121 Membres 1173 Contributions

Open Community

Questions

Non résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Non résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Résolue

Proxy SSL

Posée par Maxime Berlioz dans Securité

Bonjour à tous,

Nos médecins souhaiteraient passer sur de l'authentication par CPS (Carte professionnel de santé) pour ce site : https://sic.certdc.inserm.fr/login.php

Hélas ils recoivent une erreur (voir PJ) avant d'avoir l'applet leur demandant de choisir le certificat sur la carte et de taper leur code. Ce problème ce présente uniquement sur ce site.

Je n'ai aucune trace dans les logs du stormshield, dans le proxy SSL je vois juste les requêtes vers le site "https://sic.certdc.inserm.fr/login.php" en pass mais rien d'autres

Pour tester, j'ai fais une règle pass all pour ce poste et tout passe correctement mais ça reste difficile à dépanner surtout quand on a pas de trace...

Auriez-vous une idée d'où peut venir cette erreur ?

Merci d'avance

 

 

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Non résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Non résolue

SNS 3.X : Hostcheck sur objet routeur.

Posée par Dgo

 Bonjour

Je suis en train de tester les objet routeur avec des passerelles de secours.

J'ai visionné la video Youtube sur la chaine Netasq concernant les objets routeur et il est spécifié que le "hoscheck" ne fonctionne pas sur des accès DHCP ...

Or mon lien principal ainsi que mon lien secours sont en DHCP ... et il etait écrit à l'époque (la video date de 2015) " DHCP availability is not checked, this beahaviour may change in future versions ..".

Qu'en est-t-il aujourd'hui ?  Est-ce toujours le cas ?

Résolue

SPNEGO.BAT ??????????

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaiterai faire un labo pour tester l'authentification transparente SPNEGO.

J'ai bien trouvé la documentation Stomshield sipulant : "Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?")."

Depuis mon espace : MyStormshield.eu, je ne trouve pas cette documentation ni le script.

Est-ce que quelqu'un pourrait m'aider ????

Merci d'avance.

Malcolm

Non résolue

Certificat admin via une IGC

Posée par Guillaume V dans Administration

Bonjour, je possède un parc de plusieurs d'Arkoon. Actuellement un de mes Arkoon et configuré comme AC et m'a permi de générer les certificats firewall et le certificat admin des tous mes Appliances. Est il possible d'utiliser une IGC pour générer les certificats admin et FireWall ? Et ainsi eviter d'avoir un Arkoon comme AC ? Merci

Non résolue

[SMC] rattachement sn700 distant impossible

Posée par Francois Netherlands dans Administration

bonjour,

j' ai su ajouter une appliance locale dans SMC avec la methode du paquet de deploiement.

pour une appliance distante( derriere VPN ipsec) en utilisant la meme methode je rencontre des diffcultées

en mettant un pc à la place du SMC j' administre à distance donc cette appliance en HTTPS

j' ai ajouté le port SMC dans mes regles d' admin distant

 

Help me !!

Résolue

FAST 360 6.0/12 "An undefined error related to the SSL connecion occured"

Posée par Nicolas Gregoire dans Administration

Bonjour,

L'authentification à Arkoon Manager renvoie le message d'erreur suivant : "An undefined error related to the SSL connecion occured".

Les connexions via Arkoon Monitoring et en SSH fonctionnent sans problème.

Je n'ai pas trouvé de solution applicable dans https://support-https.arkoon.net/downloads/internal_tools/Procedure_Diagnostic_FAST360-Flux_d_Administration.pdf et dans le forum.

La réponse du support au thread http://open.arkoon.net/aoc/arkoon-manager-6-0-9-pour-linux semble être une piste, mais l'arborescence de Java semble avoir changé (nous utilisons Java 8 Update 161) en rendant cette solution non applicable en l'état.

Merci d'avance !

Non résolue

notification mail sur alarme

Posée par Hubert Hla dans Administration

Bonjour à tous

cela fait qq jours que j'essai de mettre en place la notification  par mail sur déclenchement d'alarmes (je voudrais tester la fonctionnalité ...)  sur un SN210  en V3.4

mon souci est que sur le mail destinataire (DST), je ne reçois rien !



-j'ai configuré l'onglet Alerte E-mail  avec un compte mail Orange Authentifié (FW)

 j'ai créé sur Outlook le compte mail (FW) en question pour tester mes paramètres de connexion (ident+password   smtp.orange.fr  port 465  user identifié   cnx sécurisé SSL) tout cela est ok: ==> Avec Outlook j'envoie et reçois bien depuis FW  vers l' email  DST.

