215 Membres 982 Contributions

Open Community

Questions

Non résolue

VPN-SSL avec la PKI Digicert

Posée par Nico59 dans Fonctionnalités et système

Bonjour,

Nous venons de faire l'acquisition d'un cluster SN-2000 (V2.6). Je souhaite affiner la configuration en utilisant la PKI externe DIGICERT (Service proposé par RENATER) pour la partie VPN SSL.

Pour la configuration il faut 2 certificats : 1 serveur et 1 client.

J'ai créé et fait signer ces 2 certificats. J'ai réussi à les importer sans problème.

Le problème apparait en les choississant dans la partie VPN->VPN SSL. Message d'erreur.

Le support Stormshield m'a indiqué en fournissant les logss, que les certificats provonaient de 2 CA differentes.

Le support Digicert m'a confirmé les certificats serveurs provenaient d'une CA et les certificats clients d'une autre CA.

Quelqu'un a déjà fait cette configuration avec Digicert pour le VPN SSL ?

 

Merci

 

Nicolas

 

 

 

 

 

Résolue

SN200 Interface 1+ 2x2 ports ?

Posée par Alain Bosco dans Matériels et performances

Bonjour à tous.

J'ai cherché mais je n'ai pas trouvé à quoi correspond la configuration 1+ 2x2 ports des interfaces du SN200.
J'ai un SN500 avec 8 interfaces donc là je comprends. Par contre je me demande si on peut avoir 3 accès Internet connectés sur un SN200 ou s'il faut avoir au minimum un SN300 ?

Merci d'avance.

Non résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Résolue

Arkoon Stateless et RPF

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je sais que mes questions vont faire hurer les spécialistes de la sécurité mais :

  1. Est il possible de transformer un pare-feu Arkoon (6.0.9) en pare-feu stateless (grossièrement en routeur filtrant).
  2. Est-il aussi possible de désactiver le RPF (Reverse Path Forwarding) ?

Dit autrement, peut importe l'état de la session (ou pseudo session) au niveau du pare-feu (par exemple, le three wayhandshake n'a pas eu lieu) ou l'interface d'entrée du flux, si une règle autorise le paquet, il doit passer.

Contexte : il s'agit de faire passer un flux TCP indifférement à travers deux pare-feu (pas en cluster) ne pouvant échanger leur table de session.

Merci encore à la communauté pour ses réponses.

 

Résolue

Reconfiguration Fast360 v 5.1

Posée par Claude Couillec dans Fonctionnalités et système

Bonjour,

 

J'ai fait l'acquisition de cette appliance d'occasion avec son numéro de série, sa clé d'actvation et j'ai pu récupérer le fichier de licence.Et donc accéder à l'espace client.

1. Depuis le menu rescue je tente de reseter le mot de passe. Après avoir monté toutes les partitions, je reçois le message : "config_card is not corectly mounted". Pas de changement après fsck /dev/sda3 -f qui se termine corrextement.

 

2. J'ai aussi tenté de lancer la procédure init qui échoue à 50% du formatage des partions avec le message "Automatic initialization as failed ..."

Je n'ai aucun besoin de récupérer la configuration (qui n'a pas été affacée par le vendseur), comment puis je réinitialiser complètement l'appliance ?

 

Merci.

 

Résolue

Firmware 3.0.2 - HTTPS et OWA

Posée par Syl 54 dans Administration

Bonjour,

Je viens de mettre à jour mon firewall SN300 en version 3.0.2 ( avant : 2.4.2).

depuis je n'arrive plus à accéder au service OWA d'exchange en HTTPS alors que en HTTP ca fonctionne.

Pourquoi ?

Non résolue

QOS Marquage en-tête ip sur les requetes DHCP

Posée par Laurent H

Bonjour, j'aimerai savoir si il est possible au SN de marquer les requêtes dhcp avec la valeur diff serv 48 (DSCP name CS6).

Est-il de pouvoir faire ça pour tout le trafic du port 68 vers 67 ?

Merci d'avance,

Résolue

Proxy transparent autoriser port 8888 en sortie

Posée par Siegfried M. dans Administration

Bonjour,

Je suis sur un SNS 710, j'utilise un proxy transparent.

Je ne sais pas comment autoriser les utilisateurs à se connecter sur un site web utilisant le port 8888.

Si vous avez la solution?

Merci et très belle année à tous!

Résolue

Problème d'authentification Stormshield Global Administration

Posée par J 94 dans Fonctionnalités et système

Bonjour,

Madame,Monsieur,

Comme il est écrit dans le Titre, j'ai un problème de connexion sur mon Stormshield SN200 en passant par le Stormshield Global Administration.

Je m'explique j'ai fait un test pour une installation futur pour voir si j'arrivais à prendre la main sur mon équipement Stormshield à travers la suite d'administration Stormshield à partir d'un autre réseau et cela à fonctionné.

