Merci JHD pour ton eclairage,
J'ai refais plusieurs tests, j'ai testé brancher le nas et le pc sur le meme switch (et pas sur le même vlan), j'obtiens encore la même erreur reseau
J'ai réinitialisé le netgate pour voir si jamais : tjr la même erreur ...
et pas d'erreur si sur le meme vlan comme précisé plus haut ...

@michel7907

????

From Google translate:
"How do you make the pfsense work with a pfsense."

This corresponds to my limited french. Perhaps you can elaborate.

Pour pfSense/OpenVPN, on peut configurer le serveur avec 'none' pour aucune encryption. (J'ai vérifié que cela ne fait aucune erreur mais je n'ai pas testé depuis un client.) Je ne comprends pas le message 'Authentification Failed'.

PBS réalise des jobs de sauvegardes vers un Datastore : je présume que celui-ci peut être externe et sur un NAS (par exemple en NFS).

Néanmoins un serveur Proxmox peut réaliser des sauvegardes automatisés nativement (= sans PBS) y compris sur un stockage externe de type NAS en NFS.

Le point clé est de produire des sauvegardes sur un même nom de fichier afin qu'un protocole tel rsync puisse transférer que les différences ...

Vous êtes sur un réseau d'entreprise : je m'en doutais un peu.

Toutefois, cela reste (beaucoup) trop grand : il faut segmenter, pour limiter les broadcasts, et limiter les conséquences d'un virus qui s'attaqueraient aux partages windows des PC du réseau (comme les ransomware). Il faut aussi segmenter par matériel : les serveurs séparés des pc standard, séparés des imprimantes/copieurs, ...

AMHA, avec un tel réseau, je mettrais en place un serveur DHCP (et DNS) dédié (voire certainement 2 avec HA). Typiquement des serveurs Linux (Debian) et le service Isc-Dhcp-Server (et Bind9). C'est évidement moins 'interface web' mais vous avez le meilleur contrôle possible. J'ai conscience qu'il y a de l'apprentissage ...

(Je viens de terminer une mission dans une très grande entreprise, et avec partout des firewalls Linux iptables même sur des machines peu puissantes : un contrôle constant des flux autorisés ...)

Quasi 4 ans après, vous faites un retour.

(J'ai relu tout le fil 2 fois avant d'écrire.)

Vous avez ouvert un fil en 'débutant total' :

pas de parcours du forum et des fils étiquetés (A LIRE EN PREMIER) vous êtes 'nouveau' vous vous posez des questions avant, ce qui plutôt bien vous avez des retours de 4 pseudos, (aujourd'hui je suis presque seul) évidemment les retours vous surprennent et vous ne les attendiez pas vous réagissez plutôt mal

C'est tristement régulièrement un cas fréquent, un exemple identique il y a encore 2 jours.

Un firewall, loin d'être l'alpha et l'omega de la sécurité, exige des connaissances non négligeables, que les techniciens fraichement formés ne maitrisent pas tous. (a fortiori pour l'amateur à la maison).

A une question mal posée et qui témoigne de l'absence de connaissance et de préparation totalement insuffisante reçoit une ou des réponses directes (voire sèches) et surtout inattendues :

d'abord il y a le refus : 'réponse totalement inutile' puis la victimisation : 'encore un qui se croit supérieur' puis la négociation : 'je vais apporter les infos nécessaires' ne rêvons pas, on se croit encore tout sachant : 'pas besoin d'infos supplémentaires' puis le détournement par l'humour : 'ne soyez pas aigri', 'prenez des vacances' ça se poursuit encore par d'autres insultes ...

Ce déroulé, hélas très classique, est très proche de l'enfant, malheureux qu'il n'obtienne pas ce qu'il veut : la frustration de son impuissance. Les psychologues expliquent mieux que moi : il est nécessaire d'apprendre la frustration pour apprendre à grandir ...

Et c'est usant pour les répondants : j'ai participé à un forum similaire qui a fermé tellement ce n'était plus que ça, essorant toutes les bonnes volontés.

Aussi votre retour, 4 ans après, montre votre progression.

Je dis chapeau.

@pascalb41

Je n'ai pas précisé, car sous-entendu, que l'utilité est d'avoir un service web (= l'interface d'administration) en mode HTTPS et avec un certificat valide (= non autosigné).