-j'ai déclaré un email destinataire   DST
-sur le profil utilisé /protection,aplication/avancé   j'ai modifié les alarmes ciblées (+mail)
-je vois passer les alarmes ciblées au tableau de bord
-pas de mails reçu de FW  sur DST

Sur out du SN210 je vois (tcpdump) le trafic smtps(465) avec smtp.orange.fr  toutes les minutes (comme demandé). La lecture des...

Voir la suite
Résolue

Configuration DHCP pour VLAN AVAYA

Posée par Olivier Eveno dans Administration

Bonjour,

 

Je souhaiterais dans mon ARKOON FAST 360 P1206 configurer un DHCP pour mon VLAN Voix

Mais je ne sias pas ou et comment parametrer cette configuration

Je l'ai déjà en place sur un PFSENSE ce qui donne quelque chose comme cela :

Port Number : 242

Format : Text

Value : HTTPSRVR=WWW.XXX.YYY.ZZZ,MCIPADD=WWW.XXX.YYY.ZZZ

 

Dans la'ttente de vous lire ...

 

Cordialement

 

Résolue

Problème d'objet sur SN710

Posée par Franck Ivaldi dans Administration

Bonsoir.

Je m'occupe depuis peu de l'administration d'un StormShield SN710.

J'ai mis en place les différents sous-réseaux ainsi que les règles de filtrage/NAT et la création d'environ 200 objets/IP. Tout fonctionne bien.

Le Firewall m'a été livré par Orange sous son Firmware Original

Depuis la dernière mise à jour, dans les LOGS, tous les objets portent le même nom (Nom de la source = anonymized) alors qu'avant je distinguais les biens des machines.

Les objets existent toujours dans la liste.

Que faut-il faire pour retrouver l'affichage initiale ? 

 

Merci de vos lumières.

Non résolue

VPN IPsec vers SRX Juniper

Posée par Dzirii Djahir dans Fonctionnalités et système

Bonsoir à tous!

Cela fait maintenant depuis 1 semaine que j'essaie d'établir un tunnel VPN IPSec fonctionnel de bout en bout avec mon hébergeur.

De mon coté, j'ai un Stormshield U800 en version 2.5, mon adressage est en 10.78.0.0/14.

Coté hébergeur, il possède un SRX Juniper et son adressage est en 192.168.300.0/24.

Le tunnel s'établit correctement, j'arrive à pigner sa passerelle mais depuis cette dernière impossible de pigner mon réseau.

Les flux sont évidemment ouvert de mon coté.

Lors de mes diagnostiques :

Depuis mon firewall, un tcpdump je constate que je reçois bien les paquets ESP portant le bon SIP correspondant au tunnel.

En traçant les flux depuis mon firewall j'ai constaté que les paquets arrivaient avec une IP qui n'a rien à voir avec le tunnel IPSec, l'IP est en 10.10.qqcho qui ccorespond en réalité à une une IP Virtuelle configurée sur son Juniper.

En autorisant cette IP et à l'aide de Wireshark sur un de mes postes clients, le poste reçoit bien...

Voir la suite
Non résolue

Creation d'un CRON

Posée par Olivier Eveno dans Administration

Bonjour,

Je souhaite purger les log de ma base de donnée de mon ARKOON FAST 360 - P1206

Quand j'execute cette commande manuellment tout se pase corretement :

  • root /etc/rc.d/init.d/mysqld flush >/dev/null 2>&1

Je voulais que cette tache s'excute dans un CRON j'ai suivi cette documentataion relevée sur ce Forum :

  • Pour créer une entrée privée, il faut créer (ou modifier) le fichier /config_card/etc/local.cron et insérer une ligne par entrée :
    • [min] [hour] [day of month] [month] [day of week] [cmd line]
    • Exemple pour lancer /etc/rc.d/init.d/mysqld flush tous les jours à 5h00 :

0 5 * * * root /etc/rc.d/init.d/mysqld flush >/dev/null 2>&1

  • Il faut ensuite changer les droits du fichier via la commande :

chmod 600 /config_card/etc/local.cron

  • Pour que cette entrée soit prise en compte, relancez le service :

/etc/rc.d/init.d/crond restart

 L'exécution du cron devrait ensuite ajouter une entrée lors de son exécution dans le fichier de journaux ...

