Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

# - @ - Steph - Hier, 06/12/2022 à 13:47:34

Bonjour,

Est-ce une "coquille" ou il faut que je relise plus lentement votre excellent article !?

En tout cas merci pour tous ces tutos et informations techniques !


Pour supprimer le point de restauration et les instantanés, les trois commandes à saisir sont les suivantes :

bectl destroy pfsense-2.5.2
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2


Une fois redémarré, on pourra supprimer les instantanés et l'environnement de démarrage qui ne sont plus utilisés, soit dans notre exemple :

bectl destroy pfsense-2.6.0
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

# - @ - Tadji - 04/12/2022 à 08:43:21

Bonjour,
Merci pour le travaille colossale fourni sur site, c'est d'une aide inestimable.
J'ai un cas d'utilisation que j'aimerai avoir un regard d'expert.

j'ai 3 sites avec les config suivantes :

A) Site A Principal: 1 Pfsense avec un réseau LAN (192.168.10.0/24)
* 1 serveur d'application et plus autre pc et imprimante

B-C) site B et C sont identique : pas de Pfsense (défaut de moyens)
* 1 PC ou plus sous serveur linux "Ubuntu 20"
* 1 imprimante type TMU en réseau (imprimante thermiques type caisse)
* Boxe type "Liveboxe Orange"
* Réseau LAN (192.168.1.0/24)

Ma question est :
quel type de VPN dois-je monter pour permettre aux imprimantes d'être joignable depuis le site principal et plus exactement depuis le serveur d'application ?

ps : je suppose que pour les PC(serveur Ubuntu) je dois monter des collaborateurs nomades avec OpenVPN !

Dans l'attente de vous lire

# - @ - issaka - 30/10/2022 à 07:35:18

Bonjour,

Dans le fichier config j'ai dupliqué la ligne et c'est le même cas.
Voici le contenu de mon fichier config :

dev tun
persist-tun
persist-key
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
data-ciphers-fallback AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote x.x.x.x 1194 udp4
remote y.y.y.y 1194 udp4
nobind
verify-x509-name "openvpncert" name
pkcs12 pfSense-UDP4-1194-test1.p12
tls-auth pfSense-UDP4-1194-test1-tls.key 1
remote-cert-tls server
explicit-exit-notify

# - @ - Guillaume - 25/10/2022 à 19:19:08

@issaka :

Bonjour,

Il faut adapter le fichier de configuration que vous déployez sur vos clients OpenVPN en lui ajoutant une seconde instruction remote avec l'adresse IP du WAN2.

Dans votre fichier de configuration actuel, vous devriez avoir une ligne qui doit ressembler à ceci :

remote x.x.x.x 1194 udp

Où x.x.x.x est l'adresse IP du WAN 1.

Il faut dupliquer la ligne afin d'ajouter l'adresse IP du WAN 2, ce qui vous donnera le résultat suivant :

remote x.x.x.x 1194 udp
remote y.y.y.y 1194 udp


Où x.x.x.x est l'adresse IP du WAN 1 et y.y.y.y est l'adresse IP du WAN 2.

Cordialement,

Guillaume
--
Provya

# - @ - issaka - 20/10/2022 à 19:02:04

Bonsoir,

j'ai suivi les tutos depuis le haut et j'ai puis installé un serveur pfsense avec 2 wan avec des ip public en loadbalancing.c'est à dire si une des wan tombe en panne alors l'autre prend le relais.
tout marche très bien.
ET âpres j'ai configurer openvpn, dans la configuration des openvpn j'ai changé l’interface d’écoute par celui du passerelle par défaut que j'ai préalablement crée, mais malheuresement le openvpn marche seulement sur l'interface wan1 c'est à dire si le wan1 est up et wan2 down les cles clients openvpn montrent et si le wan2 est up et wan1 down alors les clesvpn ne montrent pas.

Merci de votre aide

# - @ - Guillaume - 06/10/2022 à 11:09:12

@ddurieux :

À ma connaissance, ils seront les seuls à le faire, parmi les grosses solutions de pare-feu du marché.

OPNsense tourne sur FreeBSD 13.
Stormshield Network Security (de Stormshield) et JunOS (de Juniper) tournent sur FreeBSD 12.

Cordialement,

Guillaume
--
Provya

# - @ - ddurieux - 06/10/2022 à 09:47:53

Sortir un firewall sur un noyau en cours de dev, faut oser quand même ;(

# - @ - Guillaume - 30/08/2022 à 08:06:40

@Mohamed ben amor :
Bonjour,

Il y a plusieurs manières de faire, en fonction du niveau de sécurité que vous souhaitez implémenter.

Une solution simple est d'indiquer les adresses MAC autorisées à obtenir une adresse IP sur votre serveur DHCP (menu Services > DHCP Server > champ MAC Address Control). Les autres équipements n'obtiendront pas d'adresse IP.
Pour une solution plus complète, il vous faut regarder du côté d'un NAC (Network Access Control) du type PacketFence.

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 30/08/2022 à 07:58:40

@Aboubakar :
Bonjour,

Êtes-vous sur la dernière version de pfSense ? Si ce n'est pas le cas, vous devriez mettre à jour avant d'installer votre paquet.

Cordialement,

Guillaume
--
Provya

# - @ - Mohamed ben amor - 26/08/2022 à 11:54:44

Bonjour,
je veux autoriser quelques adresses mac de confiance et bloquer tous les autres adresses qui se connectent a mon réseau local via le réseau internet

Auriez vous une solution sur pfSense?

Merci d'avance.