215 Membres 982 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

VPN-SSL avec la PKI Digicert

Posée par Nico59 dans Fonctionnalités et système

Bonjour,

Nous venons de faire l'acquisition d'un cluster SN-2000 (V2.6). Je souhaite affiner la configuration en utilisant la PKI externe DIGICERT (Service proposé par RENATER) pour la partie VPN SSL.

Pour la configuration il faut 2 certificats : 1 serveur et 1 client.

J'ai créé et fait signer ces 2 certificats. J'ai réussi à les importer sans problème.

Le problème apparait en les choississant dans la partie VPN->VPN SSL. Message d'erreur.

Le support Stormshield m'a indiqué en fournissant les logss, que les certificats provonaient de 2 CA differentes.

Le support Digicert m'a confirmé les certificats serveurs provenaient d'une CA et les certificats clients d'une autre CA.

Quelqu'un a déjà fait cette configuration avec Digicert pour le VPN SSL ?

 

Merci

 

Nicolas

 

 

 

 

 

Résolue

Arkoon Stateless et RPF

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je sais que mes questions vont faire hurer les spécialistes de la sécurité mais :

  1. Est il possible de transformer un pare-feu Arkoon (6.0.9) en pare-feu stateless (grossièrement en routeur filtrant).
  2. Est-il aussi possible de désactiver le RPF (Reverse Path Forwarding) ?

Dit autrement, peut importe l'état de la session (ou pseudo session) au niveau du pare-feu (par exemple, le three wayhandshake n'a pas eu lieu) ou l'interface d'entrée du flux, si une règle autorise le paquet, il doit passer.

Contexte : il s'agit de faire passer un flux TCP indifférement à travers deux pare-feu (pas en cluster) ne pouvant échanger leur table de session.

Merci encore à la communauté pour ses réponses.

 

Résolue

Reconfiguration Fast360 v 5.1

Posée par Claude Couillec dans Fonctionnalités et système

Bonjour,

 

J'ai fait l'acquisition de cette appliance d'occasion avec son numéro de série, sa clé d'actvation et j'ai pu récupérer le fichier de licence.Et donc accéder à l'espace client.

1. Depuis le menu rescue je tente de reseter le mot de passe. Après avoir monté toutes les partitions, je reçois le message : "config_card is not corectly mounted". Pas de changement après fsck /dev/sda3 -f qui se termine corrextement.

 

2. J'ai aussi tenté de lancer la procédure init qui échoue à 50% du formatage des partions avec le message "Automatic initialization as failed ..."

Je n'ai aucun besoin de récupérer la configuration (qui n'a pas été affacée par le vendseur), comment puis je réinitialiser complètement l'appliance ?

 

Merci.

 

Résolue

Problème d'authentification Stormshield Global Administration

Posée par J 94 dans Fonctionnalités et système

Bonjour,

Madame,Monsieur,

Comme il est écrit dans le Titre, j'ai un problème de connexion sur mon Stormshield SN200 en passant par le Stormshield Global Administration.

Je m'explique j'ai fait un test pour une installation futur pour voir si j'arrivais à prendre la main sur mon équipement Stormshield à travers la suite d'administration Stormshield à partir d'un autre réseau et cela à fonctionné.

Je viens d'installer mon équipement derriere un routeur et là quand j'essaye de me connecter via Stromshield Global Administration le message reste sur authentification et me dit echec de l'authentification  (voir ci dessous) .

Je ne comprends pas pourquoi cela ne marche pas parce que en ssh j'arrive à prendre la main à partir de mon poste .J'ai vérifié ma route et elle est bonne,ma config au niveau de l'administration du firewall est bien renseigné ,ma regle de filtrage qui me permet de prendre la main à distance sur mon interface firewall out avec un port de destination...