Voir la suite
Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Non résolue

Temps de réponse élevé VPN SN160

Posée par Johann Bourbon dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Non résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Non résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Non résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Non résolue

SNS 3.X : Hostcheck sur objet routeur.

Posée par Dgo

 Bonjour

Je suis en train de tester les objet routeur avec des passerelles de secours.

J'ai visionné la video Youtube sur la chaine Netasq concernant les objets routeur et il est spécifié que le "hoscheck" ne fonctionne pas sur des accès DHCP ...

Or mon lien principal ainsi que mon lien secours sont en DHCP ... et il etait écrit à l'époque (la video date de 2015) " DHCP availability is not checked, this beahaviour may change in future versions ..".

Qu'en est-t-il aujourd'hui ?  Est-ce toujours le cas ?

Non résolue

Certificat admin via une IGC

Posée par Guillaume V dans Administration

Bonjour, je possède un parc de plusieurs d'Arkoon. Actuellement un de mes Arkoon et configuré comme AC et m'a permi de générer les certificats firewall et le certificat admin des tous mes Appliances. Est il possible d'utiliser une IGC pour générer les certificats admin et FireWall ? Et ainsi eviter d'avoir un Arkoon comme AC ? Merci

Non résolue

[SMC] rattachement sn700 distant impossible

Posée par Francois Netherlands dans Administration

bonjour,

j' ai su ajouter une appliance locale dans SMC avec la methode du paquet de deploiement.

pour une appliance distante( derriere VPN ipsec) en utilisant la meme methode je rencontre des diffcultées

en mettant un pc à la place du SMC j' administre à distance donc cette appliance en HTTPS

j' ai ajouté le port SMC dans mes regles d' admin distant

 

Help me !!

Non résolue

notification mail sur alarme

Posée par Hubert Hla dans Administration

Bonjour à tous

cela fait qq jours que j'essai de mettre en place la notification  par mail sur déclenchement d'alarmes (je voudrais tester la fonctionnalité ...)  sur un SN210  en V3.4

mon souci est que sur le mail destinataire (DST), je ne reçois rien !



-j'ai configuré l'onglet Alerte E-mail  avec un compte mail Orange Authentifié (FW)

 j'ai créé sur Outlook le compte mail (FW) en question pour tester mes paramètres de connexion (ident+password   smtp.orange.fr  port 465  user identifié   cnx sécurisé SSL) tout cela est ok: ==> Avec Outlook j'envoie et reçois bien depuis FW  vers l' email  DST.

-j'ai déclaré un email destinataire   DST
-sur le profil utilisé /protection,aplication/avancé   j'ai modifié les alarmes ciblées (+mail)
-je vois passer les alarmes ciblées au tableau de bord
-pas de mails reçu de FW  sur DST

Sur out du SN210 je vois (tcpdump) le trafic smtps(465) avec smtp.orange.fr  toutes les minutes (comme demandé). La lecture des...

Voir la suite
Non résolue

VPN IPsec vers SRX Juniper

Posée par Dzirii Djahir dans Fonctionnalités et système

Bonsoir à tous!

Cela fait maintenant depuis 1 semaine que j'essaie d'établir un tunnel VPN IPSec fonctionnel de bout en bout avec mon hébergeur.

De mon coté, j'ai un Stormshield U800 en version 2.5, mon adressage est en 10.78.0.0/14.

Coté hébergeur, il possède un SRX Juniper et son adressage est en 192.168.300.0/24.

Le tunnel s'établit correctement, j'arrive à pigner sa passerelle mais depuis cette dernière impossible de pigner mon réseau.

Les flux sont évidemment ouvert de mon coté.

Lors de mes diagnostiques :

Depuis mon firewall, un tcpdump je constate que je reçois bien les paquets ESP portant le bon SIP correspondant au tunnel.

En traçant les flux depuis mon firewall j'ai constaté que les paquets arrivaient avec une IP qui n'a rien à voir avec le tunnel IPSec, l'IP est en 10.10.qqcho qui ccorespond en réalité à une une IP Virtuelle configurée sur son Juniper.

En autorisant cette IP et à l'aide de Wireshark sur un de mes postes clients, le poste reçoit bien...

