233 Membres 1105 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Classification d'une URL

Posée par Karl dans Administration

Bonjour,

Notre stormshield classe l'url d'un webmail interne en tant que "Malware".

Avant de mettre cette adresse en liste blanche, j'aurais voulu savoir si il était possible de connaitre la raison pour laquelle le SNS effectuait cette classification.

Merci

Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

SSH TCP Forwarding

Posée par Entrax Entrax dans Administration

Hello,

 

Est-il possible de configurer la directive AllowTcpForwarding dans la configuration SSH de boitiers Stormshield SN ?

Je souhaite accèder au portail d'administration via tunnel SSH (ssh -L port_local:localhost:443 ....).

Cependant, je n'ai rien trouvé pour configurer le TCP Forwarding dans la WebUI et le fichier /etc/ssh/sshd_config est réécris au reboot.

Sans cela , un joli :

'channel 3: open failed: administratively prohibited: open failed'

 

Thanks,

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Non résolue

Configuration QoS

Posée par Zbigniew Luszczyk dans Administration

Bonjour à tous

L'équipement concerné est un SN2000.

Le problème: la bande passante Internet saturée.

Nous avons quelques applications en mode SaaS. Il arrive que le temps de réponse de ces applications est inacceptable. Je me suis aperçu que certains utilisateurs saturent la bande passante Internet. De quelle façon je peux garantir la bande passante pour les applications SaaS ?

Merci d’avance pour votre aide.

Résolue

SN310 et H323

Posée par Alain Bosco dans Administration

Bonjour.

Suite à la mise en place d'un SN310 firewall 3.2.1 je rencontre des problèmes de visioconférence en H323.
A priori avant, avec un routeur plus basique, il n'y avait pas de problème particulier.

Lors d'une visioconférence le son se coupe après quelques minutes environ.
Un redémarrage de la visioconférence résout le problème pour à nouveau quelques minutes.
Ma config me semble correcte.

J'ai réalisé plusieurs essais (avec ou sans QOS, etc ...) et le problème persiste.

Avez-vous une retour d'expérience sur le H323 avec ces produits ?


 

Résolue

Importation blacklist

Posée par Nico ... dans Administration

Bonjour,

 

nosus testons des Stormshield SN510 afin de remplacer nos Arkoon.

Nous deovons faire appliquer des listes de blocages url et d'@ip qui représentent des fichiers de 5000 lignes environ.

Sur les Arkoon nous arrivions à imoporter ces fichiers en .csv, mais je n'ai pas trouvé comment faire sur les Stormshield.

Merci d'avance pour votre aide.

Cordialement, Nicolas.

Non résolue

Portail captif LAN/WAN/WIFI

Posée par Karl dans Administration

Bonjour,

Je n'arrive pas à configurer "proporement" mes portails d'authentifications sur mes appliances Stormshield. Quelque-chose doit m'échaper.

Voici la configuration que nous déployons régulièrement sur nos sites :

Cluster de SN300 ou 500

Une interface WAN, pour sortir sur internet

Une interface LAN, qui donne accès au réseau d'entreprise via un VPN IPsec

Une interface Wifi, pour offrir un accès internet grand public, non connecté au réseau d'entreprise.

J'aimerais mettre en place, dans un premier temps, une authentification sur les accès LAN et WIFI.

Pour l'accès LAN, j'utilise la méthode SSO et j'aimerais proposer le portail captif pour des ordinateurs hors domaines qui viennent se connecter sur le LAN.

Pour l'accès WIFI, j'utilise la méthode Guest.

Et c'est là que ça se corse...

Le portail captif a un serveur ssl porté par un certificat wildcard digicert (*.maisadour.com) [Dans Authentification -> Portail captif] afin que les intervenants externes puisse se...

Voir la suite
Résolue

Certificat SMC/SVC

Posée par Michaël dans Administration

Bonjour,

Je ne trouve pas comment intégrer un certificat issu d'une PKI externe dans SMC et SVC (Je parle du certificat qui est présenté lors de la connexion à la page web d'admin).

