporter des centaines d’utilisateurs.

Bonjour,

J'ai déjà essayé cette configuration mais cela n'empêche pas l'affichage de la page d'authentification, dans laquelle il faut laisser les cases vides et valider la page telle quelle.

J'ai pu reprendre aujourd'hui les tests et toutes les rules. Finalement, j'y suis arrivé : le problème venait de la régle floating. Sur cette régle, il y avait l'autorisation d'accès à l'imprimante, ca marchait plus ou moins bien et j'avais donc rajouté sur chaque vlan la régle autorisant l'accès à l'imprimante. J'ai lu sur un forum que l'utilisation de la régle floating pouvait poser des problèmes, je l'ai donc supprimé et j'ai bien vérifié qu'elle était bien sur chaque vlan. Et ca a marché. Merci pour l'aide.

merci baalserv 8)

Je pensé à çà, mais j'ai pas encore testé. Mais tu confirme ma pensé :P.

Quand j'aurai testé tout ça, je revendrai avec un feedback.

a ttes fins utiles pensez egalement a collecter un "faisceau de preuves", c est a dire, a chercher un dénominateur commun a toutes les machines qui posent pb

(réseau, segment, OS, etc etc)

=> en gros cherchez ce qui les rassemble, a part pf biensur

Bonjour à tous,

Hé oui, je me cramponne a mon topic !!!  :P

Mes derniers tests et ma conclusion : (j'ai été aidé car mes compétences on bien sur des limites … hélas)

J'ai fait des tests sur divers protocole, et il s'avère qu'ils ne réagissent pas de la meme facon :

Comme je vous l'ai dit plus haut, ICMP fait partit de ceux ci. Avec un ping, les paquets ICMP sortent bien par l'interface designée sur la règle ICMP du firewall 1 vers le firewall 2, arrive sur le site 2, arrivent à la machine destination, repartent et ... reprennent bien la route spécifiée dans la règle du PFSENSE du site 2 et arrivent enfin a destination en prenant le bon lien VPN de bout en bout ! (pour rappel, pour tout ce qui n'est pas ICMP, le retour se fait TOUJOURS SUR LA PASSERELLE PAR DEFAUT !).

ICMP -> couche 3 max du modele OSI -> pas de pas de FLAG TCP ACK !!!!

En fait : PFSENSE revoit sur l'interface par défaut TOUS LES PAQUETS ACK ! (lorsque qu'un packet traverse une règle PFSENSE et qu'il passe, il est tagué ACK par PFSENSE).

Donc nouvelle question aux utilisateurs avancés : comment résoudre mon problème sachant cela, sans monter une usine a gaz avec des règle flottantes et un proxy pfsense sur chaque site ...

J'espère que mon topic intéresse quelques personnes, car je trouve la solution que je cherche a mettre en place avantageuse ... et suis surpris que personne n'ai eu ce soucis avant moi ...

Oui je pense aussi qu'elle n'est pas adaptée au besoin . Je suis d'accord avec vous .
Merci encore pour les pistes précédemment données , je vais les exploiter

on te demande pas de te demander "quoi dire"

juste de te demander "pourquoi tu te fais rembarrer sur tous tes posts"

et comment "tu peux eviter de te faire rembarrer"

=> je t ai expliqué pourquoi ailleurs >> ON COMPRENDS RIEN A CE QUE TU RACONTES

et en plus: >> ON A PAS TROP L IMPRESSION QUE TU NOUS FACILITES LE TRAVAIL

mais encore : >> ON TE DOIS RIEN

;)

conclusion, aide nous, et tu seras aidé

aucun rapport entre débuter avec quelque chose

// ET //

faciliter aux autres l'aide demandée
en communiquant convenablement, distinctement, et en évitant a ceux qui rendent service de choper des migraines

en clair => c'est a toi de mettre le décodeur, pas a nous,  TU ES DEMANDEUR

Merci pour vos réponse, en attendant la 2.2, je vais utiliser un sysloger.

A mon avis on ferme !

Je parle de réveiller un tel fil aussi merdique : il ne s'agit pas de propos vis à vis d'un individu.
Mais il est clair qu'écrire de cette façon, sans penser un instant à ceux qui vont lire, dénote un état d'esprit passablement inconscient !

Bonjour,

Je te comprends parfaitement, le support de certains FAI sont vraiment des incompétents et nous prennes pour des "con", ils recrutent n'importe qui malheureusement, très très très très peu de gens connaissent le réseau dans le support FAI.

Leur plateforme sont à l’étrangé donc normal qu'ils sont pas "Français" ( pure ), et lisent leur satanée feuille de "dépannage" mais dés qu'on demande des choses plus complexe dans le réseau, ils sont paumés.

Personnellement je l'ai vécu mais pas au niveau d'un parc informatique mais niveau LAN ( chez moi ).

Amicalement,

Hujino

c'est ca le pb avec ipv6..

rrien qu en lisant ton dernier msg j ai la migraine

et je dois pas etre le seul, tu sais mnt pourquoi ca ne passionne pas les foules ton affaire..

rendez-vous dans 10 ans, quand ipv6 sera a 50% de ipv4 et que tout le monde commencera a s y mettre VRAIMENT ;)

moi sur mes hosts 64 bits j utilise "kvm64"  et ca marche tres bien

Bonjour,

1/ Virtualiser un firewall est tout sauf une bonne idée (hors plates-formes de tests)

2/ Utilisez donc un ''vrai'' système de virtualisation : Proxmox, ESX

@tempest69:

je confirme 100<22a<300
les adresses ipv6 sont en hexa (on peut mettre des trucs memotechnique style baff, baba , bebe, abba, b0b0)

Ah oui juste! merci
Plus qu'à savoir comment gérer DHCPv6 avec de l'ULA et du global

@cecos47:

Pourquoi ce forum alors?

Si toi tu peux répondre avec les infos fournies, fais le,      je suis d'accord avec toi, "pourquoi ce forum", ====> ce forum est en effet la pour philippe.nc

sauf que philippe ne veut pas dire ce qu'il a fait avant de venir ici, il ne veut pas établir de contexte,  il veut qu'on lui fasse verifier des choses

step by step il veut des pistes.