116 Membres 1127 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Résolue

EXPORT d'objet

Posée par Hubert Hla dans Administration

Bonjour à tous

qq sait -il comment exporter les objets d'un SN700 en V2.3 ? (les machines,les listes url ...)

pour les importer sur un autre

merci

à part la sauvegarde complète bien sur

Non résolue

OverTheBox et SN300

Posée par Joffrey B dans Administration

Bonjour,

Nous avons actuellement un stormshield SN300 avec 2 liens internet (fibre + ovh) et deux boxes 4G (oui nous sommes dans le désert numérique) configurés pour faire de la répartition de charge. Nous allons nous munir de la solution OVERTHEBOX d'OVH d'ici la semaine prochaine pour aggréger les 4 connexions. Toutefois je ne vois pas trop quelles configurations appliquées  pour faire fonctionner le tout. 

Je vous remercie d'avance et vous souhaite une bonne fin de journée. 

Résolue

Stormshield et multicast

Posée par Yannick Dalencon dans Administration

Bonjour,

J"essaye tant bien que mal de faire du routage multicast statique sur un SN300 en v3.2.1

J'ai défini l'objet que représente mon groupe multicast, l'interface source et celle de destination. Cependant ça ne fonctionne pas.

Bien sur le routage multicast statique est activé, et ma règle est activée aussi.

Ai-je manqué quelques choses?

 

Merci

Résolue

Admin From et ajout d'une route statique

Posée par Yann Le Normand dans Administration

Bonjour,

Je souhaite administrer un Arkoon FAST 360 PS-4 version 6.0/12 depuis mon poste de travail et j'ai donc renseigné la plage réseau dans le "Admin From" de Minarkconf sans préciser l'interface d'entrée.

Cependant, pour que cela fonctionne, il faut absolument ajouter une route statique sur le pare-feu pour que les flux d'admin repasse par la même interface.

Mon PC a l'IP 10.44.202.221 et l'interface eth0 de l'Arkoon par laquelle je souhaite l'administrer 172.20.6.32.

Sans la route statique, voici le tcpdump sur l'interface d'entrée des flux d'admin :

root@constantine:/root> tcpdump -n -i eth0 host 10.44.202.221
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:53:51.733430 IP 10.44.202.221.49709 > 172.20.6.32.822: S 3766689029:3766689029(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
10:53:51.736643 arp who-has 10.44.202.221 tell 172.20.6.32
10:53:52.736673 arp...

Voir la suite
Résolue

Downgrade de version Arkoon

Posée par Lgrain25 dans Administration

Bonjour,

J'ai un arkoon en version 5 qui est maitre de configuration. Celui-ci a laché et j'ai recu un arkoon de remplacement mais qui est en version 6. Je n'arrive pas à trouver sur Arkoon.net de procédure pour le downgrade version.

Y aurait-il quelqu'un qui aurait le lien ?

Merci d'avance et bonne journée.

Résolue

Ressources arkoon

Posée par Benoît B dans Administration

Bonjour,

Clients arkoon depuis 5 ans, nous allons basculer prochainement sur stormshield.

Notre parc arkoon n'avait pas été mis à jour depuis la 6.0.2 et je cherche actuellement à récuperer les dernières version fast360, ainsi que l'admin suite, mais il est maintenant impossible d'accèder au site arkoon https://support-https.arkoon.net/

Les outils d'admin et les versions sont elles encore disponibles?

 

Merci d'avance

--

Benoît

Résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Classification d'une URL

Posée par Karl dans Administration

Bonjour,

Notre stormshield classe l'url d'un webmail interne en tant que "Malware".

Avant de mettre cette adresse en liste blanche, j'aurais voulu savoir si il était possible de connaitre la raison pour laquelle le SNS effectuait cette classification.

Merci

Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

SSH TCP Forwarding

Posée par Entrax Entrax dans Administration

Hello,

 

Est-il possible de configurer la directive AllowTcpForwarding dans la configuration SSH de boitiers Stormshield SN ?

Je souhaite accèder au portail d'administration via tunnel SSH (ssh -L port_local:localhost:443 ....).

Cependant, je n'ai rien trouvé pour configurer le TCP Forwarding dans la WebUI et le fichier /etc/ssh/sshd_config est réécris au reboot.

Sans cela , un joli :

'channel 3: open failed: administratively prohibited: open failed'

 

Thanks,

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Non résolue

Configuration QoS

Posée par Zbigniew Luszczyk dans Administration

Bonjour à tous

L'équipement concerné est un SN2000.

Le problème: la bande passante Internet saturée.

Nous avons quelques applications en mode SaaS. Il arrive que le temps de réponse de ces applications est inacceptable. Je me suis aperçu que certains utilisateurs saturent la bande passante Internet. De quelle façon je peux garantir la bande passante pour les applications SaaS ?

Merci d’avance pour votre aide.

Résolue

SN310 et H323

Posée par Alain Bosco dans Administration

Bonjour.

Suite à la mise en place d'un SN310 firewall 3.2.1 je rencontre des problèmes de visioconférence en H323.
A priori avant, avec un routeur plus basique, il n'y avait pas de problème particulier.

