Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - chris4916

Pages: [1] 2 3 4 5 ... 123
1
Français / Re: Bascule OpenVPN
« on: February 12, 2018, 11:19:39 pm »
Faire un port forwarding sur mon WAN ne fonctionne pas car je me connecter sur mon OpenVPN via l'adresse CARP et il est impossible de sélectionner cette adresse.

J'ai utilisé cette page pour le faire: https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN

Le lien que tu montres décrit exactement la même chose que ce que je te dis, à savoir un serveur VPN qui écoute sur localhost avec un forward.

 Une fois que tu as compris le principe, qu'est-ce qui t'empêche de faire un forward de la VIP plutôt qu'un forward de tes WAN ?
Rien...  ;)

ça fonctionne très bien. Je fais ça avec des pfSense en CARP en multi-WAN sans problème.
Dans ce cas, il faut juste faire 2 redirect, un pour chaque VIP-WAN 8)

2
Français / Re: Bascule OpenVPN
« on: February 12, 2018, 07:07:56 am »
Configuré, si ce n'est pas déjà fait, ton serveur OpenVPN pour écouter sur l'interface localhost (127.0.0.1) et fait un port forwarding depuis ton interface WAN vers 127.0.0.1
Ça devrait fonctionner 😉

3
Français / Re: bridge transparent filtrant
« on: February 10, 2018, 05:39:09 am »
Heuu moi pas tout compris ... et tu fais le management depuis le Wan ??

Je me suis retenu d'écrire quelque chose de similaire  ;)
- le management depuis le WAN.... bof
- le bridge sert à quoi ? Si c'est juste pour avoir une plate-forme snort, peut-être que pfSense, c'est un peu over-kill  ;)

4
Français / Re: VPN
« on: February 07, 2018, 11:23:30 pm »
Ce fil a été vidé par son auteur.
Face à un entêtement à (tenter de) réussir un VPN basé sur L2TP/IKE, Ccnet et moi avons suggéré de réussir (vite) avec OpenVPN.
Cela a sans doute vexé ...

C'est toute la différence entre le fond et la forme  ::)  :-X

5
Il faut regarder dans le log LDAP la raison du code erreur 49 (authentication failure).
Il s'agit normalement d'une erreur de mot de passe mais il peut y avoir un code retour de type failure cote application (ici le portail captif) si l'entrée n'est pas trouvée coté LDAP.
Le log devrait t'en dire plus.... bien que je ne sois pas persuadé que le log LDAP de Windows soit bien lisible  :-X

Edit: en relisant la description du problème, j'ai plutôt l'impression que tu parles la de comptes locaux uniquement (du coup, qu'ils viennent de AD, LDAP ou ailleurs... ça n'a pas d'importance). C'est bien ça ?

6
Français / Re: Mode "bridge" - WAN PPPOE <> LAN
« on: January 17, 2018, 11:14:22 pm »
Je ne peux pas brancher l'ONT directement sur le Google Wifi car c'est du PPPOE (qu'il supporte) mais derrière il faut un VLAN taggé dessus (requirement d'Orange) ce qu'il ne supporte pas.. mais que PFSense supporte très bien.

Probablement aurais tu pu commencer par ça dans ta description  :P
Et donc, comment as-tu configuré pfSense de ce point de vue ?
A partir de là, tu peux regarder quel VLAN doit faire l'objet du bridge  8)

7
Français / Re: Mode "bridge" - WAN PPPOE <> LAN
« on: January 16, 2018, 11:24:30 pm »
Sur une fibre Orange tu n'a pas besoin de box en fait, le PFSense est directement branché sur un boitier ONT qui lui donne l'IP publique sur le Wan.

en effet mais tu ne peux pas y connecter directement ton boitier Google ?
Je ne comprends pas l'intérêt de pfSense dans ce design ?
Comment ce boitier Google est-il déployé ailleurs si il ne supporte pas d'avoir une IP "WAN" autre que l'IP publique s ce n'est pas lui qui fait office de edge router ? Pourquoi vouloir impose pfSense entre les 2 ?

Du coup comment je peux configurer PFSense pour que mon google wifi branché directement sur LAN soit "open" sur le Net et que lui seul fasse NAT/FireWall ?

Tu définis un bridge entre l'interface WAN de pfSense et l'interface LAN

Je suis vraiement confus avec ce sujet. Je vais finir par aller voir la doc de ce produit à priori merveilleux  ;D

8
Français / Re: Secure connexion Failed
« on: January 15, 2018, 11:35:35 pm »
Je ne peux pas t'aider sur les aspects strictement snort => c'est une solution qui demande trop d'investissement en terme de temps, à mon sens, pour être déployée telle quelle et laisser les automatismes faire leur travail.