Je viens d'installer mon équipement derriere un routeur et là quand j'essaye de me connecter via Stromshield Global Administration le message reste sur authentification et me dit echec de l'authentification  (voir ci dessous) .

Je ne comprends pas pourquoi cela ne marche pas parce que en ssh j'arrive à prendre la main à partir de mon poste .J'ai vérifié ma route et elle est bonne,ma config au niveau de l'administration du firewall est bien renseigné ,ma regle de filtrage qui me permet de prendre la main à distance sur mon interface firewall out avec un port de destination...

Voir la suite
Résolue

Où récuperer le fichier PKCS#12 ?

Posée par Thibault Guerin dans Administration

Bonjour à tous et merci d'avance pour l'aide que vous pourrez m'apporter.

 

Je vous explique, on m'as demandé d'installer deux arkoon FAST 360 afin de sécuriser un flux.

 

Seulement, et là c'est le drame, je n'y connais pas grand chose.

 

Après avoir procédé à l'initialisation(via Minarkconf) du premier arkoon, j'essayer de le télégéré via arkoon manager, seulement à l'ouverture de session j'ai un prompt me disant que : "l'ouverture du fichier PKCS#12 à échoué. Veuillez vérifier l'emplacement du fichier et le mot de passe utilisé".

Si je ne dis pas de connerie j'ai bien souvenir avoir créé ce fichier durant l'init mais comment le récupérer?

 

En vous remerciant.

 

Thibault

Résolue

update base url

Posée par Karim Achour dans Administration

Bonjour, 

Est-il possible de lancer manuellement une mise à jour de la base d'URL embarquée ? 

Merci

 

Résolue

Stormshield Event Reporter

Posée par Stephane Valibouse dans Fonctionnalités et système

Bonjour à tous,

on me demande de remonter l'activité web d'un collaborateur sur des périodes données.

je me suis dit que ca aller être très simple grave à l'outil Event Reporer sauf que  ce n'est pas le cas. j'ai pourtant bien renseigné ma période, filtré sur l'adresse IP j'ai meme ajouté la mac pour etre sur, j'ai fait du regroupement pour plus de lisibilité sauf que les résultats sont plutot bizarre.

je fais un selection manuelle pour les dates et il ne m'affiche pas toutes les dates consultées alors que je sais que cette personne fait de l'internet tous les jours.

Il m'annonce bien un nombre de page mais quand je les balaye certaines sont vides et d'autres non.

je me suis donc dit que j'allais exporter l'ensemble du résultat sur Excel sauf qu'il n'exporte pas toutes les pages d'un coup, mais uniquement celle en cours de consultation.

je suis decu par l'outil car il présente bien et ne semble pas compliqué seulement il ne fait pas vraiment son job à mon sens.

Voir la suite
Résolue

Redirection 404 Nginx

Posée par Laurent Delafosse dans Administration

Bonjour tout le monde !

 

J'aimerais savoir si il était possible de rediriger les erreurs 404 lorsque l'on utilise le moteur Nginx. Si oui, comment faites vous s'il vous plait ?

 

Merci d'avance de vos réponses,

Laurent.

Résolue

StormShield choisir interface de sortie en fonction de l'URL

Posée par Prénom Nom dans Securité

Bonjour à tous,

J'ai un STORMSHIELD SN200 qui est actuellement configuré pour un partage de connexion internet (avec 2 box différentes).

Je voudrais savoir si il est possible de configurer ce pare feu pour que quand j'ai certaines URL internet demandées, je sors les paquets via la box 1 sinon sur l'une des 2 box.

Merci à vous pour votre aide car je galère !

Non résolue

Translation sortante

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

J'ai un réseau d'adresse IP publique qui n'est affecté à aucune interface réseau d'un pare-feu arkoon (6.0.9). Le routeur de l'opérateur route ce réseau public sur l'IP de passerelle externe de l'arkoon.

Je souhaite utiliser sur mes arkoon une adresses IP publique unique pour gérer les translations d'adresse IP sortantes des postes internes pour leur navigation web.

Pour cela, j'ai configurer une règle dans laquelle au niveau de l'action j'ai précisé une tranlation d'adresse source avec l'IP concerné.
Le reste de la règle est classique :
- source IP : réseau des poste de travail ;
- destination : any ;
- service : HTTP.

Bien que cette configuration fonctionne parfaitement, j'ai un warning :
WAR-0000004120 :  N-1 translation address xxx.xxx.xxx.xxx does not belong to any know appliance's subnet.

Comment me débarrasser de ce warning ?

Est-ce que cela peut poser un problème de sécurité ?

Merci d'avance pour votre aide.

Non résolue

Perte de Connexion VPN, Besoin d'un Chamane

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Comme le titre le laisse présager, cela ne va pas être simple, mais on ne sait jamais.

J'ai un VPN ipsec entre un arkoon P1206 en version 6.04 et un zyxel USG 40 connecté à internet par un modem ADSL Dlink DSL320B(Je sais c'est pas bien ;) ).