Voir la suite
Non résolue

Creation d'un CRON

Posée par Olivier Eveno dans Administration

Bonjour,

Je souhaite purger les log de ma base de donnée de mon ARKOON FAST 360 - P1206

Quand j'execute cette commande manuellment tout se pase corretement :

  • root /etc/rc.d/init.d/mysqld flush >/dev/null 2>&1

Je voulais que cette tache s'excute dans un CRON j'ai suivi cette documentataion relevée sur ce Forum :

  • Pour créer une entrée privée, il faut créer (ou modifier) le fichier /config_card/etc/local.cron et insérer une ligne par entrée :
    • [min] [hour] [day of month] [month] [day of week] [cmd line]
    • Exemple pour lancer /etc/rc.d/init.d/mysqld flush tous les jours à 5h00 :

0 5 * * * root /etc/rc.d/init.d/mysqld flush >/dev/null 2>&1

  • Il faut ensuite changer les droits du fichier via la commande :

chmod 600 /config_card/etc/local.cron

  • Pour que cette entrée soit prise en compte, relancez le service :

/etc/rc.d/init.d/crond restart

 L'exécution du cron devrait ensuite ajouter une entrée lors de son exécution dans le fichier de journaux ...

Voir la suite
Non résolue

Temps de réponse élevé VPN SN160

Posée par Johann Bourbon dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Non résolue

Arkoon - Accès Internet avec Livebox Fibre

Posée par Jpperget dans Fonctionnalités et système

Bonjour,

Je souhaiterai savoir pour un Arkoon (par exemple pour un PS4 en version 6.03) s'il était possible de configurer un PPOE avec une livebox Fibre.

Il y a en effet une configuration particulière à réaliser (vlan 835) et je ne sais pas si c'est compatible avec Arkoon.

A priori ce n'est pas possible car on ne peut pas lié de VLAN dans le PPOE (uniquement interface physique)

Pouvez vous svp me confirmer cela ? Existe t il un contournement ?

Merci de votre retour,

Cordialement.

Non résolue

SVC : Soucis "elasticsearch" - Request Timeout after 30000ms

Posée par Cédric Guichard dans Appliances virtuelles

Bonjour tout le monde,

Je viens vers vous car je rencontre un petit problème et j'ai besoin de vos lumières après de nombreuses recherches. 

Heureux papa d'un Stormshield SN710, mon prestataire m'avait installé l'apliance Stormshield Visibility Center version 1.0.0 et à envoyé tous les logs vers du parfeu vers SVC. Malheureusement par manque de temps je n'ai pas pu revenir vers ce projet que maintenant. Voulant préparer une migration vers la version 1.2, je suis bloqué lors de la connexion au message d'erreur :

Status: Red
elasticsearch 1.0.0 Request Timeout after 30000ms

Et là c'est de drame, je ne sais plus quoi faire. J'ai regardé sur le net sans solution. Mon manque de savoir sur ce produit, combiné à mon savoir sur Linux s'avère peu concluant.

Avez-vous des pistes de correction ?

Merci d'avance

Non résolue

Utiliser Wan:port sur Lan

Posée par Cédric Philippot dans Administration

Bonjour,

 

Je possède un SN500 sur le réseau d'une école. Un groupe d'étudiant souhaite mettre en test un serveur Nextcloud. J'ai fait l'ouverture dans le NAT du port http. On veut tester la connexion depuis l'appli mobile Nextcloud. quand on tape l'adresse IP Wan sur lequel le serveur est connecté depuis un autre réseau ayant un Wan différent, cela marche nickel, l'appli contacte bien le serveur cloud. Par contre, quand on est connectéavec un mobile au LAN hébergeant le serveur cloud, et qu'on lance la connexion avec l'appli (qui est configurée pour se connecter sur l'adresse Wan), cela ne fonctionne pas. Y a t il quelque chose à faire sur le stormshield pour faire en sorte que, sur le lan, quand on saisi @WAN:80 cela arrive sur @LAN:80 ?

Merci 

Non résolue

Pb ipsec

Posée par Virgil Astran dans Administration

bonjour a tous,

Entre 2 SN 160 3.32 , impossible de monter un lien VPN IPSEC.

Erreur  : VPN IPsec:  200 Aucun objet valide n'a été trouvé 

passerrelle ok / lan ok. 

Une idée .?

Merci d'avance

Non résolue

Migration Juniper SRX vers Stomshield SN710

Posée par Azzelarab Hamidane dans Trucs et Astuces

Bonjour,

Je suis entrain de préparer une migration d'un Cluster Juniper SRX series en version 12.3X48-D30 vers un cluster Stormshield SN710.

