119 Membres 1155 Contributions

Open Community

Questions

Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Non résolue

Temps de réponse élevé VPN SN160

Posée par Johann Bourbon dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Résolue

Stormshiel Real Time Monitor et remontées d'info depuis firmware 3.4 SN710 ?

Posée par Didier Fourt dans Fonctionnalités et système

Bonjour,

Suite à la mise à jour du firmware en 3.4 de mon SN710, je n'ai plus d'infos qui remonte au niveau de l'application "Real Time Monitor" c'est à dire les connexions et évènements aux niveau des machines.

J'ai entendu dire que ce firmware activait une focntion "Anonymization" mais j'aimerais bien pouvoir voir ce que font mes machines.

Auriez-vous une piste ?

Merci
Didier

Résolue

tentative de bruteforce détectée

Posée par Siegfried M. dans Administration

Bonjour,

Je suis en SNS 3.4 et j'ai eu ce message ce matin:

Major 2018-01-29 10:46:49 xa4.xxxxxx.xxx Firewall_bridge  Cette adresse est bannie de l'accès au portail d'authentification : tentative de bruteforce détectée

Je ne sais pas quoi faire. Surtout que sur le Real time monitor je n'ai plus accès ni aux machines en quarantaine ni aux utilisateurs.

Merci pour votre aide.

PS: va t-il y avoir un real time monitor pour la version 3.4?

Cordialement.

Non résolue

Arkoon - Accès Internet avec Livebox Fibre

Posée par Jpperget dans Fonctionnalités et système

Bonjour,

Je souhaiterai savoir pour un Arkoon (par exemple pour un PS4 en version 6.03) s'il était possible de configurer un PPOE avec une livebox Fibre.

Il y a en effet une configuration particulière à réaliser (vlan 835) et je ne sais pas si c'est compatible avec Arkoon.

A priori ce n'est pas possible car on ne peut pas lié de VLAN dans le PPOE (uniquement interface physique)

Pouvez vous svp me confirmer cela ? Existe t il un contournement ?

Merci de votre retour,

Cordialement.

Non résolue

SVC : Soucis "elasticsearch" - Request Timeout after 30000ms

Posée par Cédric Guichard dans Appliances virtuelles

Bonjour tout le monde,

Je viens vers vous car je rencontre un petit problème et j'ai besoin de vos lumières après de nombreuses recherches. 

Heureux papa d'un Stormshield SN710, mon prestataire m'avait installé l'apliance Stormshield Visibility Center version 1.0.0 et à envoyé tous les logs vers du parfeu vers SVC. Malheureusement par manque de temps je n'ai pas pu revenir vers ce projet que maintenant. Voulant préparer une migration vers la version 1.2, je suis bloqué lors de la connexion au message d'erreur :

Status: Red
elasticsearch 1.0.0 Request Timeout after 30000ms

Et là c'est de drame, je ne sais plus quoi faire. J'ai regardé sur le net sans solution. Mon manque de savoir sur ce produit, combiné à mon savoir sur Linux s'avère peu concluant.

Avez-vous des pistes de correction ?

Merci d'avance

Résolue

Problème Arkoon Monitoring 6.0-12

Posée par Boom Basstic dans Administration

Bonjour,

 

depuis ce matin quand je lance Arkoon Monitoring 6.0-12, sur mon ordinateur (windows10), le logiciel se lance, j'ai la fenetre bleue de lancement  qui apparait pendant une fraction de secondes, et puis plus rien. Le logiciel semble lancé, l'icone est dans ma barre des tâches, mais impossible d'avoir une fenetre qui s'affiche. Hier tout fonctionnait bien, je n'ai pas changé quoique ce soit sur mon OS. Le manager lui fonctionne correctement.

Y a t'il quelque part un log pour voir d'ou vient le probleme? ou si vous avez une solution, je vous en remercie d'avance.

Résolue

Stormshield / Config Client Open Vpn

Posée par Laurent Dufréchou dans Administration

Bonjour,

Nous avons mis en place un VPN SSL sur un SN210W.