Voir la suite
Résolue

Stormshield Event Reporter

Posée par Stephane Valibouse dans Fonctionnalités et système

Bonjour à tous,

on me demande de remonter l'activité web d'un collaborateur sur des périodes données.

je me suis dit que ca aller être très simple grave à l'outil Event Reporer sauf que  ce n'est pas le cas. j'ai pourtant bien renseigné ma période, filtré sur l'adresse IP j'ai meme ajouté la mac pour etre sur, j'ai fait du regroupement pour plus de lisibilité sauf que les résultats sont plutot bizarre.

je fais un selection manuelle pour les dates et il ne m'affiche pas toutes les dates consultées alors que je sais que cette personne fait de l'internet tous les jours.

Il m'annonce bien un nombre de page mais quand je les balaye certaines sont vides et d'autres non.

je me suis donc dit que j'allais exporter l'ensemble du résultat sur Excel sauf qu'il n'exporte pas toutes les pages d'un coup, mais uniquement celle en cours de consultation.

je suis decu par l'outil car il présente bien et ne semble pas compliqué seulement il ne fait pas vraiment son job à mon sens.

Voir la suite
Non résolue

Translation sortante

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

J'ai un réseau d'adresse IP publique qui n'est affecté à aucune interface réseau d'un pare-feu arkoon (6.0.9). Le routeur de l'opérateur route ce réseau public sur l'IP de passerelle externe de l'arkoon.

Je souhaite utiliser sur mes arkoon une adresses IP publique unique pour gérer les translations d'adresse IP sortantes des postes internes pour leur navigation web.

Pour cela, j'ai configurer une règle dans laquelle au niveau de l'action j'ai précisé une tranlation d'adresse source avec l'IP concerné.
Le reste de la règle est classique :
- source IP : réseau des poste de travail ;
- destination : any ;
- service : HTTP.

Bien que cette configuration fonctionne parfaitement, j'ai un warning :
WAR-0000004120 :  N-1 translation address xxx.xxx.xxx.xxx does not belong to any know appliance's subnet.

Comment me débarrasser de ce warning ?

Est-ce que cela peut poser un problème de sécurité ?

Merci d'avance pour votre aide.

Non résolue

Perte de Connexion VPN, Besoin d'un Chamane

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Comme le titre le laisse présager, cela ne va pas être simple, mais on ne sait jamais.

J'ai un VPN ipsec entre un arkoon P1206 en version 6.04 et un zyxel USG 40 connecté à internet par un modem ADSL Dlink DSL320B(Je sais c'est pas bien ;) ).

Le vpn fonctionne normalement sauf que tous les mercredi à 15h10, il tombe et ne remonte pas. Si on redémarre le zyxel, il remonte. Si on redémarre le modeme ADSL, il remonte également. Sur mon Arkoon j'ai d'autres VPN Ipsec , mais avec lesquels je ne rencontre pas de problèmes (Mais ce ne sont pas des zyxel).

Cela fait un mois et demi que cela dur et on ne peut pas dire que cela soit une coïncidence. Le reste du temps , vous pouvez couper la connexion adsl (débrancher le cable) , couper le vpn du coté Arkoon, il remonte  ..... mais le mercredi à 15h10 (plus ou moins 1mn) il tombe. Du côté de l'arkoon, on voit qu'il tente de le remonter mais sans succès (idem du coté Zyxel) , comme si il n'avait pas de réponse à la...

Voir la suite
Non résolue

SNS 2.5.2 vers 3

Posée par Siegfried M. dans Fonctionnalités et système

Bonjour,

Est-ce que la mise à jour se fait simplement?

J'utilise le proxy avec SPNEGO, y'a t-il des précautions à prendre par rapport à cela ou c'est transparent?

Merci ;)

Non résolue

Communication NAT to NAT Stormshield

Posée par Theo Quennehen dans Fonctionnalités et système

Bonjour, 

Je souhaiterai faire communiquer deux serveurs entre eux via leur IP publique. Les deux serveurs sont dans un LAN (le même) et leur IP interne est en NAT en 1:1.

Les serveurs sont bien joignable depuis l’extérieur mais impossible de communiquer entre eux via les ip publique (ping @ip-pub-srv1 -> @ip-pub-srv2)

Savez-vous si ce fonctionnement est possible avec des firewall Stormshield v200 (VM) ? il y a t-il une configuration particulière appliquer ?