Le vpn fonctionne normalement sauf que tous les mercredi à 15h10, il tombe et ne remonte pas. Si on redémarre le zyxel, il remonte. Si on redémarre le modeme ADSL, il remonte également. Sur mon Arkoon j'ai d'autres VPN Ipsec , mais avec lesquels je ne rencontre pas de problèmes (Mais ce ne sont pas des zyxel).

Cela fait un mois et demi que cela dur et on ne peut pas dire que cela soit une coïncidence. Le reste du temps , vous pouvez couper la connexion adsl (débrancher le cable) , couper le vpn du coté Arkoon, il remonte  ..... mais le mercredi à 15h10 (plus ou moins 1mn) il tombe. Du côté de l'arkoon, on voit qu'il tente de le remonter mais sans succès (idem du coté Zyxel) , comme si il n'avait pas de réponse à la...

Voir la suite
Résolue

Routage selon port

Posée par Erwan Hermouet dans Administration

Bonjour à tous

 

je possède un Stormshield SN300 avec deux connexions internet

 

Je souhaiterais faire une règle de sortie / routage me permettant d'utiliser 1 connexion spécifique selon le port utilisée. Ex utiliser la connexion2 si la destination est sur le port 80

 

J'ai beau chercher je ne trouve pas comment faire... je pensais que c'était dans routage mais à priori non. Ou alors je m'y prend mal

 

Merci d'avance de vos retours

Non résolue

Config SPNEGO

Posée par Service Informatique

Bonjour,

Je repose ma question ici car je crois qu'elle s'est perdue dans mon dernier post.

Je tente de mettre en place SPNEGO mais j'ai des petits soucis avec les navigateurs et les certificats (pour info je n'utilise pas le certif par defaut mais j'ai créé mon autorité avec mon certificat serveur signé par l'autorité)

Il me reste quelques petites choses qui me chiffonne, j'ai bien déployé mon certificat racine de l'UTM dans le magasins pourtant avec IE les clients continuent d'avoir le message "problème de certificat" (en cliquant sur continuer les personnes accèdent au web et sont identifées mais j'aimerai me passer de ça ...

Pour chrome je n'ai pas trouvé de doc afin de paramétrer l'authentification Windows je suis automatiquement redirigé vers le portail (c'est pas le plus important car très peu utilisé). et pour firefox j'ai modifier les deux valeurs:

- network.negotiate-auth.trusted-uris

- network.negotiate-auth.delegation-uris

Mais pas mieux, erreur de...

Voir la suite
Résolue

Problème MAJ

Posée par Guillaume V dans Administration

Bonjour à tous,

Je viens vers vous car j'ai une question importante : 

Est-il possible de mettre en V8 un netasq u120 qui est passé en v9 ?

La partion principale et secondaire sont en v9 mais j'ai besoin pour plusieurs raisons de la mettre en v8, si c'est possible merci pour vôtre aide.

 

Cordialement,

Non résolue

VPN-SSL avec la PKI Digicert

Posée par Nico59 dans Fonctionnalités et système

Bonjour,

Nous venons de faire l'acquisition d'un cluster SN-2000 (V2.6). Je souhaite affiner la configuration en utilisant la PKI externe DIGICERT (Service proposé par RENATER) pour la partie VPN SSL.

Pour la configuration il faut 2 certificats : 1 serveur et 1 client.

J'ai créé et fait signer ces 2 certificats. J'ai réussi à les importer sans problème.

Le problème apparait en les choississant dans la partie VPN->VPN SSL. Message d'erreur.

Le support Stormshield m'a indiqué en fournissant les logss, que les certificats provonaient de 2 CA differentes.

Le support Digicert m'a confirmé les certificats serveurs provenaient d'une CA et les certificats clients d'une autre CA.

Quelqu'un a déjà fait cette configuration avec Digicert pour le VPN SSL ?

 

Merci

 

Nicolas

 

 

 

 

 

Non résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Non résolue

QOS Marquage en-tête ip sur les requetes DHCP

Posée par Laurent H

Bonjour, j'aimerai savoir si il est possible au SN de marquer les requêtes dhcp avec la valeur diff serv 48 (DSCP name CS6).

Est-il de pouvoir faire ça pour tout le trafic du port 68 vers 67 ?

Merci d'avance,

Non résolue

Translation sortante

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

J'ai un réseau d'adresse IP publique qui n'est affecté à aucune interface réseau d'un pare-feu arkoon (6.0.9). Le routeur de l'opérateur route ce réseau public sur l'IP de passerelle externe de l'arkoon.

Je souhaite utiliser sur mes arkoon une adresses IP publique unique pour gérer les translations d'adresse IP sortantes des postes internes pour leur navigation web.

Pour cela, j'ai configurer une règle dans laquelle au niveau de l'action j'ai précisé une tranlation d'adresse source avec l'IP concerné.
Le reste de la règle est classique :
- source IP : réseau des poste de travail ;
- destination : any ;
- service : HTTP.