(TCP et UDP)

Le client founit par Stormshield fonctionne correctement sous windows, par contre j'ai des utilisateurs sous Mac.

Ils utilisent Tunnel blick et je n'arrive pas a trouver la config openvpn utilisée par Stormshield pour se connecter au VPN SSL.

A priori nous sommes en config standard car la simple installation du client permet d'établir le lien VPN.

Peut on exporter une config openvpn depuis l'interface du SN210 ou une config par défaut est elle dispo quelque part?

Cordialement,

Laurent

Non résolue

Utiliser Wan:port sur Lan

Posée par Cédric Philippot dans Administration

Bonjour,

 

Je possède un SN500 sur le réseau d'une école. Un groupe d'étudiant souhaite mettre en test un serveur Nextcloud. J'ai fait l'ouverture dans le NAT du port http. On veut tester la connexion depuis l'appli mobile Nextcloud. quand on tape l'adresse IP Wan sur lequel le serveur est connecté depuis un autre réseau ayant un Wan différent, cela marche nickel, l'appli contacte bien le serveur cloud. Par contre, quand on est connectéavec un mobile au LAN hébergeant le serveur cloud, et qu'on lance la connexion avec l'appli (qui est configurée pour se connecter sur l'adresse Wan), cela ne fonctionne pas. Y a t il quelque chose à faire sur le stormshield pour faire en sorte que, sur le lan, quand on saisi @WAN:80 cela arrive sur @LAN:80 ?

Merci 

Résolue

Export objet web

Posée par Jpperget dans Administration

Bonjour,

Meilleurs voeux à toute l'équipe pour 2018.

Depuis l'interface web, dans mon exemple, sur un V200 en version 3.3.1, dans les objets réseaux, il est possible d'exporter la base d'objets dans un fichier .CSV

Est ce que la même chose est prévu pour les objets web ?

Je sais qu'on peut récupérér ces informations dans un fichier en SSH mais c'était pour faciliter l'administration.

Merci,

Cordialement.

Résolue

Monitorer VPN

Posée par Herve Prieur dans Administration

Bonjour

Nous sommes en train de mettre en plus une solution de monitorage réseau (Zabbix pour ne pas le citer).

La réponse est certainement évidente, mais existe-t-il une manière simple pour monitorer des tunnels VPN montés entre SNS (SN300/500/3000) ?

Ps: A l'exeption bien entendu d'un ping sur des équipements distants ;-)

Vous remerciant par avance 

Résolue

QOS VPN

Posée par Remmii03 dans Administration

Bonjour,

 

Nous avons mis en place plusieurs stormshields dans notre administration en remplacement des Arkoon. Nous utilisons des VPN IPsec inter-sites pour faire transiter la téléphonie VOIP en interne. Depuis la migration Arkoon - Strormshield, nous rencontrons des problèmes de coupures lors de communications. Tous les sites ne bénéficies pas de la même qualité d'accès à internet. Je souhiaterais mettre en place de la QOS sur les VPN téléphonies pour qu'ils soient prioritaires. j'ai vu qu'il existait plusieurs types de QOS et que le CBQ était favorisé pour la VOIP. Lors de nos premiers tests, cela était pire que sans QOS. Je ne comprends pas logique de mis ene place et comment être sur qu'elle s'applique comme nous le souhaitons.

 

Merci de votre aides et de vos conseils.

 

Remi

Résolue

MAJ Fast 360- P1206

Posée par Olivier Eveno dans Administration

Bonjour,

 

Je souhaietais faire la mise à jour de mon Arkoon de la version 6.0/3 vers la 6.0/12

Mes questions sont les suivnates :

 

  1. Puis-je effectuer cette mise à jour en une seule fois ou dois-je proceder par palier de version ?
  2. J'ai relu l'esemble des Release note de le 6.0/3 à la 6.0/12 et n'ai rien vu concernant une modification de la structure de la base de données de l'Arkoon qui devarit m'obliger à puger ma base des journaux. pouvez-vous me confiermer cela ?

