218 Membres 999 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Résolue

MIB Arkoon P-1206

Posée par Bobo Bobo dans Administration

Bonjour,

Je souhaiterai superviser les informations VPN de mon firewall Arkoon P-1206 (version firmware 6.0/12).

Seul problème, je ne trouve pas d'OID qui peuvent correspondre aux informations VPN. J'ai bien trouvé les OID pour supervisier la partie système (cpu, mémoire, trafic, disk...) mais rien concernent les liens VPN...

Où se trouve la MIB qui contient les informations VPN ? Pourquoi je n'ai pas accès à tous les OIDs sur ce matériel ?

Ou est-ce que je peux récupérer ces informations via les traps snmp ?

 

Cordialement.

 

Résolue

relais DHCP sur bridge SN 510 v 2.5.2

Posée par Thierry Gump dans Administration

Bonjour,

j'ai créé un bridge entre deux inerfaces de mon firewall, et je tente en vain d'activer le relais DHCP, il semble que mes requetes ne passent pas le firewall malgré l'activation de 'relais DHCP'.

Savez vous si il faut definir des reglès de filtrage spécifiques pour que les requetes avec le serveur DHCP traverssent le bridge 'normalement' ?

J'ai actuellement de définit dans relais DHCP :

serveur DHCP : adresse de mon serveur (freebox d'un coté du bridge)

interfaces : les deux interfaces de mon bridge.

merci d'avance,

th

Non résolue

SN500 : Objet Routeur avec passerelle opérationnelle mais injoignable

Posée par Alain Bosco dans Administration

Bonjour.

J'ai un SN500 version 2.6.1 avec deux passerelles : 1 accès cablé principal et 1 accès PPPoE VDSL de secours.

Les deux accès fonctionnent normalement lorsque je règle l'un ou l'autre passerelle comme passerelle par défaut.

Lorsque j'utilise un objet routeur l'accès cablé principal est bien indiqué comme "Actif" dans le realtime monitor. Par contre l'accès PPPoE de secours est toujours marqué comme "Non joignable".
En cas de coupure de l'accès principal le basculement sur l'accès de secours ne se fait pas.

J'ai fait beaucoup d'essais. Un truc bizarre est que le realtime monitor indique l'adresse IP publique PPPoe est celle de l'objet automatique "peer" à la place de la vraie adresse IP publique du modem.
Pourtant j'arrive à pinger sans problème la passerelle de secours, aussi bien son adresse IP interne que son adresse IP externe et même l'adresse IP "peer'.

Il y a quelque chose qui peut empêcher la détection d'une passerelle comme étant active ?

Merci.

Résolue

FTP / EPSV

Posée par Michaël dans Administration

Bonjour,

J'ai un flux FTP bloqué par l'analyse FAST : invalid command EPSV

Je ne pense pas que le mode EPSV nous soit utile, mais je n'ai pas la main sur la configuration du FTP (ni côté client, ni côté serveur) pour pouvoir désactiver ce mode.

Existe-t-il une configuration FAST FTP connue permettant d'autoriser ce mode EPSV ?

(Arkoon en V6).

Cordialement.

Résolue

Arkoon Manager erreur de cohérence

Posée par Jpperget dans Administration

Bonjour,

Lorsque je pousse une configuration, sans modification particulière, et sans erreur en faisant vérifier la configuration, j'obtiens toujours une erreur de cohérence en souhaitant installer la configuration.

Appliance (M1000) en HA avec serveur AMC dans la même version que les Appliances (6.0/3)

Rien d'anormal dans les logs sur l'AK1

Sur l'AK2, il y a des erreurs de type (j'ai juste masqué l'iP Lan par *)

Feb  8 17:22:07 ak2 MGT[4587]: sending 'MGT:MSG STATUS SENDALLTOPEER' to 192.168.*.120:1759 failed: 'ERR: 'send: ERR: sending 'MGT:MSG STATUS SETINFOSXML 368fd5ab32d343a9c48411a17e4080b91...' failed: '192.168.*.121: SSL operation SSL_read failed: SSL connection closed by peer'': 368fd5ab32d343a9c48411a17e4080b917ee24665ddcea0ecab5e88e9713d836.d1b8158a63339dc0c4c620d09eff6aafac562e0a92588131874f0eb25c7fd8c9 (info.xml)'

 

Voici le détail sur le manager

 


OK: Numéro de version calculé
OK: '/var/arkoon-amc/lille/tmp/.tmp-akv4.conf'
OK:...