Bien que cette configuration fonctionne parfaitement, j'ai un warning :
WAR-0000004120 :  N-1 translation address xxx.xxx.xxx.xxx does not belong to any know appliance's subnet.

Comment me débarrasser de ce warning ?

Est-ce que cela peut poser un problème de sécurité ?

Merci d'avance pour votre aide.

Non résolue

Perte de Connexion VPN, Besoin d'un Chamane

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Comme le titre le laisse présager, cela ne va pas être simple, mais on ne sait jamais.

J'ai un VPN ipsec entre un arkoon P1206 en version 6.04 et un zyxel USG 40 connecté à internet par un modem ADSL Dlink DSL320B(Je sais c'est pas bien ;) ).

Le vpn fonctionne normalement sauf que tous les mercredi à 15h10, il tombe et ne remonte pas. Si on redémarre le zyxel, il remonte. Si on redémarre le modeme ADSL, il remonte également. Sur mon Arkoon j'ai d'autres VPN Ipsec , mais avec lesquels je ne rencontre pas de problèmes (Mais ce ne sont pas des zyxel).

Cela fait un mois et demi que cela dur et on ne peut pas dire que cela soit une coïncidence. Le reste du temps , vous pouvez couper la connexion adsl (débrancher le cable) , couper le vpn du coté Arkoon, il remonte  ..... mais le mercredi à 15h10 (plus ou moins 1mn) il tombe. Du côté de l'arkoon, on voit qu'il tente de le remonter mais sans succès (idem du coté Zyxel) , comme si il n'avait pas de réponse à la...

Voir la suite
Non résolue

Config SPNEGO

Posée par Service Informatique

Bonjour,

Je repose ma question ici car je crois qu'elle s'est perdue dans mon dernier post.

Je tente de mettre en place SPNEGO mais j'ai des petits soucis avec les navigateurs et les certificats (pour info je n'utilise pas le certif par defaut mais j'ai créé mon autorité avec mon certificat serveur signé par l'autorité)

Il me reste quelques petites choses qui me chiffonne, j'ai bien déployé mon certificat racine de l'UTM dans le magasins pourtant avec IE les clients continuent d'avoir le message "problème de certificat" (en cliquant sur continuer les personnes accèdent au web et sont identifées mais j'aimerai me passer de ça ...

Pour chrome je n'ai pas trouvé de doc afin de paramétrer l'authentification Windows je suis automatiquement redirigé vers le portail (c'est pas le plus important car très peu utilisé). et pour firefox j'ai modifier les deux valeurs:

- network.negotiate-auth.trusted-uris

- network.negotiate-auth.delegation-uris

Mais pas mieux, erreur de...

Voir la suite
Non résolue

SNS 2.5.2 vers 3

Posée par Siegfried M. dans Fonctionnalités et système

Bonjour,

Est-ce que la mise à jour se fait simplement?

J'utilise le proxy avec SPNEGO, y'a t-il des précautions à prendre par rapport à cela ou c'est transparent?

Merci ;)

Non résolue

Communication NAT to NAT Stormshield

Posée par Theo Quennehen dans Fonctionnalités et système

Bonjour, 

Je souhaiterai faire communiquer deux serveurs entre eux via leur IP publique. Les deux serveurs sont dans un LAN (le même) et leur IP interne est en NAT en 1:1.

Les serveurs sont bien joignable depuis l’extérieur mais impossible de communiquer entre eux via les ip publique (ping @ip-pub-srv1 -> @ip-pub-srv2)

Savez-vous si ce fonctionnement est possible avec des firewall Stormshield v200 (VM) ? il y a t-il une configuration particulière appliquer ?

Merci beaucoup pour votre aide.

Théo

 

Non résolue

StormShield - PKI request type CA

Posée par xmabille

Bonjour,

J'ai une erreur paramètre invalide, lorsque j'exécute la commande suivante pour la génération d'une REQUEST de type CA, pour la création d'une CA enfant de ma CA maitre Offline.

pki request create type=ca cn="Fw-CA-ROOT" shortname="CA-FW" C="France" ST="31" L="Toulouse" O="Demo-Infra" OU="Firewall" passphrase="aaAA1234$"

Et quelle est la commande pour générer la clé privée.

Merci pour votre aide.

Non résolue

fichier keytab

Posée par Service Informatique dans Securité

Bonjour,

Je tente de mettre en place l'authentification Spnego.

J'ai donc généré mon fichier keytab depuis mon AD, le fichier a été généré correctement, le fichier log n'indique rien de problématique. Cependant lorsque j'ajoute la méthode d'authentification dans l'UTM que je renseigne le nom de service, la domaine et le fichier keytab, je valide mais mon fichier keytab ,n'est pas "pris en compte" car quand je reviens dessus, la ligne est vide. (j'ai essayé plusieurs fois et toujours le même souci)

Y-at'il une chose que je fais mal ? Je reprends les champs indiqué dans le fichier log à l'identique pourtant.