 

Dans l'attente de vous lire ...

Cordialement,

OE

Résolue

attaque possible de ressources

Posée par Hubert Hla dans Appliances virtuelles

Bonjour

avez -vous déja eu ce genres d'alarmes "attaque possible de ressources (connection)" sur une V50 .

c'est le kit de la formation CSNA , qui tourne sur un PC avec 6 Go RAM.

j'ai monté la mémoire du V50 à 2048 Mo

j'en ai plein  sur des requètes DNS (vers google) aussi en http vers les @ udpate stormschield

Du coup pour du maquettage c'est pas top ...

des pistes ??

Merci à tout ceux qui prendront du temps pour me lire .

 

Résolue

Pb de Routage ...

Posée par Johann Coquillet dans Administration

Bonjour,

Pour séparé les flux, nous avons des agences relièe via une solution BVPN Orange, et nous avons une liaison dédiée pour Internet sur chaque Agence.

Cette liaison Internet est sécurisée via des Stormshield (passerelle de l'ensemble des postes)

Nous avons un soucis sur le routage à configurer sur les stormshields pour que chaque agence puisse accéder en RDP sur les serveurs du site principal.

Si je ping les passerelle des stormshield pas de soucis, cela fonctionne. Par contre je n'arrive pas à avoir les retours des serveurs.

Joint un shéma rapide du réseau.

Je vous remercie pour votre aide, car je galère depuis quelques jours !!!

Résolue

Client IPSEC pour linux compatible Stormshield SN300

Posée par Gilles Salanie dans Administration

Bonjour à Tous,

 

Nous utilisons une appliance Stormshield SN300 pour implementer un VPN IPSEC. Nous nous y connectons via un client Windows disponible chez Stormshield mais je ne trouve pas de client pour linux. Savez s'il en existe ou quels seraient les clients open-sources compatibles ?

Merci d'avance pour votre aide

Gilles

Non résolue

Pb ipsec

Posée par Virgil Astran dans Administration

bonjour a tous,

Entre 2 SN 160 3.32 , impossible de monter un lien VPN IPSEC.

Erreur  : VPN IPsec:  200 Aucun objet valide n'a été trouvé 

passerrelle ok / lan ok. 

Une idée .?

Merci d'avance

Résolue

Probleme cluster Arkoon 1206

Posée par Boom Basstic dans Administration

Bonjour,

 

j'ai un probleme sur un cluster d'arkoon P1206.

veuillez excusez si mon explication n'est pas assez détaillée ou claire, mais je n'y connais pas grand chose dans la configuration de ces firewall.

 

le cluster était fonctionnel depuis, mais suite à un enchainement de choses assez bizarres (je détaillerai dans la suite si c'est necessaire a la résolution du problème)

quand je deploye une configuration par le manager, j'ai le message suivant sur le Firewall slave

Sysmon Alarm :
Name : logs db
Type : LOGS-MEDIA
State : ORANGE
Date : Fri Dec 15 11:43:40 CET 2017
Description : Database unavailable: unknown reason

Name : cluster conf
Type : CLUSTER-CONF
State : ORANGE
Date : Fri Dec 15 11:43:18 CET 2017
Description : Configuration is different between the two nodes (names differ (master != 2017-12-16))

 

Comment puis je réparer cette erreur?

 

Merci.

Non résolue

Temps de réponse élevé VPN SN160

Posée par Johann Bourbon dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Non résolue

Arkoon - Accès Internet avec Livebox Fibre

Posée par Jpperget dans Fonctionnalités et système

Bonjour,

Je souhaiterai savoir pour un Arkoon (par exemple pour un PS4 en version 6.03) s'il était possible de configurer un PPOE avec une livebox Fibre.

Il y a en effet une configuration particulière à réaliser (vlan 835) et je ne sais pas si c'est compatible avec Arkoon.

A priori ce n'est pas possible car on ne peut pas lié de VLAN dans le PPOE (uniquement interface physique)

Pouvez vous svp me confirmer cela ? Existe t il un contournement ?

Merci de votre retour,

Cordialement.

