Accès contrôleur de domaine derrière pfSense
-
Bonjour à tous,
Je n'arrive pas à ouvrir une session bureau à distance sur un serveur contrôleur de domaine situé derrière une Freebox et un pfSense.
Je n'ai aucun problème lorsqu'il s'agit d'un W7 ou W10 ou même d'un serveur W2k8 ou W2K12 sous réserve qu'ils ne soient pas contrôleur de domaine.
Ci-dessous une copie d'écran de la définition du NAT sur cette machine. Elle est en tous points identique à celle des autres machines sur lesquelles j'arrive bien à me connecter.
Je me demande si ce n'est pas le pfSense qui fait barrage.
Est-ce qu'il est possible de tracer à travers des logs les tentatives de connexion ? Et si oui comment faire ?
Merci pour votre aide.
-
Je me demande si ce n'est pas le pfSense qui fait barrage.
Il serait intéressant de voir le message d'erreur RDP lors de votre tentative. Êtes vous certain d'avoir autorisé, sur la machine cible, les connexion RDP Par ailleurs ce mode de travail est très dangereux. Vous ne devriez le faire qu'au travers d'une connexion VPN. D'autant que je ne suis pas certain (je suis même presque sûr du contraire) que votre paramétrage de rdp soit correctement sécurisé.
Est-ce qu'il est possible de tracer à travers des logs les tentatives de connexion ?
Oui
Et si oui comment faire ?
Vous prendre un peu en main en lisant la documentation par exemple.
"Other" dans "Ports Range", c'est un peu léger comme règle. Pour ne pas dire plus …
-
Il serait intéressant de voir le message d'erreur RDP
Voir copie d'écran jointe
Êtes vous certain d'avoir autorisé, sur la machine cible
J'accède à toutes les machines en BaD depuis l'intérieur du réseau local
RDP Par ailleurs ce mode de travail est très dangereux
C'est mon problème ! Et cela ne relève pas de ma demande ;-)
votre paramétrage de rdp soit correctement sécurisé.
Idem
"Other" dans "Ports Range", c'est un peu léger comme règle. Pour ne pas dire plus …
Je sollicite une aide sur un problème précis, pas un conseil global sur les stratégies de sécurité
Vous prendre un peu en main en lisant la documentation par exemple.
Merci pour votre aide, elle m'est précieuse !
Plus généralement, vos propos sont définitifs et quelque peu condescendants, soit vous avez à coeur d'aider quelqu'un qui sollicite une aide auquel cas vous lui répondez correctement, soit vous considérez que c'est un "crétin" et dans ce cas vous l'ignorez.
Voili, voilà, c'est un abrupt, mais j'ai mal ressenti vos propos :-(
-
Si vous aviez donné les informations pertinentes dès le début, j'aurai pu être moins direct. Vous nous dites :
J'accède à toutes les machines en BaD depuis l'intérieur du réseau local
Il aurait été utile de le savoir tout de suite nous ne pouvons pas le deviner.
C'est quand même un peu gros ne pas avoir eu la curiosité minimale de chercher où trouver les logs de Pfsense et de comprendre comment on log les opération pour une règle précise. Cela relève d'une utilisation basique. Bref :
Status: System logs: Firewall
et activer les logs sur la règle qui autorise RDP.
Bien sûr que le conseil de lire la documentation est précieux puisque vous n'y aviez manifestement pas pensé. Je me félicite de vous l'avoir donné car je considère que c'est le meilleur que je puisse vous donner.
Vous connaissez sans doute cette maxime :
Donne un poisson à un homme, il pourra manger un jour.
Apprends lui à pécher il pourra mander toute sa vie.Mais peut être n'aimez vous pas le poisson. C'est mon cas mais j'ai quand même appris à pécher.
-
Salut salut
On va la refaire autrement.
Conformez vous déjà à ceci ==> https://forum.pfsense.org/index.php?topic=79600.0 <=== avec un schéma de votre infra pf.
Ensuite nous pauserons à cout sûre de meilleurs questions quant à votre problématique et avec un peu de chance la bonne méthodologie de réponse, voir "la" solution.Ensuite, que vous vous sentiez offusqué par les questions et où réponses de certain d'entre nous, est qu'il y a un soucis quant à votre approche de la problématique et aussi de la philosophie du produit d'autre part.
Préféreriez vous avoir un poste sans réponse ni questionnement ou réaction, et vous retrouver le bec dans l'eau avec votre demande ?
Au vu de votre propre condescendance, vous qui avez un soucis ravisez vous avant de prendre la mouche.
Il nous est trop courant de lire des demande du même type que la votre qui dénote **un manque flagrant :
-
de recherches,
-
de documentations,
-
de réflexions,
-
et encore plus de compréhension.
**
Comprenez qu'à la longue nous ne mettions plus de gants avec ce type de poste, nous ne sommes que des bénévoles qui prennent sur leur temps personnel pour vous répondre.
Cordialement.
-
-
'J'ai mal ressenti vos propos' : c'est votre problème, et certainement pas celui de l'écrivain, qui vous écrit sans vous connaitre !
Il est parfaitement évident pour ceux qui connaissent depuis longtemps ccnet (il n'a que 2550 posts à son actif), qu'il est très peu agressif.
Quelques pistes pour un certain respect :
- Le fil 'A LIRE EN PREMIER' devrait être lu par les nouveaux : le titre est clair,
- Apprenez (ou comprenez) qu'avec peu d'infos, vous aurez des réponses peu pertinentes,
- Regardez le nombre de posts et/ou la date d'inscription de ceux qui vous répondent : 2550 posts avec un inscription le 6/2/2008, pouvez vous vraiment croire qu'il s'agit d'un rigolo ?
- Recherchez dans le forum avant de poster une question permet de travailler par analogie : c'est fou ce qu'on est capable de faire grâce à une analogie
- Prenez un peu de distance et réfléchissez (juste) un peu : un 1er post, très incomplet, pour quelles raisons on vous mettrait la tête sous l'eau ? c'est juste illogique !
- Un fil où vous vous excusez …
NB : Quand ccnet vous demande de regarder l'erreur, vous répondez le point de vue 'client' ... mais vous ne pensez pas qu'il faudrait AUSSI regarder côté pfsense et côté 'serveur' ?
NB : tracer par log les connexions : la case Log dans la règle ne serait pas visible ? où les logs sont-il visibles ? est-il si difficile de trouver Status > System Logs > onglet Firewall ?
Si vous n'avez pas d'intuitions, au moins lisez la doc : pfsense doc wiki > Categories > Firewall Rules > Troubleshooting -
Comprenez qu'à la longue nous ne mettions plus de gants avec ce type de poste, nous ne sommes que des bénévoles qui prennent sur leur temps personnel pour vous répondre.
Certes mais tu peux également juste ignorer les messages qui, à ton avis, ne "méritent" pas de réponse au lieu de prendre encore plus de ton temps pour répondre que ça te prend du temps ;)