Compte tenu de la nature du problème, il me semble que la consultation d'un forum FreeBSD serait sans doute plus productive. Ou encore une recherche sur "GEOM_PART: integrity check failed (da0, MBR)" donne de nombreux résultats qui, peut être, pourraient vous aider.

Bonjour,

J'avais tester en maquette avec openvpn, le débit était bien moindre, je dépassai difficilement les 100Mb.

J'avais tester avec d'autre cryptage mais au finale c'était l'AES le plus performant car les instructions sont intégré au XEON

Je ne manquerai pas de faire un retour si je trouve le temps de tester avec d'autre chose.

Sébastien

La règle "par défaut" créé dans l'onglet LAN est très permissive : il serait très étonnant qu'une machine du LAN soit bloquée.

MAIS, il existe des cas où, malgré la règle, les connexions ne s'établissent pas : par exemple un mauvais MTU, et il y en a d'autres …

Un exemple vécu :

dans mon réseau, le serveur DHCP (sous Windows) fournissait une règle de route à ajouter (à cause d'un routeur mal placé), des smartphones (en wifi, bridgé dans le LAN) pouvaient ou non accéder à Internet, depuis que j'ai supprimé l'option DHCP, les smartphones (Samsung Galaxy Ace sous Android 2.3.6) qui n'accédait pas à Internet, le peuvent maintenant !!

Ne limitez pas votre vision qu'à un aspect !

C'est bon j'ai résolu mon problème, j'avais belle est bien un mauvais paramétrage au niveau du dns dans pfsense

Bonsoir,

J'ai un 2.1 de tests virtualiser et je n'ai pas ce problème

Hello,
merci pour ta réponse !
Avec un disque, ça va vachement mieux….
Il y a en effet des limitations drastiques sur les systèmes embedded.....
Merci encore !
JFG

Quel mélange !

Un portail captif est un système d'autorisation/interdiction de traversée de firewall.

L'historique des connexions à Internet est la liste des url visitées par un utilisateur (une adresse ip ?).
Et le seul logiciel capable de le faire est un proxy (tel Squid) qui … ne s'installe pas sur un firewall !

Bref 2 choses assez bien distinctes (que l'on ne saurait mélanger ... erreur très fréquente sur ce forum ...).

Suivez donc ce qu'écrit ccnet sur ce sujet au travers des nombreux fils sur le sujet ... Vous pouvez avoir confiance en lui.

la GW passe en offline puis en online alors que le réseau est stable

Bonne observation et bonne conclusion : il est probable que la virtualisation en VMplayer ne soit pas adapté.

Si vous voulez tester un firewall, il vaut mieux utiliser un vrai host de virtualisation comme ESXi ou Proxmox (avec KVM), ET, totalement essentiel, comprendre la vision réseau du moteur de virtualisation : dans VMware, on créé des vswitchs, …, dans KVM on créé des bridge, ...

Reste à comprendre pourquoi vous aviez une règle dans l'onglet WAN : vous NE DEVEZ PAS en avoir !

Bonjour,

Merci pour vos retours !

En effet, le must pour le contrôle des accès web reste le proxy dédié mais comme d'habitude avec ce genre de problème, le client n'a pas l'argent/le temps/l'envie de mettre en place une solution de proxy complète.

C'est pourquoi j'étais parti sur l'idée d'un Squid utilisé au minimum… (juste pour trois utilisateurs, permettant l'accès quelques domaines)

Pour l'instant, les 3 postes sont coupés d'Internet, mais cela pose des problèmes de sécurité (mises à jours Windows et Avast).

Autoriser au niveau du firewall des FQDN avec un wildward comme par exemple "*.windowsupdate.com" aurait été LA solution, mais ça ne semble pas marcher...

Il semble qu'à une époque, une build interne le permettait...
(cf : https://forum.pfsense.org/index.php/topic,44264.msg231443.html#msg231443)

Vous savez si il existe une méthode équivalente permettant de le faire ?

petite question, est-t-il possible de lier pfsense avec l'AD en choisissant l'authentification par radius et en installant le package freeradius2 en configurant la partie LDAP de freeradius ?

car j'ai fais cela en suivant plusieurs tutos et topics mais je n'arrive pas à me connecter sur le portail avec les comptes de l'AD. Donc soit ma configuration n'est pas bonne (ce qui est étrange car mon LDAP en local était configurer pareil et il voyait bien l'AD), soit ce n'est pas possble.

merci d'avance pour vos réponses

Bonjour,

J'ai trouver une option qui m'avait échapper, regarde si ça t'aide.

