Je préfère que cela reste transparent pour les utilisateurs. Donc pas de connection. Et mon proxy est configuré en transparent. Ce qui est contraire à la réglementation en vigueur dès lors qu'une entité met à disposition un accès à Internet.

C'est, hélas, le schéma traditionnel proposé par Orange (Sfr, et d'autres …) ! On voit qu'il n'y a presqu'aucune sécurité dans un tel schéma mais ils ne voient le problème ... Et quand on leur demande une redirection, ce n'est guère possible ... Pour résoudre la question, je ne vois guère qu'abandonner pfSense et mettre en place un (vrai) proxy (avec un WPAD pour faciliter le déploiement). (Activer le proxy sur le pfSense n'est pas la solution puisque la navigation commence par http et passe à https). (Avec un bridge, concernant les sites, je commencerais directement en https plutôt qu'en http ...)

Compte tenu de la nature du problème, il me semble que la consultation d'un forum FreeBSD serait sans doute plus productive. Ou encore une recherche sur "GEOM_PART: integrity check failed (da0, MBR)" donne de nombreux résultats qui, peut être, pourraient vous aider.

Bonjour, J'avais tester en maquette avec openvpn, le débit était bien moindre, je dépassai difficilement les 100Mb. J'avais tester avec d'autre cryptage mais au finale c'était l'AES le plus performant car les instructions sont intégré au XEON Je ne manquerai pas de faire un retour si je trouve le temps de tester avec d'autre chose. Sébastien

La règle "par défaut" créé dans l'onglet LAN est très permissive : il serait très étonnant qu'une machine du LAN soit bloquée. MAIS, il existe des cas où, malgré la règle, les connexions ne s'établissent pas : par exemple un mauvais MTU, et il y en a d'autres … Un exemple vécu : dans mon réseau, le serveur DHCP (sous Windows) fournissait une règle de route à ajouter (à cause d'un routeur mal placé), des smartphones (en wifi, bridgé dans le LAN) pouvaient ou non accéder à Internet, depuis que j'ai supprimé l'option DHCP, les smartphones (Samsung Galaxy Ace sous Android 2.3.6) qui n'accédait pas à Internet, le peuvent maintenant !! Ne limitez pas votre vision qu'à un aspect !

C'est bon j'ai résolu mon problème, j'avais belle est bien un mauvais paramétrage au niveau du dns dans pfsense

Bonsoir, J'ai un 2.1 de tests virtualiser et je n'ai pas ce problème

Hello, merci pour ta réponse ! Avec un disque, ça va vachement mieux…. Il y a en effet des limitations drastiques sur les systèmes embedded..... Merci encore ! JFG

Quel mélange ! Un portail captif est un système d'autorisation/interdiction de traversée de firewall. L'historique des connexions à Internet est la liste des url visitées par un utilisateur (une adresse ip ?). Et le seul logiciel capable de le faire est un proxy (tel Squid) qui … ne s'installe pas sur un firewall ! Bref 2 choses assez bien distinctes (que l'on ne saurait mélanger ... erreur très fréquente sur ce forum ...). Suivez donc ce qu'écrit ccnet sur ce sujet au travers des nombreux fils sur le sujet ... Vous pouvez avoir confiance en lui.

la GW passe en offline puis en online alors que le réseau est stable Bonne observation et bonne conclusion : il est probable que la virtualisation en VMplayer ne soit pas adapté. Si vous voulez tester un firewall, il vaut mieux utiliser un vrai host de virtualisation comme ESXi ou Proxmox (avec KVM), ET, totalement essentiel, comprendre la vision réseau du moteur de virtualisation : dans VMware, on créé des vswitchs, …, dans KVM on créé des bridge, ... Reste à comprendre pourquoi vous aviez une règle dans l'onglet WAN : vous NE DEVEZ PAS en avoir !