Non résolue

SVC : Soucis "elasticsearch" - Request Timeout after 30000ms

Posée par Cédric Guichard dans Appliances virtuelles

Bonjour tout le monde,

Je viens vers vous car je rencontre un petit problème et j'ai besoin de vos lumières après de nombreuses recherches. 

Heureux papa d'un Stormshield SN710, mon prestataire m'avait installé l'apliance Stormshield Visibility Center version 1.0.0 et à envoyé tous les logs vers du parfeu vers SVC. Malheureusement par manque de temps je n'ai pas pu revenir vers ce projet que maintenant. Voulant préparer une migration vers la version 1.2, je suis bloqué lors de la connexion au message d'erreur :

Status: Red
elasticsearch 1.0.0 Request Timeout after 30000ms

Et là c'est de drame, je ne sais plus quoi faire. J'ai regardé sur le net sans solution. Mon manque de savoir sur ce produit, combiné à mon savoir sur Linux s'avère peu concluant.

Avez-vous des pistes de correction ?

Merci d'avance

Non résolue

Utiliser Wan:port sur Lan

Posée par Cédric Philippot dans Administration

Bonjour,

 

Je possède un SN500 sur le réseau d'une école. Un groupe d'étudiant souhaite mettre en test un serveur Nextcloud. J'ai fait l'ouverture dans le NAT du port http. On veut tester la connexion depuis l'appli mobile Nextcloud. quand on tape l'adresse IP Wan sur lequel le serveur est connecté depuis un autre réseau ayant un Wan différent, cela marche nickel, l'appli contacte bien le serveur cloud. Par contre, quand on est connectéavec un mobile au LAN hébergeant le serveur cloud, et qu'on lance la connexion avec l'appli (qui est configurée pour se connecter sur l'adresse Wan), cela ne fonctionne pas. Y a t il quelque chose à faire sur le stormshield pour faire en sorte que, sur le lan, quand on saisi @WAN:80 cela arrive sur @LAN:80 ?

Merci 

Non résolue

Pb ipsec

Posée par Virgil Astran dans Administration

bonjour a tous,

Entre 2 SN 160 3.32 , impossible de monter un lien VPN IPSEC.

Erreur  : VPN IPsec:  200 Aucun objet valide n'a été trouvé 

passerrelle ok / lan ok. 

Une idée .?

Merci d'avance

Non résolue

Migration Juniper SRX vers Stomshield SN710

Posée par Azzelarab Hamidane dans Trucs et Astuces

Bonjour,

Je suis entrain de préparer une migration d'un Cluster Juniper SRX series en version 12.3X48-D30 vers un cluster Stormshield SN710.

Je cherche un moyen ou une astuce pour migrer une dizaines de zones (Security zones) déployées sur Junos vers Stomshield. Si quelqu'un à déja réalisé ce genre de transposition je suis preneur de toute information ou conseil.

Merci par avance pour vos retour d'expérience.

Bien cordialement

Non résolue

alarme filtrage

Posée par Olivier de Amicis dans Securité

bonjour !

je possede un SN700 depuis qq années, et je me penche sur les alarmes dernierement.

j'aimerai bien pouvoir desactiver completement le systeme IPS, beaucoup tro sensible a mon gout, mais il semble que ce n'est pas possible.

j'ai donc désactivé les alarmes qui me posaient des problemes de "bloquer" à "autoriser"

sauf que : sur une patte ou se trouve mon wifi, j'ai des alarmes de type :

anonymous  broadcast alarme de filtrage 

anonymous  broadcast  detection de protocol non autorisé (UDP)

ce sont des demandes en bootpc(68)

 

malheursement, je ne peux pas changer le mode bloquer par autoriser car l'option est grisée.

auriez vous une astuce pour soit :

- dévérouillé le mode grisé et passer mon option a autoriser ?

- desactivé completement le mode IPS dont je ne me sert pas (tout est sur Firewall car lIDS et l'IPS me saquagent les connexions réseaux)

 

merci d'avance pour vos lumieres.