Lors d'une visioconférence le son se coupe après quelques minutes environ.
Un redémarrage de la visioconférence résout le problème pour à nouveau quelques minutes.
Ma config me semble correcte.

J'ai réalisé plusieurs essais (avec ou sans QOS, etc ...) et le problème persiste.

Avez-vous une retour d'expérience sur le H323 avec ces produits ?


 

Résolue

Importation blacklist

Posée par Nico ... dans Administration

Bonjour,

 

nosus testons des Stormshield SN510 afin de remplacer nos Arkoon.

Nous deovons faire appliquer des listes de blocages url et d'@ip qui représentent des fichiers de 5000 lignes environ.

Sur les Arkoon nous arrivions à imoporter ces fichiers en .csv, mais je n'ai pas trouvé comment faire sur les Stormshield.

Merci d'avance pour votre aide.

Cordialement, Nicolas.

Non résolue

Portail captif LAN/WAN/WIFI

Posée par Karl dans Administration

Bonjour,

Je n'arrive pas à configurer "proporement" mes portails d'authentifications sur mes appliances Stormshield. Quelque-chose doit m'échaper.

Voici la configuration que nous déployons régulièrement sur nos sites :

Cluster de SN300 ou 500

Une interface WAN, pour sortir sur internet

Une interface LAN, qui donne accès au réseau d'entreprise via un VPN IPsec

Une interface Wifi, pour offrir un accès internet grand public, non connecté au réseau d'entreprise.

J'aimerais mettre en place, dans un premier temps, une authentification sur les accès LAN et WIFI.

Pour l'accès LAN, j'utilise la méthode SSO et j'aimerais proposer le portail captif pour des ordinateurs hors domaines qui viennent se connecter sur le LAN.

Pour l'accès WIFI, j'utilise la méthode Guest.

Et c'est là que ça se corse...

Le portail captif a un serveur ssl porté par un certificat wildcard digicert (*.maisadour.com) [Dans Authentification -> Portail captif] afin que les intervenants externes puisse se...

Voir la suite
Résolue

Certificat SMC/SVC

Posée par Michaël dans Administration

Bonjour,

Je ne trouve pas comment intégrer un certificat issu d'une PKI externe dans SMC et SVC (Je parle du certificat qui est présenté lors de la connexion à la page web d'admin).

 

J'ai bien trouvé (sur SMC) une commande nommée fwadmin-install-certificate, mais l'aide de cette commande indique que c'est pour envoyer un certificat sur un firewall SNS, et non pour SMC/SVC.

Je n'ai trouvé aucun chapitre dans le guide d'administration qui semble traiter de ce sujet, mais je suis peut-être passé à côté.

Comment faire SVP ?

 

Cordialement.

Non résolue

Nagios / SNMP

Posée par Michaël dans Administration

Bonjour,

Je monitore des Arkoon (Performance, V6) via Nagios. J'utilise des scripts qui avaient été fournis par Arkoon il y a quelques temps et tout fonctionnait bien jusqu'à ce que je commence à migrer en SNMP v3.

 

Je récupère la liste des services en cours d'exécution ici : iso.3.6.1.2.1.25.4.2.1.2 (je ne l'ai pas inventé, c'était dans les scripts fournis par Arkoon).

Hors, dès que je passe un firewall en SNMPv3, cet OID ne remonte plus le service pluto, alors qu'en SNMPv2, le service est bien remonté.

Je n'ai pas ce soucis avec les autres services que je monitore (mysqld et smtpfwdd), ni même avec la surveillance de la taille des partitions. Seul pluto pose problème.

 

Est-ce qu'il y a une astuce pour pouvoir surveiller le service pluto en SNMPv3 ?

 

Merci d'avance,
Cordialement.

Résolue

NTP personnalisé sur SVC

Posée par Michaël dans Administration

Bonjour,

Je souhaiterai spécifier le serveur NTP à utiliser dans SVC.

Par contre, dès que j'active l'option dans svc-configurator, j'obtiens le message suivant :
SVC must have an access to internet to be synchronized.
Et pas de possibilité de spécifier l'IP du serveur à utiliser. Bien entendu, notre SVC n'a aucun accès internet.

Une recherche sur le terme NTP dans le guide d'administration SVC ne rapporte aucun résultat.

 

Du coup, comment faire pour spécifier l'IP du serveur NTP à utiliser ?

Merci d'avance,
Cordialement.

Résolue

STORMSHIELD

Posée par Emery Mbazou dans Administration

Bonjour, je suis en  stage et on m'a confié un firewall stormshield SN300 que je dois mettre en place et autoriser l'accès internet aux PC du sous réseau.

- je dispose de deux adresses ip publique, une connectée à l'interface OUT (41.159.X.141)  de mon firewall et l'autre est celle du Gateway (41.159.X.137) connecté au Firewall)

- Mon interface IN à une adrèsse IP Privée (192.168.X.0/24)

Filtrage et NAT: j'ai mis any any partout mais rien...

Routage statique, j'ai mis le réseau distant (@ip public), interface IN (192.168.X.150)

Comment faire? Merci d'avance

Messages d'alerte