 

J'ai bien trouvé (sur SMC) une commande nommée fwadmin-install-certificate, mais l'aide de cette commande indique que c'est pour envoyer un certificat sur un firewall SNS, et non pour SMC/SVC.

Je n'ai trouvé aucun chapitre dans le guide d'administration qui semble traiter de ce sujet, mais je suis peut-être passé à côté.

Comment faire SVP ?

 

Cordialement.

Non résolue

Nagios / SNMP

Posée par Michaël dans Administration

Bonjour,

Je monitore des Arkoon (Performance, V6) via Nagios. J'utilise des scripts qui avaient été fournis par Arkoon il y a quelques temps et tout fonctionnait bien jusqu'à ce que je commence à migrer en SNMP v3.

 

Je récupère la liste des services en cours d'exécution ici : iso.3.6.1.2.1.25.4.2.1.2 (je ne l'ai pas inventé, c'était dans les scripts fournis par Arkoon).

Hors, dès que je passe un firewall en SNMPv3, cet OID ne remonte plus le service pluto, alors qu'en SNMPv2, le service est bien remonté.

Je n'ai pas ce soucis avec les autres services que je monitore (mysqld et smtpfwdd), ni même avec la surveillance de la taille des partitions. Seul pluto pose problème.

 

Est-ce qu'il y a une astuce pour pouvoir surveiller le service pluto en SNMPv3 ?

 

Merci d'avance,
Cordialement.

Résolue

NTP personnalisé sur SVC

Posée par Michaël dans Administration

Bonjour,

Je souhaiterai spécifier le serveur NTP à utiliser dans SVC.

Par contre, dès que j'active l'option dans svc-configurator, j'obtiens le message suivant :
SVC must have an access to internet to be synchronized.
Et pas de possibilité de spécifier l'IP du serveur à utiliser. Bien entendu, notre SVC n'a aucun accès internet.

Une recherche sur le terme NTP dans le guide d'administration SVC ne rapporte aucun résultat.

 

Du coup, comment faire pour spécifier l'IP du serveur NTP à utiliser ?

Merci d'avance,
Cordialement.

Résolue

STORMSHIELD

Posée par Emery Mbazou dans Administration

Bonjour, je suis en  stage et on m'a confié un firewall stormshield SN300 que je dois mettre en place et autoriser l'accès internet aux PC du sous réseau.

- je dispose de deux adresses ip publique, une connectée à l'interface OUT (41.159.X.141)  de mon firewall et l'autre est celle du Gateway (41.159.X.137) connecté au Firewall)

- Mon interface IN à une adrèsse IP Privée (192.168.X.0/24)

Filtrage et NAT: j'ai mis any any partout mais rien...

Routage statique, j'ai mis le réseau distant (@ip public), interface IN (192.168.X.150)

Comment faire? Merci d'avance

Résolue

Connexion VPN SSL impossible si accent dans le password

Posée par Didier Fourt dans Administration

Bonjour,

J'utilise le client Stormshiel 2.0 VPN SSL mais impossible d'établir une connexion si le mot de passe contient un accent.

J'ai le message suivant : "Unable to connect to UTM : User not allowed"

Mon firewall est un Stormshield SN710 v3.0.3

Pouvez-vous m'aider ?

Par la même occasion, impossible de trouver la version 2.1 du client sur mon interface client Stormshiel

Didier

Ouverte

Suppression des logs car disque plein

Publiée par Thomas Chevallier dans Administration

Bonjour,

Je constate chez un client que le disque de son arkoon est plein:

-----------------------------
Sysmon Alarm :
Name : /var usage
Type : DISK-USAGE
State : RED
Date : Fri Jun 30 08:50:48 CEST 2017
Description : Filesystem is 99% full

OK: Numéro de version calculé
ERR: failed to add data: [Errno 28] No space left on device
ERR: failed to add data: failed to update refcount to 1: [Errno 28] No space left on device

 

Du coup,  les outils habituellement disponibles dans le Monitoring ne s'affichent pas et je ne peux pas effectuer de sauvegarde de la config en l'état.