 

amicalement

 

oliv

 

Non résolue

Personnalisation Portail captif

Posée par Maxime Berlioz dans Trucs et Astuces

Bonjour,

 

Savez-vous s'il est possibile de personnaliser le portail captif d'un SN-510, surtout la page userinfo.html, sur laquelle j'aimerais rajouter des liens et autres en plus de ceux déjà en place.

Merci d'avance

Non résolue

Problème certificat filtrage SSL

Posée par Johnny Cash dans Fonctionnalités et système

Bonjour,

 

J'ai mis en place un filtrage au sein de mon réseau :

 

 

ça fonctionne bien, sauf que j'ai un souci dès qu'on tombe sur quelques sites SSL, par exemple si la personne veut aller sur francebleu.fr ça donne :

 

Reason : The SSL server certificate authority is not trusted
Common name: Kubernetes Ingress Controller Fake Certificate

 

ou un autre site :

 

Reason : The SSL server certificate is expired or not yet valid

 

J'ai installé pourtant le certificat généré en .der du netasq sur le navigateur (on utilise tous firefox)

Je ne suis pas un expert... alors si vous pouvez m'éclairer ! Merci beaucoup !

Non résolue

Stormshield - Tcp timeout

Posée par Fredj21 dans Securité

Bonjour,

peut-on configurer une durée de session TCP sur un port en en particuiler ? ou dans le contexte d'une rêgle de filtrage ?

En version 2 ou 3 de stormshield

Cdt,

 

 

 

 

Non résolue

recherche maj pour Netasq U120 U30

Posée par Damien Brenot

bonjour

je recherche des fichiers de MAJ pour Netasq / Stormshield U120 et U30 version 9.0.1 à 9.0.8,

stormshield ne propose plus sur son espace client que les versions 9.1.x et supérieur

si qqun a téléchargé ces .maj , cela m'interresserait vivement

merci et bonne journée :)

 

Non résolue

Etude solution Security Box

Posée par Loïc Fabre

Bonjour, je suis alternant chez Groupama et on m'a assigné la tache de faire une étude d'évaluation de la solution Security Box. Je n'ai pas trouvé de documentation technique ni d'information concernant le coût de la solution, le système de licence ou la formation. Pourriez-vous me communiquer un lien ou un document technique de la solution?

Cordialement

Non résolue

Classification d'une URL

Posée par Karl dans Administration

Bonjour,

Notre stormshield classe l'url d'un webmail interne en tant que "Malware".

Avant de mettre cette adresse en liste blanche, j'aurais voulu savoir si il était possible de connaitre la raison pour laquelle le SNS effectuait cette classification.

Merci

Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

SSH TCP Forwarding

Posée par Entrax Entrax dans Administration

Hello,

 

Est-il possible de configurer la directive AllowTcpForwarding dans la configuration SSH de boitiers Stormshield SN ?

Je souhaite accèder au portail d'administration via tunnel SSH (ssh -L port_local:localhost:443 ....).

Cependant, je n'ai rien trouvé pour configurer le TCP Forwarding dans la WebUI et le fichier /etc/ssh/sshd_config est réécris au reboot.

Sans cela , un joli :

'channel 3: open failed: administratively prohibited: open failed'

 

Thanks,

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Non résolue

Configuration QoS

Posée par Zbigniew Luszczyk dans Administration

Bonjour à tous

L'équipement concerné est un SN2000.

Le problème: la bande passante Internet saturée.

Nous avons quelques applications en mode SaaS. Il arrive que le temps de réponse de ces applications est inacceptable. Je me suis aperçu que certains utilisateurs saturent la bande passante Internet. De quelle façon je peux garantir la bande passante pour les applications SaaS ?

Merci d’avance pour votre aide.

Non résolue

Portail captif LAN/WAN/WIFI

Posée par Karl dans Administration

Bonjour,

Je n'arrive pas à configurer "proporement" mes portails d'authentifications sur mes appliances Stormshield. Quelque-chose doit m'échaper.