Voir la suite
Résolue

Arkoon Manager: Administrer une 2nde Appliance

Posée par Thibault Guerin dans Administration

Bonjour,

Je suis en train d'installer un VPN entre 2 réseaux pour mon entreprise. J'utilise des Arkoon Fast360 Small Series et Arkoon Manager 6.0-8.

Je n'ai aucun problement à configurer puis administrer la premiere appliance. Seulement je ne sais pas comment ajouter ma deuxiement appliance à ma configuration pour elle aussi configurer ses interfaces etc...(je sais pas si je suis clair)

J'ai bien lu le guide d'administration et sois j'ai des problemes de vue, sois j'ai rien compris.

Serait-il possible au moins que vous m'orientez sur la procédure.

En vous remerciant.

 

Thibault.

Résolue

FAST360 A20 - pb arkoon manager + licence

Posée par Sam dans Administration

Je rencontre quelques difficultés à mettre en service un FAST360, modèle A20.

J'ai installé la version 5.0-28 qui est la dernière version proposée pour cette gamme (modèles AXX).
(les appliances de type XPA étant en fin de vie au 31 décembre 2012)


premier problème : je n'arrive pas à injecter une configuration avec la version 5.0-28 de l'Arkoon manager.
Il a fallu que j'installe la version 5.0-34 de l'Arkoon manager pour laquelle ça fonctionne mais normalement on doit avoir la même version que l'appliance.
Est-ce que ça peut poser problème ?


second problème : je n'arrive pas à obtenir de licence en suivant la procédure sur http://license.arkoon.net.
Après avoir renseigné le serial, activation key, et fourni le fichier license.akr, j'obiens le message d'erreur suivant :
"Error creating license/certificate".

Est-il obligatoire d'avoir une licence sur l'appliance ?
Sans licence, quels services ne fonctionneront pas ?
(les services de base tels que le routage, le firewall...

Voir la suite
Résolue

Arkoon VE monitoring via SNMP

Posée par Jonathan Escolier dans Administration

Bonjour,

Est il possible de monitorer en SNMP la commande cat /proc/arkoon/max_cnx_ve ?

Sur une VE150 (Appliance virtuelle) en version 6.0-4.

Nous supervisons deja avec notre outils interne le IN et le OUT de l'interface LAN.

Dans le scan SNMP on voit les interfaces mais rien concernant le /proc/arkoon
J'ai vu dans la documentation qu'il faut certainement configuré le SNMP, avez vous svp plus de détails à ce sujet ? Des exemples de configuration pour notre cas ?

 

Pour précision, dans la configuration du manager nous avons coché toutes les vues consultables (system, ifaces, proc...) 

 

Merci

Non résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Résolue

Firmware 3.0.2 - HTTPS et OWA

Posée par Syl 54 dans Administration

Bonjour,

Je viens de mettre à jour mon firewall SN300 en version 3.0.2 ( avant : 2.4.2).

depuis je n'arrive plus à accéder au service OWA d'exchange en HTTPS alors que en HTTP ca fonctionne.

Pourquoi ?

Résolue

Proxy transparent autoriser port 8888 en sortie

Posée par Siegfried M. dans Administration

Bonjour,

Je suis sur un SNS 710, j'utilise un proxy transparent.

Je ne sais pas comment autoriser les utilisateurs à se connecter sur un site web utilisant le port 8888.

Si vous avez la solution?

Merci et très belle année à tous!

Résolue

Où récuperer le fichier PKCS#12 ?

Posée par Thibault Guerin dans Administration

Bonjour à tous et merci d'avance pour l'aide que vous pourrez m'apporter.

 

Je vous explique, on m'as demandé d'installer deux arkoon FAST 360 afin de sécuriser un flux.

 

Seulement, et là c'est le drame, je n'y connais pas grand chose.

 

Après avoir procédé à l'initialisation(via Minarkconf) du premier arkoon, j'essayer de le télégéré via arkoon manager, seulement à l'ouverture de session j'ai un prompt me disant que : "l'ouverture du fichier PKCS#12 à échoué. Veuillez vérifier l'emplacement du fichier et le mot de passe utilisé".

Si je ne dis pas de connerie j'ai bien souvenir avoir créé ce fichier durant l'init mais comment le récupérer?

 

En vous remerciant.