Avez vous des commandes "putty" à me faire passer pour effectuer le nettoyage necessaire sans tout casser?

Je vous remercie pour votre retour.

Cordialement

Thomas Chevallier

 

Non résolue

Alarmes DNS

Posée par Siegfried M. dans Administration

Bonjour,

Depuis la mise à jour en V3 (3.1.2), j'ai beaucoup d'alertes de ce type:

DNS id spoofing

Champ query DNS contradictoire

Savez vous d'ou cela peut provenir?

Merci.

Résolue

Internet/routage

Posée par Sébastien Malescot dans Administration

Bonjour à tous je viens poster aujourd'hui car j'ai un petit problème sur mon firewall stormshield SN 700 je m'explique :

 

je viens de paramétrer une interface lan relié à un vlan pour brancher un Wifi Visiteur jusque le pas de soucis. 

par contre dés que je me connecte à mon réseau Wifi je n'arrive pas à avoir internet j'ai tout essayer sur l'interface et le réseau même avec la règle suivante impossibilité d'avoir internet.

Si quelqu'un à une idées je suis preneur.

 ps : quand je fais les bonnes règles sur le firewall j'ai accés à tout mon lan tout ping correctement etcc

 

Merci d'avance.

A bientôt.

Cordialement

Non résolue

Stormshield, QoS

Posée par Jean Korn dans Administration

Bonjour,

Grâce toujours à vos bons conseils, j'arrive à la fin de mon paramétrage 

 

je dois maintenant mettre en place de la QoS pour de la VoIP.

J'ai fait la demande au niveau de l'opérateur.

Au niveau de mes 2 Stormshield, comment faire pour mettre en place  du "QoS niveau 3 DiffServ Best Effort" demandé par notre téléphoniste ?

 

j'ai bien vu comment  appliquer la règle :

Configuration->politique de sécurité->Filtrage et Nat -> sélection de la règle -> Action -> Qualité de service

Pour créer la file d'attente, "Configuration->politique de sécurité->Qualité de service".

Mais comment la paramétrer ?

Merci

Résolue

Stormshield, VPN et DHCP

Posée par Jean Korn dans Administration

Bonjour

Grâce à vos bons conseils, j'ai réussi à parametrer les 2 netasq pour qu'il communique ensemble.

j'ai donc :

Site n°1 : vlan_5 : 10.5.0.0/24
Site n°2 : vlan_5 : 192.168.5.0/24

 

Maintenant, comment faire pour que les hosts situés sur le site n°2 obtienne un IP. Le serveur DHCP etant situé sur le site n°1 ?

Merci pour vos precieux conseils.

Résolue

Stormshield / VLAN / VPN

Posée par Jean Korn dans Administration

Bonjour, 
 
je possède sur le site n°1 un VLAN_5 (192.168.5.0/24) 
je possède sut le site n°2 un VLAN_5 (192.168.5.0/24) 
 
J’ai un VPN qui existe entre les 2 sites, malheureusement, je n'arrive pas a faire communiquer mes 2 VLAN ensemble. 
 
Dans la partie VPN des 2 stormshield 
j'ai bien : reseau local : Network_5  - reseau distant : reseau_5 
 
Dans la partie Filtrage et Nat des 2 stormshield 
j'ai une règle : 
"passer - source : reseau_5 - destination Network_5 " 
"passer - source Network_5 - reseau_5" 
 
sur un switch HP du site n°1, j'arrive a pinger un host sur le VLAN_5 situé sur le site n°1 
sur un switch HP du site n°2, j'arrive à pinger un host  du VLAN_5 situé sur le site n°2 
 
En revanche, je n'arrive pas à pinger un host du VLAN_5 situé sur le site n°2 à partir du VLAN_5 situé sur site n°1 et inversement. 
 
il doit me manquer un truc  
auriez vous une idée ? 
 
Merci

Messages d'alerte