Bonjour, Merci pour vos retours ! En effet, le must pour le contrôle des accès web reste le proxy dédié mais comme d'habitude avec ce genre de problème, le client n'a pas l'argent/le temps/l'envie de mettre en place une solution de proxy complète. C'est pourquoi j'étais parti sur l'idée d'un Squid utilisé au minimum… (juste pour trois utilisateurs, permettant l'accès quelques domaines) Pour l'instant, les 3 postes sont coupés d'Internet, mais cela pose des problèmes de sécurité (mises à jours Windows et Avast). Autoriser au niveau du firewall des FQDN avec un wildward comme par exemple "*.windowsupdate.com" aurait été LA solution, mais ça ne semble pas marcher... Il semble qu'à une époque, une build interne le permettait... (cf : https://forum.pfsense.org/index.php/topic,44264.msg231443.html#msg231443) Vous savez si il existe une méthode équivalente permettant de le faire ?

petite question, est-t-il possible de lier pfsense avec l'AD en choisissant l'authentification par radius et en installant le package freeradius2 en configurant la partie LDAP de freeradius ? car j'ai fais cela en suivant plusieurs tutos et topics mais je n'arrive pas à me connecter sur le portail avec les comptes de l'AD. Donc soit ma configuration n'est pas bonne (ce qui est étrange car mon LDAP en local était configurer pareil et il voyait bien l'AD), soit ce n'est pas possble. merci d'avance pour vos réponses

Bonjour, J'ai trouver une option qui m'avait échapper, regarde si ça t'aide. Dans system | Advanced | firewall/nat : Static route filtering Bypass firewall rules for traffic on the same interface This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface. cordialement

Merci ccnet ! J'ai donc jeté un oeil au dmesg pour noter le numéro du core (2) que je souhaitais invalider. Ensuite, j'ai modifié le /boot/loader.conf en rajoutant la ligne suivante : hint.lapic.2.disabled=1 Après le reboot, le dmesg m'affiche ça FreeBSD/SMP: Multiprocessor System Detected: 1 CPUs FreeBSD/SMP: 0 package(s) x 2 core(s) cpu0 (BSP): APIC ID:  0   cpu (AP): APIC ID:  2 (disabled) Et après avoir configuré le mode AP sur l'OPT1, tout baigne. Mon client se connecte bien et télécharge bien de gros fichiers sans que pfsense ne sourcille ! Merci encore, et bon dimanche ! JFG

merci ccnet pour le lien.je vais alors installer Zabbix pour voir son fonctionnement Merci à tous pour votre aide

@baalserv: @ Talwyn : l'alix n'à que 3 interfaces ^^ Sick… Au temps pour moi

@gakoroace: mais pour le client exporter ce n'est valable pour un Mac OS et Windows. => @jdh: Concernant OpenVPN Il est plus que probable que le fichier de conf prévu pour un client roadwarrior sous Windows soit exactement le même que sous Linux. Merci de comprendre "certain" à la place de "plus que probable" ! Il y a un outil générateur de fichier de conf (comme l'indique Baalserv) : vous pouvez l'essayer, sinon prenez vous en charge (ce n'est pas très difficile). @gakoroace: Comme je le disais pour l'authentification je veux le faire en créant le compte de l'utilisateur distant dans Active Directory.j'ai parcouru le forum et j'ai lu qu'il est aussi possible de faire le couplage avec un serveur RADIUS.lequel est le mieux? Radius Encore une fois, une recherche sur ce forum et sur le net aurai donner ceci : http://blog.stefcho.eu/?p=545 OU encore ceci dans les 2 1ère pages de ce forum ^^ : http://pfsense.mirrors.ovh.net/pfsense.org/tutorials/cp_config/radius_win2k3.htm Cordialement EDIT : Il est beaucoup plus intéressant/enrichissant pour nous tous (contributeurs), de réfléchir sur un problème bien posé que de passer notre temps à donner des liens suite à défaut de recherche; presque tous les principaux sujets on déja été traiter de multiples fois sur ce forum ^^ :) D'une façon très générale et pour beaucoup => Suivez l'exemple de Talwyn (cf: son post d'il y a quelques jours) qui a passer beaucoup plus de temps à lire ce forum qu'à y poster ^^