215 Membres 982 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Résolue

Firmware 3.0.2 - HTTPS et OWA

Posée par Syl 54 dans Administration

Bonjour,

Je viens de mettre à jour mon firewall SN300 en version 3.0.2 ( avant : 2.4.2).

depuis je n'arrive plus à accéder au service OWA d'exchange en HTTPS alors que en HTTP ca fonctionne.

Pourquoi ?

Résolue

Proxy transparent autoriser port 8888 en sortie

Posée par Siegfried M. dans Administration

Bonjour,

Je suis sur un SNS 710, j'utilise un proxy transparent.

Je ne sais pas comment autoriser les utilisateurs à se connecter sur un site web utilisant le port 8888.

Si vous avez la solution?

Merci et très belle année à tous!

Résolue

Où récuperer le fichier PKCS#12 ?

Posée par Thibault Guerin dans Administration

Bonjour à tous et merci d'avance pour l'aide que vous pourrez m'apporter.

 

Je vous explique, on m'as demandé d'installer deux arkoon FAST 360 afin de sécuriser un flux.

 

Seulement, et là c'est le drame, je n'y connais pas grand chose.

 

Après avoir procédé à l'initialisation(via Minarkconf) du premier arkoon, j'essayer de le télégéré via arkoon manager, seulement à l'ouverture de session j'ai un prompt me disant que : "l'ouverture du fichier PKCS#12 à échoué. Veuillez vérifier l'emplacement du fichier et le mot de passe utilisé".

Si je ne dis pas de connerie j'ai bien souvenir avoir créé ce fichier durant l'init mais comment le récupérer?

 

En vous remerciant.

 

Thibault

Résolue

update base url

Posée par Karim Achour dans Administration

Bonjour, 

Est-il possible de lancer manuellement une mise à jour de la base d'URL embarquée ? 

Merci

 

Résolue

Redirection 404 Nginx

Posée par Laurent Delafosse dans Administration

Bonjour tout le monde !

 

J'aimerais savoir si il était possible de rediriger les erreurs 404 lorsque l'on utilise le moteur Nginx. Si oui, comment faites vous s'il vous plait ?

 

Merci d'avance de vos réponses,

Laurent.

Résolue

Routage selon port

Posée par Erwan Hermouet dans Administration

Bonjour à tous

 

je possède un Stormshield SN300 avec deux connexions internet

 

Je souhaiterais faire une règle de sortie / routage me permettant d'utiliser 1 connexion spécifique selon le port utilisée. Ex utiliser la connexion2 si la destination est sur le port 80

 

J'ai beau chercher je ne trouve pas comment faire... je pensais que c'était dans routage mais à priori non. Ou alors je m'y prend mal

 

Merci d'avance de vos retours

Résolue

Problème MAJ

Posée par Guillaume V dans Administration

Bonjour à tous,

Je viens vers vous car j'ai une question importante : 

Est-il possible de mettre en V8 un netasq u120 qui est passé en v9 ?

La partion principale et secondaire sont en v9 mais j'ai besoin pour plusieurs raisons de la mettre en v8, si c'est possible merci pour vôtre aide.

 

Cordialement,

Résolue

Tunnel IPSEC avec un routeur endian

Posée par Erwan Hermouet dans Administration

Bonjour

 

nous avons un stormshiel SN300 d'un côté, avec un réseau en 192.168.3.0/24 et un Endian firewall de l'autre avec un réseau en 192.168.1.0/24

 

J'ai monté un tunnel VPN entre les sites, et mon endian me signal que le tunnel est bien connecté, cependant je n'ai aucun ping entre les deux réseau ni les deux passerelles.

 

y'a t'il une manipulation complémentaire à faire sur le stormshiel pour le que nat se fasse ?

 

Merci d'avance de vos retours

Résolue

StormShield - Script avec condition

Posée par xmabille dans Administration

Bonjour,

est il possile de créer un script avec des conditions?

Exemple: un script pour automatiser la configuration des interfaces avec un fichier CSV.

Si variable state= 0, UPDATE address=DHCP

Si variable state=1, UPDATE address=%ETH-IP%

Merci de votre aide

Résolue

VLA ne fonctionne plus :(

Posée par Louis Pereira dans Administration

bonjour,

depuis quelques jours, ma console VLA ne fonctionne plus.

Sur le portail, j'ai bien les SNS qui apparaissent (U500S (V2.5.0), SN3000 (V2.5.2), ainsi que le nombre d'events qui évolue (nombre total et nombre par appliance), mais si j'affiche la page "log view" ou n'importe quelle autre, j'ai un avertissement qui apparait en haut de la page : "No results : there wre no results because no indices were found that match your selected time span".

J'ai testé différentes périodes : 5 dernières minutes, 15 dernières minutes, dernière heure ... sans changement.

Je ne sais s'il y a un rapport, hier j'avais un message qui apparaissait dans la console : "vmsvc[1139][warning][guestinfo] failed to get vmstats" (il n'apparait plus...)

La VM était quasi saturée en mémoire vive, je l'ai upgradée à 3Go de ram au lieu des 2 initialement allouée.

Merci par avance,

Louis

Résolue

prise en main à distance Stormshield sn710

Posée par Karim Achour dans Administration

Bonjour,

Je débute en Stormshield, je rencontre des difficutés en voulant prendre en main à distance un stormshield sn710, lors de l'installation initiale j'ai configuré une adresse ip à l'interface out qui sera commune à toutes les interfaces(mode bridge) cette adresse nous servira à administrer le fw à distance via une interface de management pour les besoins d'un poc. Le firewall est joignable en local via cette adresse mais pas à distance en passant par la gw que j'ai indiquée. Y'aurait-il une règle par défaut qui bloque cet accès ?  De plus, au vu des tests intials qu'on aura à effectuer nous n'aurons pas besoin de connecter l'interface out à internet sauf que à priori c'est une étape nécessaire pour passer l'installation initiale. Serait-il possible de contourner cette étape pour accéder directement à l'interface d'administration ? 