Voici la configuration que nous déployons régulièrement sur nos sites :

Cluster de SN300 ou 500

Une interface WAN, pour sortir sur internet

Une interface LAN, qui donne accès au réseau d'entreprise via un VPN IPsec

Une interface Wifi, pour offrir un accès internet grand public, non connecté au réseau d'entreprise.

J'aimerais mettre en place, dans un premier temps, une authentification sur les accès LAN et WIFI.

Pour l'accès LAN, j'utilise la méthode SSO et j'aimerais proposer le portail captif pour des ordinateurs hors domaines qui viennent se connecter sur le LAN.

Pour l'accès WIFI, j'utilise la méthode Guest.

Et c'est là que ça se corse...

Le portail captif a un serveur ssl porté par un certificat wildcard digicert (*.maisadour.com) [Dans Authentification -> Portail captif] afin que les intervenants externes puisse se...

Voir la suite
Non résolue

VPN IPSEC netasq V8 - Stromshield

Posée par Jean Denisse dans Fonctionnalités et système



Bonjour à tous, je viens vers vous aujourd'hui car je ne comprends pas pourquoi mon vpn IPSEC ( site à site ) ne fonctionne pas.

je sais que netasq V8 n'est plus supporté etcc mais dans mon stormshield même pas il s'initilise et se met en erreur aprés c'est comme si le vpn ne se lançais pas du tout.

 

une idée ?

Merci d'avance.

 

 

 

 

 

Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Résolue

Stormshiel Real Time Monitor et remontées d'info depuis firmware 3.4 SN710 ?

Posée par Didier Fourt dans Fonctionnalités et système

Bonjour,

Suite à la mise à jour du firmware en 3.4 de mon SN710, je n'ai plus d'infos qui remonte au niveau de l'application "Real Time Monitor" c'est à dire les connexions et évènements aux niveau des machines.

J'ai entendu dire que ce firmware activait une focntion "Anonymization" mais j'aimerais bien pouvoir voir ce que font mes machines.

Auriez-vous une piste ?

Merci
Didier

Résolue

tentative de bruteforce détectée

Posée par Siegfried M. dans Administration

Bonjour,

Je suis en SNS 3.4 et j'ai eu ce message ce matin:

Major 2018-01-29 10:46:49 xa4.xxxxxx.xxx Firewall_bridge  Cette adresse est bannie de l'accès au portail d'authentification : tentative de bruteforce détectée

Je ne sais pas quoi faire. Surtout que sur le Real time monitor je n'ai plus accès ni aux machines en quarantaine ni aux utilisateurs.

Merci pour votre aide.

PS: va t-il y avoir un real time monitor pour la version 3.4?

Cordialement.

Résolue

Problème Arkoon Monitoring 6.0-12

Posée par Boom Basstic dans Administration

Bonjour,

 

depuis ce matin quand je lance Arkoon Monitoring 6.0-12, sur mon ordinateur (windows10), le logiciel se lance, j'ai la fenetre bleue de lancement  qui apparait pendant une fraction de secondes, et puis plus rien. Le logiciel semble lancé, l'icone est dans ma barre des tâches, mais impossible d'avoir une fenetre qui s'affiche. Hier tout fonctionnait bien, je n'ai pas changé quoique ce soit sur mon OS. Le manager lui fonctionne correctement.

Y a t'il quelque part un log pour voir d'ou vient le probleme? ou si vous avez une solution, je vous en remercie d'avance.

Résolue

Stormshield / Config Client Open Vpn

Posée par Laurent Dufréchou dans Administration

Bonjour,

Nous avons mis en place un VPN SSL sur un SN210W.

(TCP et UDP)

Le client founit par Stormshield fonctionne correctement sous windows, par contre j'ai des utilisateurs sous Mac.

Ils utilisent Tunnel blick et je n'arrive pas a trouver la config openvpn utilisée par Stormshield pour se connecter au VPN SSL.

A priori nous sommes en config standard car la simple installation du client permet d'établir le lien VPN.

Peut on exporter une config openvpn depuis l'interface du SN210 ou une config par défaut est elle dispo quelque part?