Merci d'avance

Non résolue

Impossible de se connecter a un SN500 avec nsrpc depuis Windows 2008 R2

Posée par Jean-Hervé Rivard dans Administration

Bonjour,

Je ne parviens pas utiliser nsrpc pour executer des taches d'administration depuis un serveur Windows 2008 R2

Voici la commande :

nsrpc_20140717.exe admin:mdp@IP

Le SN5OO répond :

Welcome to Cipher/SRP client
Connecting to IP...
Check server signature failed

De quelle signature s'agit'il ?

Que faire ?

Je précise que je me connecte sans problème en SSH, y compris en automatique, via un script en utilisant la clef prive "admin"

Merci pour votre aide

Non résolue

Ping réseau distant via IPSEC depuis ssh stormshield

Posée par Jean G. dans Fonctionnalités et système

Bonjour,

Je mets en place le routage via PBR sur des SN200 & SN500, avec des VTIs.
Les flux réseaux sont correctement routés lorsque qu'ils viennent des postes derrière les SN.
Mais lorsque que les flux réseaux viennent de Stormshield en lui-même (ping en ssh, sauvegarde automatique (sur serveur derrière tunnel IPSEC), consultation ldap, ...) les règles PBR ne sont plus pris en compte, il faut spécifier une ip source au ping :

Pour l'exemple :
2 réseaux :
192.168.1.0/24 (IP Stormshield 192.168.1.254) <- site centrale avec annuaire ldap, serveur de sauvegarde, etc
192.168.2.0/24 (IP Stormshield 192.168.2.254)
Relié via tunnel IPSEC & VTI
Fonctionnement OK avec les objets routeurs depuis les postes des 2 réseaux.

Mais lorsque je suis en ssh sur le stormshield distant (192.168.2.254) :
ping -S 192.168.2.254 192.168.1.254 -> OK
ping 192.168.1.254 -> pas de réponse

Avez-vous déjà rencontré ce cas ?
Y'a-t'il une solution ?

Merci à vous

Jean G.

Non résolue

Problème pour pousser une configuration sur AK2

Posée par Jpperget dans Administration

Bonjour,

Depuis le changement du 2em noeud sur un cluster Arkoon, la configuration ne passe pas sur l'AK2

Lorsqu'on pousse une configuration avec l'AMC, la configuration passe bien sur AK1 et non sur AK2.

Les 2 noeuds se voient correctement.

 

Voici le type de messages dans /var/log/messages (il y en a bcp en boucle)

 

Sep 16 11:06:58 ak2 MGT[18864]: sending 'MGT:MSG CONF IMPORTBUNDLE CONFIG_CLUSTER 00042 192.168.28.1(truncated,2840821) failed: ERR: failed to import bundle: Unable to add file (conf.akx) to repository: cmd=['/usr/bin/git', 'add', 'conf.akx'],rc=128,stdout=,stderr=fatal: Unable to create '/var/akserver/mgt/conf/.git/index.lock': File exists.  If no other git process is currently running, this probably means a git process crashed in this repository earlier. Make sure no other git process is running and remove the file manually to continue.
Sep 16 11:07:00 ak2 MGT[18828]: sending 'MGT:MSG CONF IMPORTBUNDLE CONFIG_CLUSTER 00105 192.168.28.1(truncated,3077311) failed:...

Voir la suite
Non résolue

probleme ssl pour un hotspot avec un stormshield

Posée par Damien Richard dans Securité

Bonjour,

J'ai un petit stormshield pour gérer un salle.

J'ai un système de filtrage ssl dont j'ai installé les certificats sur les postes.

Je voudrai mettre du wifi en hotspot  et mon problème se pose sur les erreurs de certificats.

J'ai cherché mais toujours pas trouvé sauf d'installer le certificat sur le poste.

Y a t il pas une solution pour contourner ce problème ?

Merci par avance damien

 

Non résolue

Perte de ping IPSEC

Posée par Splinter dans Administration

Bonjour,

Comme djà dit dans plusieurs sujets, j'administre un réseau de firewalls Stormshield reliés à nos Deux sites principaux par VPN ipsec. Depuis environ 1 semaine l'un de nos sites est soudain devenu très lent, je n'arrive plus a administrrer le serveur sur place, j'ai le plus grand mal a accéder à l'interface web du Stormshield, et lorsque je lance un ping vers une ip locale du site j'ai environ 50% de perte, avec un temps de réponse oscillant entre 80 et 120ms. De quelle manière puis-je déterminer quel élément pourrait être en cause ? dois-je tenter une capture de trafic sur l'une des interfaces ?