Merci beaucoup pour votre aide.

Théo

 

Résolue

NAT LOOPBACK SN300

Posée par Laurent H dans Fonctionnalités et système

Bonjour,

j'ai le besoin suivant :

Un pc nomade de mon entreprise, qui doit se connecter sur une appli du serveur qui se trouve sur le lan de l'entreprise.

 

Tout est parfaitement fonctionnel à l'exterieur, rêgle PAT IPPUB:PORTEXT => Ip privée:portINT

 

Cependant, pour diverses raisons, il est impossible de parametrer plusieurs connexions sur l'appli du pc, et donc, quand le pc nomade se retrouve sur notre réseau interne, il essaie toujours se connecter sur le serveur interne, mais donc via l'ip pub:PortEXT.

Ce qui est du NATloopback, et est apparemment bloqué sur le SN.

Quelle solution me proposez vous pour autoriser ce flux ?

 

Merci d'avance !

Laurent.

 

 

 

 

Résolue

Probleme ClamAV, Base URL Embarquée et Mise à jour Firmware

Posée par Cyrille Mus dans Fonctionnalités et système

Bonjour,

Depuis la fin du support, je n'ai plus accès à ces 2 modules.

Alors en regardant la brochure, je vois qu'ils font partie du Sécurité Unifiée Standarf (UTM Security Pack), j'ai demandé un devis pour cette licence et on me dit que c'est la licence de base et ils me proposent la premium ...

Comment dois-je faire pour que ça fonctionne de base ?

 

 Bien cordialement,

Cyrille

 

Edit : Pour information c'est un Stormshield SN700

Résolue

Migration U250 vers SN2000

Posée par Amak Dia dans Fonctionnalités et système

Bonjour,

J'ai un firewall Netasq U250 en version 9.1.4.1 et je souhaite migrer en stormshield SN2000.

Je ne peux pas donc pas restaurer la configuration de l'U250 sur le SN2000.

Existe t-il une procédure pour effectuer cette migration ?

Merci.

 

Résolue

Stormshield SN200 - Espace disque plein

Posée par Tysa dans Fonctionnalités et système

Bonjour,

Je dispose d'un Stormshield SN200. Lors de la consultation des règles définies dans le par-feu, j'ai voulu étendre une catégorie. Le problème est que le pare-feu m'a renvoyé une erreur me disant qu'il ne peut lire la configuration. Les détails ci-desous :

"Erreur serverd ret=200 code=00101081 msg=Echec de lecture de configuration Commande : config filter rule addsep collapse=1 color=c0c0c0 comment="VLAN x" index=1 global=0 type=filter position=1 update=1" Lors de la consultation des journaux, j'ai pu voir que le pare-feu m'annoncait que ma partition /var était pleine à 108%.

Je ne peux plus créer, modifier ou supprimer de règles.

Comment faire pour gagner de l'espace sur ce disque ?

En vous remerciant d'avance.

Non résolue

Ping réseau distant via IPSEC depuis ssh stormshield

Posée par Jean G. dans Fonctionnalités et système

Bonjour,

Je mets en place le routage via PBR sur des SN200 & SN500, avec des VTIs.
Les flux réseaux sont correctement routés lorsque qu'ils viennent des postes derrière les SN.
Mais lorsque que les flux réseaux viennent de Stormshield en lui-même (ping en ssh, sauvegarde automatique (sur serveur derrière tunnel IPSEC), consultation ldap, ...) les règles PBR ne sont plus pris en compte, il faut spécifier une ip source au ping :

Pour l'exemple :
2 réseaux :
192.168.1.0/24 (IP Stormshield 192.168.1.254) <- site centrale avec annuaire ldap, serveur de sauvegarde, etc
192.168.2.0/24 (IP Stormshield 192.168.2.254)
Relié via tunnel IPSEC & VTI
Fonctionnement OK avec les objets routeurs depuis les postes des 2 réseaux.