Cordialement,

Laurent

Résolue

Export objet web

Posée par Jpperget dans Administration

Bonjour,

Meilleurs voeux à toute l'équipe pour 2018.

Depuis l'interface web, dans mon exemple, sur un V200 en version 3.3.1, dans les objets réseaux, il est possible d'exporter la base d'objets dans un fichier .CSV

Est ce que la même chose est prévu pour les objets web ?

Je sais qu'on peut récupérér ces informations dans un fichier en SSH mais c'était pour faciliter l'administration.

Merci,

Cordialement.

Résolue

Monitorer VPN

Posée par Herve Prieur dans Administration

Bonjour

Nous sommes en train de mettre en plus une solution de monitorage réseau (Zabbix pour ne pas le citer).

La réponse est certainement évidente, mais existe-t-il une manière simple pour monitorer des tunnels VPN montés entre SNS (SN300/500/3000) ?

Ps: A l'exeption bien entendu d'un ping sur des équipements distants ;-)

Vous remerciant par avance 

Résolue

QOS VPN

Posée par Remmii03 dans Administration

Bonjour,

 

Nous avons mis en place plusieurs stormshields dans notre administration en remplacement des Arkoon. Nous utilisons des VPN IPsec inter-sites pour faire transiter la téléphonie VOIP en interne. Depuis la migration Arkoon - Strormshield, nous rencontrons des problèmes de coupures lors de communications. Tous les sites ne bénéficies pas de la même qualité d'accès à internet. Je souhiaterais mettre en place de la QOS sur les VPN téléphonies pour qu'ils soient prioritaires. j'ai vu qu'il existait plusieurs types de QOS et que le CBQ était favorisé pour la VOIP. Lors de nos premiers tests, cela était pire que sans QOS. Je ne comprends pas logique de mis ene place et comment être sur qu'elle s'applique comme nous le souhaitons.

 

Merci de votre aides et de vos conseils.

 

Remi

Résolue

MAJ Fast 360- P1206

Posée par Olivier Eveno dans Administration

Bonjour,

 

Je souhaietais faire la mise à jour de mon Arkoon de la version 6.0/3 vers la 6.0/12

Mes questions sont les suivnates :

 

  1. Puis-je effectuer cette mise à jour en une seule fois ou dois-je proceder par palier de version ?
  2. J'ai relu l'esemble des Release note de le 6.0/3 à la 6.0/12 et n'ai rien vu concernant une modification de la structure de la base de données de l'Arkoon qui devarit m'obliger à puger ma base des journaux. pouvez-vous me confiermer cela ?

 

Dans l'attente de vous lire ...

Cordialement,

OE

Résolue

attaque possible de ressources

Posée par Hubert Hla dans Appliances virtuelles

Bonjour

avez -vous déja eu ce genres d'alarmes "attaque possible de ressources (connection)" sur une V50 .

c'est le kit de la formation CSNA , qui tourne sur un PC avec 6 Go RAM.

j'ai monté la mémoire du V50 à 2048 Mo

j'en ai plein  sur des requètes DNS (vers google) aussi en http vers les @ udpate stormschield

Du coup pour du maquettage c'est pas top ...

des pistes ??

Merci à tout ceux qui prendront du temps pour me lire .

 

Résolue

Pb de Routage ...

Posée par Johann Coquillet dans Administration

Bonjour,

Pour séparé les flux, nous avons des agences relièe via une solution BVPN Orange, et nous avons une liaison dédiée pour Internet sur chaque Agence.

Cette liaison Internet est sécurisée via des Stormshield (passerelle de l'ensemble des postes)

Nous avons un soucis sur le routage à configurer sur les stormshields pour que chaque agence puisse accéder en RDP sur les serveurs du site principal.

Si je ping les passerelle des stormshield pas de soucis, cela fonctionne. Par contre je n'arrive pas à avoir les retours des serveurs.

Joint un shéma rapide du réseau.

Je vous remercie pour votre aide, car je galère depuis quelques jours !!!