Je vous remercie,

Cordialement,

Résolue

Admin From

Posée par Michaël dans Administration

Bonjour,

Je dois mettre à jour l'admin from de beaucoup de firewalls, et j'aimerais pouvoir le faire sans passer par Minarkconf.

Puis-je le faire en modifiant directement le fichier /config_card/etc/network/admin_from ?

Si oui, est-ce qu'il y a un service à redémarrer pour la prise en compte ?

 

Merci d'avance,
Cordialement.

Résolue

Moniteur temps réel V 2.4

Posée par Hubert Hla dans Administration

Bonjour

avec le Monitor RealTime version 2.4

quelque soit l'adresse que j'essai de joindre j'ai cette erreur

alors qu'avec la version 1.2 tout va bien .          une idée ???

PS : je suis sur un PC Corporate (W7 ) mais admin de ma machine qd mème.

PS2 : la suite d'amin 2.4 installée sur un PC "normal" : tout ok !!!!

merci de vos réponses;         bon WE à vous

Résolue

Comportement étrange / translation d'adresse ?

Posée par Louis Pereira dans Administration

Bonsoir,

Il m'est arrivé quelques rares fois d'observer un comportement étrange entre 2 firewalls. Une sorte de translation d'adresse alors que je n'en fais pas. Voici le contexte :

Je dispose de 2 sites :

  • un site A avec un Netasq U500S (V2.5.0) (réseau non naté)
  • un site B avec un Stormshield SN3000 (V2.3.3) (réseau non naté)

Depuis le site A, un client tente d'accéder à 2 sites web herbergés sur 2 serveurs web du site B. 

Les 2 firewalls sont configurés (2 règles de filtrages sur les 2 pare-feu) pour autoriser les accès web sur le port 80 depuis les clients du site A vers les 2 serveurs S1 et S2 du site B.

Le premier accès fonctionne bien. Le second accès ne fonctionne pas. En regardant les logs sur le parefeu du site A, je vois bien le flux sortir avec comme IP source l'adresse du client du site 1 et IP destination l'adresse du serveur S2 du site B. Mais en regardant les flux sur le parfeu du site B je vois arriver mon flux bloqué en entrant avec comme IP source...

Voir la suite
Résolue

Arkoon problème de NAT

Posée par Anonyme dans Administration

Bonjour,

Je rencontre un problème de NAT sur un Arkoon en v5.0, une règle ne semble pas fonctionner.

Nous avons 2 objets identiques utilisés dans des règles différentes :

 

Objet 1/

Celui-ci NAT la source en provenance du WAN, vers une machine du LAN

La règle d'autorisation de ce flux se situe bien avant celle concernant l'objet 2

 

Objet 2/

L'adresse IP de cet objet est la même que l'objet 1, sans NAT

La règle d'autorisation se situe bien après celle de l'objet 1

 

La question est :

Est-ce que l'Arkoon est bien capable de gérer 2 objets identiques utilisés dans des règles différentes ? En sachant, que cela fonctionnait et que nous trouvons difficilement la cause du problème aujourd'hui.

 

Merci pour votre aide, et bonne journée

Non résolue

Impossible de se connecter a un SN500 avec nsrpc depuis Windows 2008 R2

Posée par Jean-Hervé Rivard dans Administration

Bonjour,

Je ne parviens pas utiliser nsrpc pour executer des taches d'administration depuis un serveur Windows 2008 R2

Voici la commande :

nsrpc_20140717.exe admin:mdp@IP

Le SN5OO répond :

Welcome to Cipher/SRP client
Connecting to IP...
Check server signature failed

De quelle signature s'agit'il ?

Que faire ?

Je précise que je me connecte sans problème en SSH, y compris en automatique, via un script en utilisant la clef prive "admin"

Merci pour votre aide

Résolue

Mise a jour globale

Posée par Splinter dans Administration

Bonjour,

J'administre 16 boitiers Stormshield et je dois a chaque fois me connecter sur chaque boitier pour faire les mises a jour de l'asq , existe t'il une manière de créer une tache qui enverrait la mise a jour a tous mes boitiers ? peut-etre via le global admin ?

 

Merci d'avance pour vos réponses éclairantes.

Résolue

service winbindd failled

Posée par Florent Pellard dans Administration

Bonjour,

depuis ce matin nous avons un matériel (Fast360) qui nous présente un défaut au niveau du service winbindd.

Le service présente le status failled et impossible de le redemarrer.

Nous avons essayé via le monitoring, via putty, en redemarrant à distance, et physiquement mais rien n'y fait ce service ne pars pas .

que pouvons nous faire?

Obi wan Kenobi vous êtes .... euh pardon je m'égare mais vous aurez compris l'idée...

Florent

Résolue

Import user AD

Posée par Jb dans Administration

Bonjour,

Depuis quelques temps, lorsque je souhaite importer des utilisateurs depuis mon serveur AD (LDAP) sur l'AK Manager, rien ne se passe.

Je passe par le chemin suivant : Authentification > Utilisateurs > Importer depuis un serveur LDAP > Sélection du serveur / importer depuis le FAST360 ... il ne se passe rien (liste vide).

Le serveur fonctionne et la communication avec le FAST360 également (une authentification sur le relais HTTP est en place).

Versions AKManager 6.0/9 - 6.0/10

Pouvez-vous m'aider ?

Cordialement,

JB

Messages d'alerte