Mais lorsque je suis en ssh sur le stormshield distant (192.168.2.254) :
ping -S 192.168.2.254 192.168.1.254 -> OK
ping 192.168.1.254 -> pas de réponse

Avez-vous déjà rencontré ce cas ?
Y'a-t'il une solution ?

Merci à vous

Jean G.

Résolue

Objet Routeur et load Balancing

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

D'habitude , lorsque je configure 2 connexions internet sur un boitier stormshield, j'affecte une connexion à chaque port réseau. La j'ai un sn200 qui n'a donc que 3 zones. Une est affectée à un réseau wifi invité, une autre au Lan et la troisième est  affectée à une connexion Internet de type ADSL à travers un routeur externe (box sfr)

Je regarde pour mettre une connexion SDSL sur mon équipement. Mais comme je n'ai plus de port disponible, je pensais:

Je mets un switch entre la box sfr et mon sn200. Je branche mon routeur SDSL sur mon switch. Sur mon  SN200 sur l'interface "out" (ou il y a déjà mon adsl) je rajoute l'ip me permettant de communiquer avec le routeur SDSL

Ensuite je créé un objet routeur  dans lequel je place mes 2 passerelles correspondant à la box SFR et à l'ip du routeur SDSL.

Biensur , j'aurai créé 2 règles de NAT pour identifier l'adresse source ADSl et SDSL après translation.

Est ce que je peux utiliser mon routeur ainsi constitué...

Voir la suite
Résolue

Big Brother is watching you ?

Posée par Splinter dans Fonctionnalités et système

Bonsoir à tous,

 

j'ai découvert par hasard que dans la liste des objets réseaux il existe un objet port nommé "Big Brother" et qui porte le numéro .... 1984  ! c'est un pur hasard ou une grosse référence au roman de Georges ORWELL ?? un easter egg de l'équipe R&d quoi ! :D

 

Résolue

Proleme avec les autorités de certification racines publiques

Posée par Jeremy G. dans Fonctionnalités et système

Bonjour je dispose d'un SN3K en version 2.5, et je dois ajouter des autorités racines publiques à la main pour que le proxy (transparent avec authentification agentSSO et déchiffrement SSL) ne râle pas lors de la navigation.

Pourtant la base des autorités de certification racines est à jour. Je comprends que dès qu'une nouvelle autorité sort, vous ne pouvez pas la mettre le même jour dans la base. Il s'agit dans mon cas d'autorités ayant plusieurs années...

Voici les certificats et les autorités concernés :

  • /C=NL/ST=Noord-Holland/L=Amsterdam/O=TERENA/CN=TERENA SSL CA 3

émis par /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Assured ID Root CA

  • /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G2

émis par /OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign

  • /C=FR/O=DHIMYOTIS/OU=0002 48146308100036/CN=Certigna Services CA

émis par /C=FR/O=Dhimyotis/CN=Certigna

  • /C=FR/postalCode=92230/ST=Hauts-de-Seine/L=GENNEVILLIERS/street=27 AVENUE DES
  • ...
Voir la suite
Résolue

[SN2000] Fichier de configuration OpenVPN

Posée par Julien Durand dans Fonctionnalités et système

Bonjour à tous,

Je rencontre un problème lors de la connexion de mes clients OpenVPN sur Windows.

Le VPN SSL monte très bien, cependant, impossible de faire de résolution DNS avant plusieurs minutes. Le NSLOOKUP fonctionne pourtant très bien.

Pour pallier à ce problème, je renseigne l'option "register-dns" dans le fichier de conf du client (openvpn_client.ovpn). Avec cette option, le client DNS Windows s'enregistre sur le serveur DNS fourni par le SNS, et l'accès aux ressources réseau via leur nom est possible.

Je souhaite donc intégrer l'option "register-dns" dans le fichier de conf du SNS, donc dans le fichier "openvpn_server.conf" (sous la forme de la ligne "push register-dns").

Mon problème est donc celui-ci : où le trouver ? (autre que dans /var/tmp/ ?)

Merci pour vos réponses éclairées !

Cordialement,

Julien

Messages d'alerte