NB : J'ai les mêmes souvenirs de l'étiquette expéditeur collée sur les caisses en bois de livraison de matériels pour Coyotte, à la même période.

@jdh Aucun humour là dedans.😁

@msid

Voici la configuration du switch (HP) :

PORT 13-14-15-16 -> Agrégat des 4 liens Mode TRUNK -> Untagg le VLAN défault (1) -> TAGG sur les autres TRUNK dont le 160 (LIEN VERS LE NETGATE)
PORT 20 -> untagg sur le VLAN 160

e6a46564-1765-4613-91ee-c3ba37fed005.jpg

Merci @nicolas-R je vais tester t'as solution.

Le ton employé ?
Si vous répondiez ...
Si vous lisiez A LIRE EN PREMIER ...
Si vous posiez un problème complètement ... (avec un schéma)

Quelqu'un qui veut être aidé, c'est quelqu'un

qui s'inscrit et lit les fils étiquetés (au moins), qui présente son problème complètement et en n'éludant rien, qui décrit son besoin, parce que une solution n'est pas un besoin, qui ne commence pas par discuter du ton, surtout quand rien lui a été dit.

Je crois que c'est mieux, en effet, que vous alliez poser votre problème ailleurs. (Ne vous acharnez pas, depuis des mois, je suis le dernier à répondre sur le forum, où la plupart des inscrits sont des assistés : toujours à réclamer, à critiquer, et aucun effort ...)

@jdh C'est un réponse... sans précision car le contournement est simplement de localiser les utilisateurs du VPN dans une OU isolée. Rien de significatif mais cela reste une solution de contournement vu que je ne trouve pas comment déclarer un groupe de l'AD.

Merci à toi pour ton aide.

@cleloup

Bonjour à tous,

j'ai réussi à me dépatouiller.
Il fallait déclarer les vlans que pfsense découvre dans le cu (voir post reddit)

je continue à jouer avec

Il y a un fil A LIRE EN PREMIER : tout débutant devrait lire ce fil et s'en inspirer.

J'ai des remarques de sécurité :

ouvrir 445 sur Internet est, simplement, une folie ouvrir 3389 sur Internet est déraisonnable : à minima il faut filtrer les ip (fixes) autorisées si vous voulez un partage de fichiers ouvert sur Internet, utilisez plutôt quelque chose comme 'nextcloud' à MINIMA, les serveurs accessibles depuis Internet, DOIVENT être dans une DMZ = sans AUCUN accès à un LAN interne.

Tout cela me semble très irréfléchi et sans compréhension des problèmes de sécurité et peu au fait de bonnes pratiques.

(Personnellement je ne comprends pas qu'on puisse virtualiser avec HyperV, et en particulier connecté à Internet.)

Sur cette partie de forum, on écrit en français (et on DOIT lire A LIRE EN PREMIER, ici, sans doute, en particulier, il serait UTILE de préciser les packages installés avec leurs réglages).

Un jour, peut-être, vous comprendrez que, sans informations, on ne risque pas d'être aidé (puisque les lecteurs n'ayant aucune info, comment pourraient ils avoir la moindre idée).

Quand on achète une appliance, il est judicieux d'acquérir le support du fournisseur : généralement les sociétés qui diffusent une appliance, ont l'expertise qui 'va avec', d'où l'intérêt du support ...

Bonjour,

Je suis tombé sur ce post parce que je cherchais comment créer un calendrier d'accès pour mes clients OpenVPN. Par exemple, autoriser les accès de 7h à 21h du lundi au vendredi.

Or, si j'ai bien tout compris, bonjour l'usine à gaz...

créer un (ou plusieurs) calendrier(s)

ensuite, pour chaque compte utilisateur :

assigner une adresse IP fixe à chaque compte utilisateur (j'en ai une trentaine...)

créer une règle pour bloquer cette IP et appliquer le calendrier de son choix créé en 1)

Y a pas plus simple... ?

Pascal.

Une solution se construit après avoir défini un usage, un besoin.

Vous faites ce que vous voulez.
Mais je ne comprends rien à votre solution de bridge et de VM qui 'suit' votre PRA. (Et je ne crois pas être seul ...)

(Un jour vous comprendrez ...)