Je cherche un moyen ou une astuce pour migrer une dizaines de zones (Security zones) déployées sur Junos vers Stomshield. Si quelqu'un à déja réalisé ce genre de transposition je suis preneur de toute information ou conseil.

Merci par avance pour vos retour d'expérience.

Bien cordialement

Non résolue

alarme filtrage

Posée par Olivier de Amicis dans Securité

bonjour !

je possede un SN700 depuis qq années, et je me penche sur les alarmes dernierement.

j'aimerai bien pouvoir desactiver completement le systeme IPS, beaucoup tro sensible a mon gout, mais il semble que ce n'est pas possible.

j'ai donc désactivé les alarmes qui me posaient des problemes de "bloquer" à "autoriser"

sauf que : sur une patte ou se trouve mon wifi, j'ai des alarmes de type :

anonymous  broadcast alarme de filtrage 

anonymous  broadcast  detection de protocol non autorisé (UDP)

ce sont des demandes en bootpc(68)

 

malheursement, je ne peux pas changer le mode bloquer par autoriser car l'option est grisée.

auriez vous une astuce pour soit :

- dévérouillé le mode grisé et passer mon option a autoriser ?

- desactivé completement le mode IPS dont je ne me sert pas (tout est sur Firewall car lIDS et l'IPS me saquagent les connexions réseaux)

 

merci d'avance pour vos lumieres.

 

amicalement

 

oliv

 

Résolue

Proxy SSL

Posée par Maxime Berlioz dans Securité

Bonjour à tous,

Nos médecins souhaiteraient passer sur de l'authentication par CPS (Carte professionnel de santé) pour ce site : https://sic.certdc.inserm.fr/login.php

Hélas ils recoivent une erreur (voir PJ) avant d'avoir l'applet leur demandant de choisir le certificat sur la carte et de taper leur code. Ce problème ce présente uniquement sur ce site.

Je n'ai aucune trace dans les logs du stormshield, dans le proxy SSL je vois juste les requêtes vers le site "https://sic.certdc.inserm.fr/login.php" en pass mais rien d'autres

Pour tester, j'ai fais une règle pass all pour ce poste et tout passe correctement mais ça reste difficile à dépanner surtout quand on a pas de trace...

Auriez-vous une idée d'où peut venir cette erreur ?

Merci d'avance

 

 

Résolue

SPNEGO.BAT ??????????

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaiterai faire un labo pour tester l'authentification transparente SPNEGO.

J'ai bien trouvé la documentation Stomshield sipulant : "Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?")."

Depuis mon espace : MyStormshield.eu, je ne trouve pas cette documentation ni le script.

Est-ce que quelqu'un pourrait m'aider ????

Merci d'avance.

Malcolm

Résolue

FAST 360 6.0/12 "An undefined error related to the SSL connecion occured"

Posée par Nicolas Gregoire dans Administration

Bonjour,

L'authentification à Arkoon Manager renvoie le message d'erreur suivant : "An undefined error related to the SSL connecion occured".

Les connexions via Arkoon Monitoring et en SSH fonctionnent sans problème.

Je n'ai pas trouvé de solution applicable dans https://support-https.arkoon.net/downloads/internal_tools/Procedure_Diagnostic_FAST360-Flux_d_Administration.pdf et dans le forum.

La réponse du support au thread http://open.arkoon.net/aoc/arkoon-manager-6-0-9-pour-linux semble être une piste, mais l'arborescence de Java semble avoir changé (nous utilisons Java 8 Update 161) en rendant cette solution non applicable en l'état.

Merci d'avance !

Résolue

Configuration DHCP pour VLAN AVAYA

Posée par Olivier Eveno dans Administration

Bonjour,

 

Je souhaiterais dans mon ARKOON FAST 360 P1206 configurer un DHCP pour mon VLAN Voix

Mais je ne sias pas ou et comment parametrer cette configuration

Je l'ai déjà en place sur un PFSENSE ce qui donne quelque chose comme cela :

Port Number : 242

Format : Text

Value : HTTPSRVR=WWW.XXX.YYY.ZZZ,MCIPADD=WWW.XXX.YYY.ZZZ

 

Dans la'ttente de vous lire ...

 

Cordialement

 

Résolue

Problème d'objet sur SN710

Posée par Franck Ivaldi dans Administration

Bonsoir.

