120 Membres 1177 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Résolue

SPNEGO.BAT ??????????

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaiterai faire un labo pour tester l'authentification transparente SPNEGO.

J'ai bien trouvé la documentation Stomshield sipulant : "Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?")."

Depuis mon espace : MyStormshield.eu, je ne trouve pas cette documentation ni le script.

Est-ce que quelqu'un pourrait m'aider ????

Merci d'avance.

Malcolm

Non résolue

VPN IPsec vers SRX Juniper

Posée par Dzirii Djahir dans Fonctionnalités et système

Bonsoir à tous!

Cela fait maintenant depuis 1 semaine que j'essaie d'établir un tunnel VPN IPSec fonctionnel de bout en bout avec mon hébergeur.

De mon coté, j'ai un Stormshield U800 en version 2.5, mon adressage est en 10.78.0.0/14.

Coté hébergeur, il possède un SRX Juniper et son adressage est en 192.168.300.0/24.

Le tunnel s'établit correctement, j'arrive à pigner sa passerelle mais depuis cette dernière impossible de pigner mon réseau.

Les flux sont évidemment ouvert de mon coté.

Lors de mes diagnostiques :

Depuis mon firewall, un tcpdump je constate que je reçois bien les paquets ESP portant le bon SIP correspondant au tunnel.

En traçant les flux depuis mon firewall j'ai constaté que les paquets arrivaient avec une IP qui n'a rien à voir avec le tunnel IPSec, l'IP est en 10.10.qqcho qui ccorespond en réalité à une une IP Virtuelle configurée sur son Juniper.

En autorisant cette IP et à l'aide de Wireshark sur un de mes postes clients, le poste reçoit bien...

Voir la suite
Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Résolue

Stormshiel Real Time Monitor et remontées d'info depuis firmware 3.4 SN710 ?

Posée par Didier Fourt dans Fonctionnalités et système

Bonjour,

Suite à la mise à jour du firmware en 3.4 de mon SN710, je n'ai plus d'infos qui remonte au niveau de l'application "Real Time Monitor" c'est à dire les connexions et évènements aux niveau des machines.

J'ai entendu dire que ce firmware activait une focntion "Anonymization" mais j'aimerais bien pouvoir voir ce que font mes machines.

Auriez-vous une piste ?

Merci
Didier

Non résolue

Arkoon - Accès Internet avec Livebox Fibre

Posée par Jpperget dans Fonctionnalités et système

Bonjour,

Je souhaiterai savoir pour un Arkoon (par exemple pour un PS4 en version 6.03) s'il était possible de configurer un PPOE avec une livebox Fibre.

Il y a en effet une configuration particulière à réaliser (vlan 835) et je ne sais pas si c'est compatible avec Arkoon.

A priori ce n'est pas possible car on ne peut pas lié de VLAN dans le PPOE (uniquement interface physique)

Pouvez vous svp me confirmer cela ? Existe t il un contournement ?

Merci de votre retour,

Cordialement.

Résolue

Fonctionnement VLAN sur Stormshield

Posée par Jm S dans Fonctionnalités et système

Bonjour,

nouvel utilisateur d'un Stormshield SN510, je cherche à utiliser les VLANs.

Je n'ai pas bien saisi comment ils s'articulent dans l'arborescence des interfaces. J'ai plutôt l'habiture de créer un vlan et d'y coller des interfaces physiques. Du coup, les interfaces physiques avec plusieurs vlans feront du tagging/802.1q.

Actuellement j'ai:

- 1 bridge "WAN"
- 1 bridge "LAN"
- 1 bridge "DMZ"

Je souhaite rajouter une borne wifi "multi-ssid" dans laquelle j'ai 2 SSID avec chacun leur VLAN: vlan 1 pour le LAN et vlan 220 pour les visiteurs.

La question est: comment je "dessine" ma vue interface ?

Merci pour vos réponses,

jms

Non résolue

Problème certificat filtrage SSL

Posée par Johnny Cash dans Fonctionnalités et système

Bonjour,

 

J'ai mis en place un filtrage au sein de mon réseau :

 

 

ça fonctionne bien, sauf que j'ai un souci dès qu'on tombe sur quelques sites SSL, par exemple si la personne veut aller sur francebleu.fr ça donne :

 

Reason : The SSL server certificate authority is not trusted
Common name: Kubernetes Ingress Controller Fake Certificate

 

ou un autre site :

 

Reason : The SSL server certificate is expired or not yet valid

 

J'ai installé pourtant le certificat généré en .der du netasq sur le navigateur (on utilise tous firefox)

Je ne suis pas un expert... alors si vous pouvez m'éclairer ! Merci beaucoup !

Résolue

Google Safe Search

Posée par Sébastien Razet dans Fonctionnalités et système

Bonjour à tous,

Est-ce que la fonctionnalité Safe Search permettant de filtrer le contenu proposé dans les principaux moteurs de recherches est toujours active ?

Je trouve une option "Activer le filtrage des moteurs de recherche (Safesearch)" dans CONFIGURATION/PROTECTION APPLICATIVE/Protocoles/HTTP.

Elle semble ne rien modifier pour les recherches sur google/google image.

Je me dis que le passage en https de google rend peut-être les choses plus compliquées.

Y a-t-il alors des précautions à prendre ?

D'avance, merci,

Sébastien

SNS 3.2.1

Résolue

Filtrage HTTPS

Posée par Johnny Cash dans Fonctionnalités et système

Bonjour à tous,

 

Je dois mettre en place un filtrage spécifique uniquement pour quelques postes sur mon réseau. Je me suis renseigné sur la mise en place déjà "de base" du filtrage, cela nécessite de filtrer la partie HTTPS car effectivement si on fait un filtrage "simple" on ne filtre que tout ce qui est uniquement HTTP. 

Si j'en réfère à l'article suivant :

http://seleh.fr/netasq-v9-filtrer-le-flux-https/

Une fois les règles effectuées, il suffit de déployer via GPO le certificat sur les machines. Ma question est la suivante :

si je réalise ces règles pour effectuer le filtrage https mais uniquement en définissant dans l'onglet "objet" quelques machines que j'aurai determinées, est-ce que ça va s'appliquer uniquement dessus ? Et pour le reste du parc, il n y aura pas de filtrage ? 

 

Je ne sais pas si c'est clair, n'hésitez pas à me demander des précisions, je vous remercie !

 

 

Résolue

VPN Stormshield sans trace, ni initiation

Posée par Remmii03 dans Fonctionnalités et système

Bonjour,

Nous avons mis en place un nouveau Stormshield sur lequel nous avons déja une quinzaine de VPN, mais princiapelement avec des Arkoons (2 avec un troisième stormshield). Etant donné que nous avons 2 connexion internet, j'ai créé des routes fixes pour indiqué la connexion secondaire (SDSL) pour les VPN et une route de retour.

Sur le second Stormshield, nous 2 VPN établies avec un Arkoon, aucun problème. Celui-ci n'a qu'une seul connexion internet (Livebox) donc pas de route fixe, ni de route de retour.

 

Lorsque je souhaite monter un VPN IPSEC entre les 2 Stormshield, je ne voit aucune trace d'initialisation VPN dans le REAl-TIME Monitor. Mes configurations VPN semblent correctes, nous utilisons toujours les même profils de chiffrements.

 

Je ne vois plus ou regarder, avez vous une idée ?

Je reste à dispo pour plus de rensignements.

 

Merci.

Bonne après-midi.

 

Rémi

 

Messages d'alerte