Non résolue

SES v6 Import Export Group d'Agents

Posée par Donnie Brasco dans Fonctionnalités et système

Bonjour,

je travaille sur SES v6 (je ne peux pas updater ma version malheuresement, donc merci de ne pas repondre en disant d'updater ma version) et j'ai un soucis au niveau des groupes d'agents.
J'ai des agents qui ont beaucoup d'Hostnames ou IP (un agent avec 30 Hostnames differentes par example) et j'aimerais exporter la liste des hostnames d'un agent et l'importer dans un autre agent. Dans SES v6 on peux bien exporter une liste en format srxml ou scep, par contre cette liste ne peux pas etre importer dans un autre groupe car le format d'import est seulement .sg ...... pouvez vous m'aider à ce sujet? Existe une solution à ce type de soucis? Je ne comprends vraiment pas comment on peux exporter une liste d'hostname et l' importer dans un autre groupe d'agents, j'espere que vous pourrais m'aider! J'avais pensé à créer un script, mais vu que le format d'import est .sg, je ne sais pas du tout comment faire ce script!

Merci beaucoup et desolé pour la question peut etre trop...

Voir la suite
Non résolue

SPNEGO + Stormshield V 2.4.1 + IE8

Posée par Bv5029 dans Fonctionnalités et système

Bonjour à tous,

Nous venons de remplacer nos arkoon par des produits Stormshield.

Nous fonctionnons en environnement TSE 2003 avec IE ou Firefox et aussi en RDS 2012 R2.

Pour répondre au besoin d'authentification de chaque user, nous avons mis en place l'authentification spnego via le portail captif du stormshield.

La configuration de IE sous 2012 R2 fonctionne, sous firefox + w2003 srver aussi mais je n'arrive pas à faire fonctionner cela avec IE8.

J'ai suivi les note disponible pour Netasq et la config IE6 ou IE7 mais cela ne fonctionne pas sous IE8.

La zone de confiance est bien paramétrée dans l'intranet local, les authenitifcation intégrée aussi et les ssl2.0 ou 3.0 cochée pour IE8.

J'ai aussi essayé en TLS 1.0 seul et TLS 1.0 avec SSL2.0/3.0 mais j'ai toujours la page d'erreur en pièce jointe sous IE.

 

Si quelqu'un a des infos ou une solution svp ?

 

Merci

Non résolue

Performance du serveur pptp du SN500

Posée par Alain Bosco dans Administration

Bonjour.

Une petite question sur le débit théorique que peut générer le serveur pptp dans un SN500.

Je suis en phase test au bureau où j'ai deux accès internet utilisables : 1 accès Vdsl (60 mbs/8 mbs) avec un routeur basique et 1 accès câble (700 mbs/200 mbs) avec un SN500.

Au bureau depuis mon PC j'obtiens presque le maxi en test de débit sur des sites Internet en download et upload sur les deux accès, en changeant la passerelle sur mon PC.

Lorsque je me connecte en pptp Windows depuis chez moi via la Vdsl j'obtiens un débit normal (1 mo/s) en transfert direct de fichier depuis mon PC du bureau vers mon PC perso.
Par contre lorsque je me connecte depuis chez moi via la cablebox le débit ne dépasse jamais les 355 Ko/s

Les deux accès sont pptp passthrough. Le Vdsl pointe vers un vieux serveur Windows 2003, le cablebox pointe vers le SN500 qui sert de serveur pptp.

J'ai fait des dizaines de tests (switch, câbles, jour/nuit ...) et sur le SN500 j'ai essayé plusieurs...

Voir la suite
Non résolue

Realtime monitor et proxy système

Posée par Jeremy G.

Bonjour,

Nous venons de migrer d'Arkoon vers Stormshield, je découvre donc les outils et leurs subtilités...

Existe-t-il un moyen de ne pas utiliser le proxy système dans le realtime monitor ? Mis à part désactiver le proxy dans les paramétrages IE, ou ajouter une exception dans les réglages du proxy bien sûr :)

Il est fort dommage que l'on ne puisse pas choisir de l'utiliser ou non (case à cocher, ou radio button) directement dans l'application.

Jérémy.

 

Résolue

SN200 Interface 1+ 2x2 ports ?

Posée par Alain Bosco dans Matériels et performances

Bonjour à tous.

J'ai cherché mais je n'ai pas trouvé à quoi correspond la configuration 1+ 2x2 ports des interfaces du SN200.
J'ai un SN500 avec 8 interfaces donc là je comprends. Par contre je me demande si on peut avoir 3 accès Internet connectés sur un SN200 ou s'il faut avoir au minimum un SN300 ?

Merci d'avance.

Résolue

Arkoon Stateless et RPF

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je sais que mes questions vont faire hurer les spécialistes de la sécurité mais :

  1. Est il possible de transformer un pare-feu Arkoon (6.0.9) en pare-feu stateless (grossièrement en routeur filtrant).
  2. Est-il aussi possible de désactiver le RPF (Reverse Path Forwarding) ?

Dit autrement, peut importe l'état de la session (ou pseudo session) au niveau du pare-feu (par exemple, le three wayhandshake n'a pas eu lieu) ou l'interface d'entrée du flux, si une règle autorise le paquet, il doit passer.