Dans system | Advanced | firewall/nat :

Static route filtering Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

cordialement

Merci ccnet !
J'ai donc jeté un oeil au dmesg pour noter le numéro du core (2) que je souhaitais invalider.
Ensuite, j'ai modifié le /boot/loader.conf en rajoutant la ligne suivante :

hint.lapic.2.disabled=1

Après le reboot, le dmesg m'affiche ça

FreeBSD/SMP: Multiprocessor System Detected: 1 CPUs FreeBSD/SMP: 0 package(s) x 2 core(s) cpu0 (BSP): APIC ID:  0   cpu (AP): APIC ID:  2 (disabled)

Et après avoir configuré le mode AP sur l'OPT1, tout baigne.
Mon client se connecte bien et télécharge bien de gros fichiers sans que pfsense ne sourcille !
Merci encore, et bon dimanche !
JFG

merci ccnet pour le lien.je vais alors installer Zabbix pour voir son fonctionnement
Merci à tous pour votre aide

@baalserv:

@ Talwyn : l'alix n'à que 3 interfaces ^^

Sick…

Au temps pour moi

@gakoroace:

mais pour le client exporter ce n'est valable pour un Mac OS et Windows.

=>
@jdh:

Concernant OpenVPN

Il est plus que probable que le fichier de conf prévu pour un client roadwarrior sous Windows soit exactement le même que sous Linux.
Merci de comprendre "certain" à la place de "plus que probable" !
Il y a un outil générateur de fichier de conf (comme l'indique Baalserv) : vous pouvez l'essayer, sinon prenez vous en charge (ce n'est pas très difficile).

@gakoroace:

Comme je le disais pour l'authentification je veux le faire en créant le compte de l'utilisateur distant dans Active Directory.j'ai parcouru le forum et j'ai lu qu'il est aussi possible de faire le couplage avec un serveur RADIUS.lequel est le mieux?

Radius

Encore une fois, une recherche sur ce forum et sur le net aurai donner ceci : http://blog.stefcho.eu/?p=545

OU encore ceci dans les 2 1ère pages de ce forum ^^ : http://pfsense.mirrors.ovh.net/pfsense.org/tutorials/cp_config/radius_win2k3.htm

Cordialement

EDIT : Il est beaucoup plus intéressant/enrichissant pour nous tous (contributeurs), de réfléchir sur un problème bien posé que de passer notre temps à donner des liens suite à défaut de recherche; presque tous les principaux sujets on déja été traiter de multiples fois sur ce forum ^^ :)
D'une façon très générale et pour beaucoup => Suivez l'exemple de Talwyn (cf: son post d'il y a quelques jours) qui a passer beaucoup plus de temps à lire ce forum qu'à y poster ^^

@milou:

Je ne pensais pas que ce forum était réservé aux pros qui ont des questions très techniques.

les novices ou personnes débutantes dans l'utilisation de PFSense avons des questions assez basiques peut etre mais c'est l'aide qu'on a besoin pour commencer.

Je souhaiterais ouvrir une parenthèse.

Je parcours ce forum régulièrement, depuis quelques années. Je n'ai pas beaucoup de posts à mon actif car je pose rarement des questions (je cherche d'abords par moi-même ou auprès d'un collègue), et je réponds rarement également car jdh et ccnet (et parfois baalserv quand il arrive à être plus rapide qu'eux) sont à la fois plus rapides et plus pertinents que je ne le suis. Toutefois, j'y viens pour lire car on y trouve beaucoup de choses instructives.
Cependant, j'ai remarqué une recrudescence de ce genre de commentaires. Or l'un des principaux soucis, c'est que les auteurs ne se demandent pas pourquoi. Je sais peu de choses sur ccnet et jdh, mais je sais au moins ceci à force de les lires depuis tout ce temps :

ils répondent vite, et de manière claire, précise, et juste. ils connaissent manifestement leur sujet. vue leurs méthodologie, ce sont des professionnels de longue date. ils ont un boulot ailleurs que répondre sur ce forum. ils ont une vie.