D'autant qu'en positionnant snort sur l'interface WAN, le volume d'alerte doit être énorme. Pourquoi ne pas se contenter de l'interface LAN ?

Au passage, sauf si tu as une solution magique que je ne connais pas (et tu es alors le bienvenu), tu ne fais pas d’agrégat de lien WAN mais du load balancing et du fail-over  ;)

9
Français / Re: Mode "bridge" - WAN PPPOE <> LAN
« on: January 15, 2018, 11:22:55 pm »
L'équipement qui te sert de pare-feu a forcément une adresse IP externe et une adresse IP interne qui sont différentes, d'où NAT.
Techniquement, tu pourrais configurer un bridge par exemple pour certains VLAN, donc sans NAT, mais ce qui revient à ne plus avoir de pare-feu.
Je ne sais pas ce que fait ce Google Wifi (moi je ne suis même pas allé voir  :() mais dans la formulation de ta question, je ne suis pas certain que la problématique soit une question de NAT.
Sauf si ce composant fait lui même office de FW, la problématique doit se poser pour tous les déploiements du monde, sauf pour les inconscients (encore une fois, si ce composant ne fait pas office de FW) qui connecteraient directement ce boitier derrière leur accès internet.

Remplace sur ton schéma pfSense par une box quelconque et le problème est le même.
Et si tu mets ta box en mode bridge, ça marche :-)
le pfSense en mode bridge aussi ? => enlève le  ;)

10
Français / Re: Fournisseur de VPN
« on: January 15, 2018, 12:04:38 am »
Pas sûr que le forum pfSense soit le meilleur endroit pour poser cette question  ::)

Il y a pas mal de sites sur le web qui font des comparaisons dans tous les sens en fonction de ce que tu cherches à obtenir.

11
Français / Re: Secure connexion Failed
« on: January 15, 2018, 12:02:27 am »
Si quand tu désactive snort ça fonctionne, alors oui c'est probablement dû au paramétrage de snort... mais comme tu ne précises pas ce point ni surtout ne décris pas ta configuration, il est impossible de répondre à ta question.

12
Français / Re: Mode "bridge" - WAN PPPOE <> LAN
« on: January 14, 2018, 11:58:51 pm »
Un schéma semble s'imposer tant les choses ont l'air confuses entre nat, routage et translation.

En effet  ;)  surtout que cette problématique de double-NAT ne doit probablement exister que pour quelques très rares applications ou machines (au hasard genre PS ou xBox). Ce qui signifie qu'il faut un schéma assez détaillé quand même.

13
Français / Re: Problème UPDATE
« on: January 07, 2018, 09:26:37 am »
Je ne suis pas certain que des versions antérieures à 2.3.5 soient encore disponibles pour la mise à jour.

As-tu le choix de la branche dans l'interface d'administration (system/update/system update) ?

14
Français / Re: Répartir le traffic internet entre 2 WANs
« on: January 03, 2018, 02:18:14 pm »
oui c'est possible en créant des règle de fw sur l'interface LAN pour chaque groupe de machine.
Tu peux pur cela créer un alias par groupe, chaque alias définissant un range d'IP et il "suffit" ensuite de configurer, dans les policy routing, la gateway correspondant à ce groupe de machine (ça na rien à voir avec l'utilisateur, l'adresse IP est associée à une machine).

Je ne suis cependant pas certain que ce soit la meilleure solution si il s'agit d'équilibrer la charge entre les interfaces.

Je serai beaucoup confiant avec un proxy sur le LAN qui utilise les 3 gateway, soit de manière équilibrée soit avec des poids différents selon le débit de chaque accès.
Même si les effects du cache au niveau du proxy sont limités car de plus en plus de flux est en HTTPS, il y a quand même toujours quelque chose à y gagner.

15
Français / Re: [Débutant] Besoin de conseil
« on: December 30, 2017, 01:44:15 am »
Garde à l'esprit que si tu utilises un point d'accès wifi un tant soit peu évolué (comme par exemple les modèles d'Ubiquiti : https://unifi-shd.ubnt.com/), ce point d'accès wifi unique te permet de diffuser plusieurs SSDI et de gérer des réseaux wifi dans des VLAN séparés, ce qui te permet ensuite, au niveau de pfSense , d'autoriser le wifi "sécurisé" (par exemple en WPA2) à accéder au réseau local tandis que le wifi "sans authentification" ne disposera que d'un accès internet isolé.

Beaucoup d'autres points d'accès wifi offrent ce type de fonctionnalité, chez Linksys/Cisco, Asus ou autre. 

Pages: [1] 2 3 4 5 ... 123