Contexte : il s'agit de faire passer un flux TCP indifférement à travers deux pare-feu (pas en cluster) ne pouvant échanger leur table de session.

Merci encore à la communauté pour ses réponses.

 

Résolue

Reconfiguration Fast360 v 5.1

Posée par Claude Couillec dans Fonctionnalités et système

Bonjour,

 

J'ai fait l'acquisition de cette appliance d'occasion avec son numéro de série, sa clé d'actvation et j'ai pu récupérer le fichier de licence.Et donc accéder à l'espace client.

1. Depuis le menu rescue je tente de reseter le mot de passe. Après avoir monté toutes les partitions, je reçois le message : "config_card is not corectly mounted". Pas de changement après fsck /dev/sda3 -f qui se termine corrextement.

 

2. J'ai aussi tenté de lancer la procédure init qui échoue à 50% du formatage des partions avec le message "Automatic initialization as failed ..."

Je n'ai aucun besoin de récupérer la configuration (qui n'a pas été affacée par le vendseur), comment puis je réinitialiser complètement l'appliance ?

 

Merci.

 

Résolue

Firmware 3.0.2 - HTTPS et OWA

Posée par Syl 54 dans Administration

Bonjour,

Je viens de mettre à jour mon firewall SN300 en version 3.0.2 ( avant : 2.4.2).

depuis je n'arrive plus à accéder au service OWA d'exchange en HTTPS alors que en HTTP ca fonctionne.

Pourquoi ?

Résolue

Proxy transparent autoriser port 8888 en sortie

Posée par Siegfried M. dans Administration

Bonjour,

Je suis sur un SNS 710, j'utilise un proxy transparent.

Je ne sais pas comment autoriser les utilisateurs à se connecter sur un site web utilisant le port 8888.

Si vous avez la solution?

Merci et très belle année à tous!

Résolue

Problème d'authentification Stormshield Global Administration

Posée par J 94 dans Fonctionnalités et système

Bonjour,

Madame,Monsieur,

Comme il est écrit dans le Titre, j'ai un problème de connexion sur mon Stormshield SN200 en passant par le Stormshield Global Administration.

Je m'explique j'ai fait un test pour une installation futur pour voir si j'arrivais à prendre la main sur mon équipement Stormshield à travers la suite d'administration Stormshield à partir d'un autre réseau et cela à fonctionné.

Je viens d'installer mon équipement derriere un routeur et là quand j'essaye de me connecter via Stromshield Global Administration le message reste sur authentification et me dit echec de l'authentification  (voir ci dessous) .

Je ne comprends pas pourquoi cela ne marche pas parce que en ssh j'arrive à prendre la main à partir de mon poste .J'ai vérifié ma route et elle est bonne,ma config au niveau de l'administration du firewall est bien renseigné ,ma regle de filtrage qui me permet de prendre la main à distance sur mon interface firewall out avec un port de destination...

Voir la suite
Résolue

Où récuperer le fichier PKCS#12 ?

Posée par Thibault Guerin dans Administration

Bonjour à tous et merci d'avance pour l'aide que vous pourrez m'apporter.

 

Je vous explique, on m'as demandé d'installer deux arkoon FAST 360 afin de sécuriser un flux.

 

Seulement, et là c'est le drame, je n'y connais pas grand chose.

 

Après avoir procédé à l'initialisation(via Minarkconf) du premier arkoon, j'essayer de le télégéré via arkoon manager, seulement à l'ouverture de session j'ai un prompt me disant que : "l'ouverture du fichier PKCS#12 à échoué. Veuillez vérifier l'emplacement du fichier et le mot de passe utilisé".

Si je ne dis pas de connerie j'ai bien souvenir avoir créé ce fichier durant l'init mais comment le récupérer?

 

En vous remerciant.

 

Thibault

Résolue

update base url

Posée par Karim Achour dans Administration

Bonjour, 

Est-il possible de lancer manuellement une mise à jour de la base d'URL embarquée ? 

Merci

 

Résolue

Stormshield Event Reporter

Posée par Stephane Valibouse dans Fonctionnalités et système

Bonjour à tous,

on me demande de remonter l'activité web d'un collaborateur sur des périodes données.

je me suis dit que ca aller être très simple grave à l'outil Event Reporer sauf que  ce n'est pas le cas. j'ai pourtant bien renseigné ma période, filtré sur l'adresse IP j'ai meme ajouté la mac pour etre sur, j'ai fait du regroupement pour plus de lisibilité sauf que les résultats sont plutot bizarre.

je fais un selection manuelle pour les dates et il ne m'affiche pas toutes les dates consultées alors que je sais que cette personne fait de l'internet tous les jours.

Il m'annonce bien un nombre de page mais quand je les balaye certaines sont vides et d'autres non.

je me suis donc dit que j'allais exporter l'ensemble du résultat sur Excel sauf qu'il n'exporte pas toutes les pages d'un coup, mais uniquement celle en cours de consultation.

je suis decu par l'outil car il présente bien et ne semble pas compliqué seulement il ne fait pas vraiment son job à mon sens.