 

Thibault

Résolue

update base url

Posée par Karim Achour dans Administration

Bonjour, 

Est-il possible de lancer manuellement une mise à jour de la base d'URL embarquée ? 

Merci

 

Résolue

Redirection 404 Nginx

Posée par Laurent Delafosse dans Administration

Bonjour tout le monde !

 

J'aimerais savoir si il était possible de rediriger les erreurs 404 lorsque l'on utilise le moteur Nginx. Si oui, comment faites vous s'il vous plait ?

 

Merci d'avance de vos réponses,

Laurent.

Résolue

Routage selon port

Posée par Erwan Hermouet dans Administration

Bonjour à tous

 

je possède un Stormshield SN300 avec deux connexions internet

 

Je souhaiterais faire une règle de sortie / routage me permettant d'utiliser 1 connexion spécifique selon le port utilisée. Ex utiliser la connexion2 si la destination est sur le port 80

 

J'ai beau chercher je ne trouve pas comment faire... je pensais que c'était dans routage mais à priori non. Ou alors je m'y prend mal

 

Merci d'avance de vos retours

Résolue

Problème MAJ

Posée par Guillaume V dans Administration

Bonjour à tous,

Je viens vers vous car j'ai une question importante : 

Est-il possible de mettre en V8 un netasq u120 qui est passé en v9 ?

La partion principale et secondaire sont en v9 mais j'ai besoin pour plusieurs raisons de la mettre en v8, si c'est possible merci pour vôtre aide.

 

Cordialement,

Résolue

Tunnel IPSEC avec un routeur endian

Posée par Erwan Hermouet dans Administration

Bonjour

 

nous avons un stormshiel SN300 d'un côté, avec un réseau en 192.168.3.0/24 et un Endian firewall de l'autre avec un réseau en 192.168.1.0/24

 

J'ai monté un tunnel VPN entre les sites, et mon endian me signal que le tunnel est bien connecté, cependant je n'ai aucun ping entre les deux réseau ni les deux passerelles.

 

y'a t'il une manipulation complémentaire à faire sur le stormshiel pour le que nat se fasse ?

 

Merci d'avance de vos retours

Résolue

StormShield - Script avec condition

Posée par xmabille dans Administration

Bonjour,

est il possile de créer un script avec des conditions?

Exemple: un script pour automatiser la configuration des interfaces avec un fichier CSV.

Si variable state= 0, UPDATE address=DHCP

Si variable state=1, UPDATE address=%ETH-IP%

Merci de votre aide

Résolue

VLA ne fonctionne plus :(

Posée par Louis Pereira dans Administration

bonjour,

depuis quelques jours, ma console VLA ne fonctionne plus.

Sur le portail, j'ai bien les SNS qui apparaissent (U500S (V2.5.0), SN3000 (V2.5.2), ainsi que le nombre d'events qui évolue (nombre total et nombre par appliance), mais si j'affiche la page "log view" ou n'importe quelle autre, j'ai un avertissement qui apparait en haut de la page : "No results : there wre no results because no indices were found that match your selected time span".

J'ai testé différentes périodes : 5 dernières minutes, 15 dernières minutes, dernière heure ... sans changement.

Je ne sais s'il y a un rapport, hier j'avais un message qui apparaissait dans la console : "vmsvc[1139][warning][guestinfo] failed to get vmstats" (il n'apparait plus...)

La VM était quasi saturée en mémoire vive, je l'ai upgradée à 3Go de ram au lieu des 2 initialement allouée.

Merci par avance,

Louis

Résolue

prise en main à distance Stormshield sn710

Posée par Karim Achour dans Administration

Bonjour,

Je débute en Stormshield, je rencontre des difficutés en voulant prendre en main à distance un stormshield sn710, lors de l'installation initiale j'ai configuré une adresse ip à l'interface out qui sera commune à toutes les interfaces(mode bridge) cette adresse nous servira à administrer le fw à distance via une interface de management pour les besoins d'un poc. Le firewall est joignable en local via cette adresse mais pas à distance en passant par la gw que j'ai indiquée. Y'aurait-il une règle par défaut qui bloque cet accès ?  De plus, au vu des tests intials qu'on aura à effectuer nous n'aurons pas besoin de connecter l'interface out à internet sauf que à priori c'est une étape nécessaire pour passer l'installation initiale. Serait-il possible de contourner cette étape pour accéder directement à l'interface d'administration ? 

Je vous remercie,

Cordialement,

Messages d'alerte