Je m'occupe depuis peu de l'administration d'un StormShield SN710.

J'ai mis en place les différents sous-réseaux ainsi que les règles de filtrage/NAT et la création d'environ 200 objets/IP. Tout fonctionne bien.

Le Firewall m'a été livré par Orange sous son Firmware Original

Depuis la dernière mise à jour, dans les LOGS, tous les objets portent le même nom (Nom de la source = anonymized) alors qu'avant je distinguais les biens des machines.

Les objets existent toujours dans la liste.

Que faut-il faire pour retrouver l'affichage initiale ? 

 

Merci de vos lumières.

Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Résolue

Stormshiel Real Time Monitor et remontées d'info depuis firmware 3.4 SN710 ?

Posée par Didier Fourt dans Fonctionnalités et système

Bonjour,

Suite à la mise à jour du firmware en 3.4 de mon SN710, je n'ai plus d'infos qui remonte au niveau de l'application "Real Time Monitor" c'est à dire les connexions et évènements aux niveau des machines.

J'ai entendu dire que ce firmware activait une focntion "Anonymization" mais j'aimerais bien pouvoir voir ce que font mes machines.

Auriez-vous une piste ?

Merci
Didier

Résolue

tentative de bruteforce détectée

Posée par Siegfried M. dans Administration

Bonjour,

Je suis en SNS 3.4 et j'ai eu ce message ce matin:

Major 2018-01-29 10:46:49 xa4.xxxxxx.xxx Firewall_bridge  Cette adresse est bannie de l'accès au portail d'authentification : tentative de bruteforce détectée

Je ne sais pas quoi faire. Surtout que sur le Real time monitor je n'ai plus accès ni aux machines en quarantaine ni aux utilisateurs.

Merci pour votre aide.

PS: va t-il y avoir un real time monitor pour la version 3.4?

Cordialement.

Résolue

Problème Arkoon Monitoring 6.0-12

Posée par Boom Basstic dans Administration

Bonjour,

 

depuis ce matin quand je lance Arkoon Monitoring 6.0-12, sur mon ordinateur (windows10), le logiciel se lance, j'ai la fenetre bleue de lancement  qui apparait pendant une fraction de secondes, et puis plus rien. Le logiciel semble lancé, l'icone est dans ma barre des tâches, mais impossible d'avoir une fenetre qui s'affiche. Hier tout fonctionnait bien, je n'ai pas changé quoique ce soit sur mon OS. Le manager lui fonctionne correctement.

Y a t'il quelque part un log pour voir d'ou vient le probleme? ou si vous avez une solution, je vous en remercie d'avance.

Résolue

Stormshield / Config Client Open Vpn

Posée par Laurent Dufréchou dans Administration

Bonjour,

Nous avons mis en place un VPN SSL sur un SN210W.

(TCP et UDP)

Le client founit par Stormshield fonctionne correctement sous windows, par contre j'ai des utilisateurs sous Mac.

Ils utilisent Tunnel blick et je n'arrive pas a trouver la config openvpn utilisée par Stormshield pour se connecter au VPN SSL.

A priori nous sommes en config standard car la simple installation du client permet d'établir le lien VPN.

Peut on exporter une config openvpn depuis l'interface du SN210 ou une config par défaut est elle dispo quelque part?

Cordialement,

Laurent

Résolue

Export objet web

Posée par Jpperget dans Administration

Bonjour,

Meilleurs voeux à toute l'équipe pour 2018.

Depuis l'interface web, dans mon exemple, sur un V200 en version 3.3.1, dans les objets réseaux, il est possible d'exporter la base d'objets dans un fichier .CSV

Est ce que la même chose est prévu pour les objets web ?

Je sais qu'on peut récupérér ces informations dans un fichier en SSH mais c'était pour faciliter l'administration.

Merci,

Cordialement.

Résolue

Monitorer VPN

Posée par Herve Prieur dans Administration

Bonjour

Nous sommes en train de mettre en plus une solution de monitorage réseau (Zabbix pour ne pas le citer).

La réponse est certainement évidente, mais existe-t-il une manière simple pour monitorer des tunnels VPN montés entre SNS (SN300/500/3000) ?

