Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Résolu] Nombre de tentative de connexion au WebGUI

    Français
    3
    6
    637
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Dimix971
      last edited by

      Bonjour,

      Contexte : Pro, Étudiant, Nouveau, pfsense installé sur HYPER-V
      Besoin : Modifier le nombre de tentatives de connexion de l'interface graphique

      Schéma : Toutes les interfaces possèdent leur propre carte réseau virtuelle
      WAN: 192.168.15 x/22
      LAN: 192.168.10 x/24
      SYNC: 10.0.10.254/24 FAILOVER
      LAN2: 10.2.0.x/16

      Configuration authentification:
      Configuration LDAP. Les utilisateurs utilisent leur compte AD afin d'avoir uniquement accès à la page "Client export" d'OpenVPN (ce qui fonctionne correctement).

      Question:
      Par défaut pfsense bloque l'adresse IP publique d'un utilisateur après 15 tentatives de connexion échouer pendant 24 h. Peut-être que je me trompe mais je trouve que ce nombre est trop élevé.
      Corrigez-moi si je me trompe.
      Du coup est-ce possible de réduire ce nombre ? Si oui est-ce recommander ?

      1 Reply Last reply Reply Quote 0
      • GertjanG
        Gertjan
        last edited by

        Ton WAN possède un IP local ( RFC 1918 ) donc je te conseille de regarder de plus près les règles NAT et parafeu de ton routeur en amont. T’auras une petite surprise.
        Règle d'or : jamais - sauf peut être le VPN (porte) 1194 - doivent être natté en amont.
        Règle d'or 2 : le GUI n'est pas accessible à partir du WAN - et par défaut c'est le cas.

        T'as donc rien a faire - sauf respecter ces ceux règles - et fini les tentatives.

        Règle perso : le LAN ne doit que avoir des appareils de confiance. En cas de doute, ne branche même pas le LAN, et utilise tes appareils internes sur tes autres interfaces, et bloque avec une règle parafeu l'accès au GUI.

        edit : après ré-lecture : tes clients doivent se connecter sur "OpenVPN => Client Export Utility" (autrement dit, une partie de GUI de pfSense) venant de l’extérieur pour ramasser leur fichier "ovpn" ??
        Euh …. moi, je ne laisse personne accéder à pfSense comme ça, restriction d'une page, ou pas.
        J'exporte vers un fichier ovpn et je le transmet par La Poste ... clé usb ou mail tout simplement.

        No "help me" PM's please. Use the forum, the community will thank you.
        Edit : and where are the logs ??

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Les utilisateurs de pfSense devraient être des administrateurs.
          Pour quelles (fausses) raisons des clients devraient avoir un profil utilisateur de pfSense ?

          Si on encourage un utilisateur à se connecter à un firewall, cela amènera forcément à des problèmes !
          "Y en a q'ont essayé, ils ont eu des problèmes …"

          Qu'un administrateur, qui créé le certificat d'un utilisateur et qui génère le 'client_export', n'est-il pas très simple qu'il fournisse (ou mieux, qu'il installe) ledit programme  (toute en indiquant les règles d'utilisation) ?

          En ce qui me concerne, de toute façon, les utilisateurs NE SONT PAS administrateurs de leurs PC (et c'est BIEN mieux), donc ils ne peuvent l'installer.
          De plus, je n'installe plus OpenVPN Client GUI, car je suis resté sur la nécessité d'être administrateur pour l'exécuter (ce qui n'est peut-être plus le cas).
          (J'installe SecurePoint SSL VPN Client qui fonctionne très bien, et avec la config d'OpenVpn bien sûr.)

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • GertjanG
            Gertjan
            last edited by

            @jdh:

            .. (ce qui n'est peut-être plus le cas).

            Ce qui est le cas depuis peu, heureusement. Le GUI OpenVPN, donc l'outil coté VPN client démarre maintenant sans droits admin.
            Installer le package OpenVPN nécessite toujours le droit admin sur le PC.

            No "help me" PM's please. Use the forum, the community will thank you.
            Edit : and where are the logs ??

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              (Hors sujet, mais REX d'un programme client)

              L'installation d'un client VPN n'est pas anodin :

              • c'est une install de programme,
              • c'est, en particulier, un programme qui donne un accès à un réseau interne.
                Cela fait 2 raisons pour lesquelles l'administrateur doit être attentif.

              Securepoint, outre qu'il ne nécessite pas d'être admin à l'exécution, a un atout supplémentaire :

              • au moment de l'install, on peut choisir de l'installer SANS possibilité d'ajouter par le logiciel et manuellement une config par la suite.
                Cette possibilité n'empêche pas l'administrateur d'installer une config (hors logiciel) en la copiant à l'endroit idoine.
                Ces 2 atouts m'en ont fait mon client standard. Je vous encourage à l'essayer, en alternative à OpenVPN 'standard'.
                (NB : il exige d'avoir un driver TAP : j'installe le TAP d'OpenVPN bien sûr.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • D
                Dimix971
                last edited by

                Bonjour,

                Je vous remercie de tous vos retours. Je vais donc désactiver cette fonction.

                @Gertjan:

                Ton WAN possède un IP local ( RFC 1918 ) donc je te conseille de regarder de plus près les règles NAT et parafeu de ton routeur en amont. T’auras une petite surprise.
                Règle d'or : jamais - sauf peut être le VPN (porte) 1194 - doivent être natté en amont.
                Règle d'or 2 : le GUI n'est pas accessible à partir du WAN - et par défaut c'est le cas.

                L'adresse IP de mon WAN est lié avec une IP Public. L'accès au GUI depuis le WAN a été désactivé.

                @jdh:

                Les utilisateurs de pfSense devraient être des administrateurs.
                Pour quelles (fausses) raisons des clients devraient avoir un profil utilisateur de pfSense ?

                Mon tuteur souhaitait juste donner un accès limité au GUI afin d'éviter de transférer constamment les configurations aux utilisateurs. Vu vos retours je vais désactiver cet accès.

                @jdh:

                En ce qui me concerne, de toute façon, les utilisateurs NE SONT PAS administrateurs de leurs PC (et c'est BIEN mieux), donc ils ne peuvent l'installer.
                De plus, je n'installe plus OpenVPN Client GUI, car je suis resté sur la nécessité d'être administrateur pour l'exécuter (ce qui n'est peut-être plus le cas).
                (J'installe SecurePoint SSL VPN Client qui fonctionne très bien, et avec la config d'OpenVpn bien sûr.)

                Au siège nous n'utilisons pas le client Openvpn également à cause du problème que vous mentionnez. Cette configuration avait pour cible les utilisateurs en télé travaille ou mobile qui sont administrateurs de leurs machines perso.

                Je vous remercie encore
                Cordialement

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.