J'avoue, ce n'était pas prévu dans ma parenthèse, mais leur rendre hommage depuis le temps où ils apportent leur expérience est de loin la moindre des choses.

Une image dans un autre fil m'a particulièrement séduit : beaucoup de personnes postent ici en espérant apprendre à conduire par correspondance sans avoir appris le code de la route. Je rajouterais même qu'il ne s'agit pas d'apprendre à conduire une voiture de classe B (un FW n'est pas un simple PC sous Windows).
Imaginez-vous un peu après votre journée de boulot devoir pondre une solution décente.

Oui on peut être débutant, tout le monde l'a été un jour. En revanche, si on est débutant en réseau alors ce forum est clairement déconseillé. Par défaut un FW est un élément "avancé" dans une configuration réseau, il est nécessaire de comprendre pourquoi on veut le mettre en place et quel sera sa fonction (après tout, beaucoup de particuliers s'en passent très bien chez eux, c'est sans doute que c'est pas "vital" au réseau…). Du coup, pour chaque question posée les réponses peuvent être multiples en fonction des besoins d'untel ou untel. Cela impliquent donc 2 choses :

pfsense (ou tout autre FW) sera plus une source de problèmes que de solutions si on n'a pas un minimum de connaissances réseaux. il faut être le plus clair possible dans ses questions, chaque détail peut avoir son importance. Plus la question sera évasive plus la réponse le sera tout autant. A l'inverse, plus la question sera précise, plus la réponse le sera également et là encore le manque de connaissance sur les réseaux peut être un handicap.

Et dernier point : il ne faut pas se vexer de ne pas avoir de connaissance !
C'est tout à fait normal de ne pas TOUT connaitre, et ce forum est là pour ça. Mais je trouve qu'il est juste aussi de remercier (encore une fois) ccnet et jdh pour leur patience. Je ne compte plus les topics du genre "Bonjour, je ne connais rien aux réseaux mais vous pouvez quand même m'apprendre à utiliser pfsense ?" ou encore "Bon, je sais pas trop ce que je veux faire avec pfsense vous pouvez m'aider ?". Franchement, à leur place j'enverrai plus souvent sur les roses qu'ils ne le font, j'aurais même probablement fini par déserter ce forum.

Sérieusement, si vous avez la sensation que jdh, ccnet et/ou baalserv vous remballent, un conseil : remettez-vous en question avant de leur demander de le faire.

Fin de la parenthèse, désolé d'avoir été long et surtout hors sujet mais il me semblait nécessaire de mettre certaines choses à plat (du moins à titre personnel, c'est thérapeutique ^^).

le mysql c'est bien un exemple oui il est en accès extérieur pour l'instant le tant de rapatrier tous les sites mutualiser vers mes propres serveurs web et donc utiliser une ip local ensuite.

mais par exemple l'exemple de mysql peux être remplacer par la connexion RDP
car dans l'environnement ou j'en n'ai besoin seulement le port 80 et 443 sont ouvert
et que je ne souhaite pas utiliser de vnp et encapsulé se trafic sur le 80 se qui est possible avec frozen way mais je ne souhaite pas faire cela car il me faudrait donc utiliser un logiciel externe.

Encore un problème de protocole. Ici le protocole défaillant c'est … le français. En ce qui me concerne je ne comprend pas ce que vous voulez faire. D'où ma demande précédente :
Que viennent faire ces serveurs Mysql en écoute sur le port 80 ? Quelle est la justification fonctionnelle pour rendre accessible directement depuis internet des serveurs mysql sur le port 80 ?

Et Milou, si prompt, vous comprenez la demande de Vincent1890 ?

Vincent1890, vous rendez vous compte des risques que vous faites courir à vos systèmes ?
Vos ip publics et beaucoup d'autres choses sont très facilement repérables.

Les connaissances de base vous font défaut. oui c'est pour cela que je me retrouve ici a demander de l'aide sur le forum car autrement c'est que je serrai en train d'aider les autres.

Et si vous passiez un peu de temps à les acquérir au lieu de chercher des recettes toutes faites à des problèmes que, pour le moment, vous ne comprenez pas ? Quelques heures de lectures du site de Christian Caleca éclairait quelques points.