Ps: A l'exeption bien entendu d'un ping sur des équipements distants ;-)

Vous remerciant par avance 

Résolue

QOS VPN

Posée par Remmii03 dans Administration

Bonjour,

 

Nous avons mis en place plusieurs stormshields dans notre administration en remplacement des Arkoon. Nous utilisons des VPN IPsec inter-sites pour faire transiter la téléphonie VOIP en interne. Depuis la migration Arkoon - Strormshield, nous rencontrons des problèmes de coupures lors de communications. Tous les sites ne bénéficies pas de la même qualité d'accès à internet. Je souhiaterais mettre en place de la QOS sur les VPN téléphonies pour qu'ils soient prioritaires. j'ai vu qu'il existait plusieurs types de QOS et que le CBQ était favorisé pour la VOIP. Lors de nos premiers tests, cela était pire que sans QOS. Je ne comprends pas logique de mis ene place et comment être sur qu'elle s'applique comme nous le souhaitons.

 

Merci de votre aides et de vos conseils.

 

Remi

Résolue

MAJ Fast 360- P1206

Posée par Olivier Eveno dans Administration

Bonjour,

 

Je souhaietais faire la mise à jour de mon Arkoon de la version 6.0/3 vers la 6.0/12

Mes questions sont les suivnates :

 

  1. Puis-je effectuer cette mise à jour en une seule fois ou dois-je proceder par palier de version ?
  2. J'ai relu l'esemble des Release note de le 6.0/3 à la 6.0/12 et n'ai rien vu concernant une modification de la structure de la base de données de l'Arkoon qui devarit m'obliger à puger ma base des journaux. pouvez-vous me confiermer cela ?

 

Dans l'attente de vous lire ...

Cordialement,

OE

Résolue

attaque possible de ressources

Posée par Hubert Hla dans Appliances virtuelles

Bonjour

avez -vous déja eu ce genres d'alarmes "attaque possible de ressources (connection)" sur une V50 .

c'est le kit de la formation CSNA , qui tourne sur un PC avec 6 Go RAM.

j'ai monté la mémoire du V50 à 2048 Mo

j'en ai plein  sur des requètes DNS (vers google) aussi en http vers les @ udpate stormschield

Du coup pour du maquettage c'est pas top ...

des pistes ??

Merci à tout ceux qui prendront du temps pour me lire .

 

Résolue

Pb de Routage ...

Posée par Johann Coquillet dans Administration

Bonjour,

Pour séparé les flux, nous avons des agences relièe via une solution BVPN Orange, et nous avons une liaison dédiée pour Internet sur chaque Agence.

Cette liaison Internet est sécurisée via des Stormshield (passerelle de l'ensemble des postes)

Nous avons un soucis sur le routage à configurer sur les stormshields pour que chaque agence puisse accéder en RDP sur les serveurs du site principal.

Si je ping les passerelle des stormshield pas de soucis, cela fonctionne. Par contre je n'arrive pas à avoir les retours des serveurs.

Joint un shéma rapide du réseau.

Je vous remercie pour votre aide, car je galère depuis quelques jours !!!

Résolue

Client IPSEC pour linux compatible Stormshield SN300

Posée par Gilles Salanie dans Administration

Bonjour à Tous,

 

Nous utilisons une appliance Stormshield SN300 pour implementer un VPN IPSEC. Nous nous y connectons via un client Windows disponible chez Stormshield mais je ne trouve pas de client pour linux. Savez s'il en existe ou quels seraient les clients open-sources compatibles ?

Merci d'avance pour votre aide

Gilles

Résolue

Probleme cluster Arkoon 1206

Posée par Boom Basstic dans Administration

Bonjour,

 

j'ai un probleme sur un cluster d'arkoon P1206.

veuillez excusez si mon explication n'est pas assez détaillée ou claire, mais je n'y connais pas grand chose dans la configuration de ces firewall.

 

le cluster était fonctionnel depuis, mais suite à un enchainement de choses assez bizarres (je détaillerai dans la suite si c'est necessaire a la résolution du problème)

quand je deploye une configuration par le manager, j'ai le message suivant sur le Firewall slave

Sysmon Alarm :
Name : logs db
Type : LOGS-MEDIA
State : ORANGE
Date : Fri Dec 15 11:43:40 CET 2017
Description : Database unavailable: unknown reason

Name : cluster conf
Type : CLUSTER-CONF
State : ORANGE
Date : Fri Dec 15 11:43:18 CET 2017
Description : Configuration is different between the two nodes (names differ (master != 2017-12-16))

 

Comment puis je réparer cette erreur?

 

Merci.

Messages d'alerte