Voir la suite
Résolue

Redirection 404 Nginx

Posée par Laurent Delafosse dans Administration

Bonjour tout le monde !

 

J'aimerais savoir si il était possible de rediriger les erreurs 404 lorsque l'on utilise le moteur Nginx. Si oui, comment faites vous s'il vous plait ?

 

Merci d'avance de vos réponses,

Laurent.

Résolue

StormShield choisir interface de sortie en fonction de l'URL

Posée par Prénom Nom dans Securité

Bonjour à tous,

J'ai un STORMSHIELD SN200 qui est actuellement configuré pour un partage de connexion internet (avec 2 box différentes).

Je voudrais savoir si il est possible de configurer ce pare feu pour que quand j'ai certaines URL internet demandées, je sors les paquets via la box 1 sinon sur l'une des 2 box.

Merci à vous pour votre aide car je galère !

Résolue

Routage selon port

Posée par Erwan Hermouet dans Administration

Bonjour à tous

 

je possède un Stormshield SN300 avec deux connexions internet

 

Je souhaiterais faire une règle de sortie / routage me permettant d'utiliser 1 connexion spécifique selon le port utilisée. Ex utiliser la connexion2 si la destination est sur le port 80

 

J'ai beau chercher je ne trouve pas comment faire... je pensais que c'était dans routage mais à priori non. Ou alors je m'y prend mal

 

Merci d'avance de vos retours

Résolue

Problème MAJ

Posée par Guillaume V dans Administration

Bonjour à tous,

Je viens vers vous car j'ai une question importante : 

Est-il possible de mettre en V8 un netasq u120 qui est passé en v9 ?

La partion principale et secondaire sont en v9 mais j'ai besoin pour plusieurs raisons de la mettre en v8, si c'est possible merci pour vôtre aide.

 

Cordialement,

Résolue

Tunnel IPSEC avec un routeur endian

Posée par Erwan Hermouet dans Administration

Bonjour

 

nous avons un stormshiel SN300 d'un côté, avec un réseau en 192.168.3.0/24 et un Endian firewall de l'autre avec un réseau en 192.168.1.0/24

 

J'ai monté un tunnel VPN entre les sites, et mon endian me signal que le tunnel est bien connecté, cependant je n'ai aucun ping entre les deux réseau ni les deux passerelles.

 

y'a t'il une manipulation complémentaire à faire sur le stormshiel pour le que nat se fasse ?

 

Merci d'avance de vos retours

Résolue

StormShield - Script avec condition

Posée par xmabille dans Administration

Bonjour,

est il possile de créer un script avec des conditions?

Exemple: un script pour automatiser la configuration des interfaces avec un fichier CSV.

Si variable state= 0, UPDATE address=DHCP

Si variable state=1, UPDATE address=%ETH-IP%

Merci de votre aide

Résolue

VLA ne fonctionne plus :(

Posée par Louis Pereira dans Administration

bonjour,

depuis quelques jours, ma console VLA ne fonctionne plus.

Sur le portail, j'ai bien les SNS qui apparaissent (U500S (V2.5.0), SN3000 (V2.5.2), ainsi que le nombre d'events qui évolue (nombre total et nombre par appliance), mais si j'affiche la page "log view" ou n'importe quelle autre, j'ai un avertissement qui apparait en haut de la page : "No results : there wre no results because no indices were found that match your selected time span".

J'ai testé différentes périodes : 5 dernières minutes, 15 dernières minutes, dernière heure ... sans changement.

Je ne sais s'il y a un rapport, hier j'avais un message qui apparaissait dans la console : "vmsvc[1139][warning][guestinfo] failed to get vmstats" (il n'apparait plus...)

La VM était quasi saturée en mémoire vive, je l'ai upgradée à 3Go de ram au lieu des 2 initialement allouée.

Merci par avance,

Louis

Résolue

prise en main à distance Stormshield sn710

Posée par Karim Achour dans Administration

Bonjour,

Je débute en Stormshield, je rencontre des difficutés en voulant prendre en main à distance un stormshield sn710, lors de l'installation initiale j'ai configuré une adresse ip à l'interface out qui sera commune à toutes les interfaces(mode bridge) cette adresse nous servira à administrer le fw à distance via une interface de management pour les besoins d'un poc. Le firewall est joignable en local via cette adresse mais pas à distance en passant par la gw que j'ai indiquée. Y'aurait-il une règle par défaut qui bloque cet accès ?  De plus, au vu des tests intials qu'on aura à effectuer nous n'aurons pas besoin de connecter l'interface out à internet sauf que à priori c'est une étape nécessaire pour passer l'installation initiale. Serait-il possible de contourner cette étape pour accéder directement à l'interface d'administration ? 

Je vous remercie,

Cordialement,

Messages d'alerte