Résolue

Client IPSEC pour linux compatible Stormshield SN300

Posée par Gilles Salanie dans Administration

Bonjour à Tous,

 

Nous utilisons une appliance Stormshield SN300 pour implementer un VPN IPSEC. Nous nous y connectons via un client Windows disponible chez Stormshield mais je ne trouve pas de client pour linux. Savez s'il en existe ou quels seraient les clients open-sources compatibles ?

Merci d'avance pour votre aide

Gilles

Résolue

Probleme cluster Arkoon 1206

Posée par Boom Basstic dans Administration

Bonjour,

 

j'ai un probleme sur un cluster d'arkoon P1206.

veuillez excusez si mon explication n'est pas assez détaillée ou claire, mais je n'y connais pas grand chose dans la configuration de ces firewall.

 

le cluster était fonctionnel depuis, mais suite à un enchainement de choses assez bizarres (je détaillerai dans la suite si c'est necessaire a la résolution du problème)

quand je deploye une configuration par le manager, j'ai le message suivant sur le Firewall slave

Sysmon Alarm :
Name : logs db
Type : LOGS-MEDIA
State : ORANGE
Date : Fri Dec 15 11:43:40 CET 2017
Description : Database unavailable: unknown reason

Name : cluster conf
Type : CLUSTER-CONF
State : ORANGE
Date : Fri Dec 15 11:43:18 CET 2017
Description : Configuration is different between the two nodes (names differ (master != 2017-12-16))

 

Comment puis je réparer cette erreur?

 

Merci.

Résolue

problème SGA port 1300

Posée par J 94 dans Administration

Bonjour,

 

Madame, Monsieur,

 

J'ai un problème avec mon équipement Stormshield SN200 concernant la mise en place de mon équipement sur ma topologie SGA .

Mon équipement Stormshield se trouve actuellement derrière mon routeur SFR.

Le port 1300 servant d'administration pour les équipements Stormshield Network Security (Firewall_srv : port TCP : 1300)  n'est pas pris en charge par mon routeur SFR , ce port est actuellement réservé par mon opérateur.

 

J'ai essayé une méthode,je ne sais pas si je peux faire cela.

 

Je m'explique,j'ai décidé par le biais de mon routeur d'ouvrir le port 1341 en remplacement pour mon routeur .Ayant créé un port sur mon stormshield (Storm : port TCP : 1341 ) sur mon stormshield et l'ayant attribué à mon groupe Admin_srv quand je créer ma topologie sur mon SGA,j'ai une connexion refusée.

Je signale que j'accède bien en HTTPS, sur mon Stormshield le logiciel Stormshield Real-Time Monitor est bien fonctionnel quand je regarde je n'ai...

Voir la suite
Résolue

Fonctionnement VLAN sur Stormshield

Posée par Jm S dans Fonctionnalités et système

Bonjour,

nouvel utilisateur d'un Stormshield SN510, je cherche à utiliser les VLANs.

Je n'ai pas bien saisi comment ils s'articulent dans l'arborescence des interfaces. J'ai plutôt l'habiture de créer un vlan et d'y coller des interfaces physiques. Du coup, les interfaces physiques avec plusieurs vlans feront du tagging/802.1q.

Actuellement j'ai:

- 1 bridge "WAN"
- 1 bridge "LAN"
- 1 bridge "DMZ"

Je souhaite rajouter une borne wifi "multi-ssid" dans laquelle j'ai 2 SSID avec chacun leur VLAN: vlan 1 pour le LAN et vlan 220 pour les visiteurs.

La question est: comment je "dessine" ma vue interface ?

Merci pour vos réponses,

jms

Résolue

SNS 700 - Skype

Posée par Siegfried M. dans Administration

Bonjour,

Comment puis-je autoriser simplement l'accès à Skype pour mes postes?

J'ai esssayé de créer une règle au dessus des règles de filtrage (proxy):

Passer=> any=> internet=> protocole skype

Ca ne fonctionne pas.

Merci pour votre aide.

Cordialement,

Siegfried

Messages d'alerte