218 Membres 999 Contributions

Open Community

Questions

Non résolue

Erreur 403 forbidden pour la connexion vpn ssl portal stormshield v 3.0.3

Posée par Mikyas Tadesse dans Fonctionnalités et système

Bonjour à tous,

 Je suis entrain de mettre en place un vpn ssl portal sur une vm stormshield version 3.0.3. Mais quand j'essaye d'accéder la page d'authentification j'ai l'erreur 403 forbidden. 

 

 Les actions que j'ai fait sont les suivants :

 

   -dans Configuration->vpn ssl portal onglet générale j'ai activer le vpn ssl uniquement pour serveur web

    -dans Configuration->vpn ssl portal onglet serveur web j'ai ajouté un serveur web

 -dans Configuration->vpn ssl portal onglet profils utilisateur j'ai ajouté un profil utilisateur

-dans Configuration->vpn ssl j'ai rempli les champs et activer le vpn ssl

Et c'est tout ce que j'ai fait. Il ya forcément un élément que j'ai oublié. Quelqu'un pourrai-t-il me le dire ? Je serrai reconnaissant !

Ps : Je suis en pass all

 

Résolue

MIB Arkoon P-1206

Posée par Bobo Bobo dans Administration

Bonjour,

Je souhaiterai superviser les informations VPN de mon firewall Arkoon P-1206 (version firmware 6.0/12).

Seul problème, je ne trouve pas d'OID qui peuvent correspondre aux informations VPN. J'ai bien trouvé les OID pour supervisier la partie système (cpu, mémoire, trafic, disk...) mais rien concernent les liens VPN...

Où se trouve la MIB qui contient les informations VPN ? Pourquoi je n'ai pas accès à tous les OIDs sur ce matériel ?

Ou est-ce que je peux récupérer ces informations via les traps snmp ?

 

Cordialement.

 

Résolue

relais DHCP sur bridge SN 510 v 2.5.2

Posée par Thierry Gump dans Administration

Bonjour,

j'ai créé un bridge entre deux inerfaces de mon firewall, et je tente en vain d'activer le relais DHCP, il semble que mes requetes ne passent pas le firewall malgré l'activation de 'relais DHCP'.

Savez vous si il faut definir des reglès de filtrage spécifiques pour que les requetes avec le serveur DHCP traverssent le bridge 'normalement' ?

J'ai actuellement de définit dans relais DHCP :

serveur DHCP : adresse de mon serveur (freebox d'un coté du bridge)

interfaces : les deux interfaces de mon bridge.

merci d'avance,

th

Non résolue

Alerte coupure VPN

Posée par Florian Tulon dans Fonctionnalités et système

Bonjour,

Pourriez-vous me dire s'il est possible de configurer une alerte par mail lorsqu'un tunnel vpn (IPSEC) se déconnecte au niveau de l'appliance (STORMSHIELD SN200 version 3.0.2) ?

Je vous remercie d'avance pour votre retour.

Non résolue

SN500 : Objet Routeur avec passerelle opérationnelle mais injoignable

Posée par Alain Bosco dans Administration

Bonjour.

J'ai un SN500 version 2.6.1 avec deux passerelles : 1 accès cablé principal et 1 accès PPPoE VDSL de secours.

Les deux accès fonctionnent normalement lorsque je règle l'un ou l'autre passerelle comme passerelle par défaut.

Lorsque j'utilise un objet routeur l'accès cablé principal est bien indiqué comme "Actif" dans le realtime monitor. Par contre l'accès PPPoE de secours est toujours marqué comme "Non joignable".
En cas de coupure de l'accès principal le basculement sur l'accès de secours ne se fait pas.

J'ai fait beaucoup d'essais. Un truc bizarre est que le realtime monitor indique l'adresse IP publique PPPoe est celle de l'objet automatique "peer" à la place de la vraie adresse IP publique du modem.
Pourtant j'arrive à pinger sans problème la passerelle de secours, aussi bien son adresse IP interne que son adresse IP externe et même l'adresse IP "peer'.

Il y a quelque chose qui peut empêcher la détection d'une passerelle comme étant active ?

Merci.

Résolue

FTP / EPSV

Posée par Michaël dans Administration

Bonjour,

J'ai un flux FTP bloqué par l'analyse FAST : invalid command EPSV

Je ne pense pas que le mode EPSV nous soit utile, mais je n'ai pas la main sur la configuration du FTP (ni côté client, ni côté serveur) pour pouvoir désactiver ce mode.

Existe-t-il une configuration FAST FTP connue permettant d'autoriser ce mode EPSV ?

(Arkoon en V6).

Cordialement.

Résolue

Cluster arkoon P1206

Posée par Henri Hemery dans Matériels et performances

Bonjour,

 

Nous avons ici un cluster de P1206 dont le 2e boitier n'a jamais été intégré, et cela depuis des années.

Mes clients décident maintenant de ne finalement pas intégrer ce 2e boitier, et je veux sortir de cette conf bancale.

Est il possible de "casser" un cluster et de revenir à un standalone sans avoir à refaire toute la configuration?

 

Merc i pour votre réponse.

Résolue

Suppression d'un utilisateur déjà connecté en VPN SSL

Posée par Thomas Chevallier dans Fonctionnalités et système

Bonjour,

J'éssaie depuis quelques jours de trouver une réponse à une question.

Est il possible de déconnecter la session d'un utilisateur connecté par le portail SSL?

Nous travaillons avec une administration où certains utilisateurs utilisent cette fonctionnalité depuis plusieurs sites, et ils ne peuvent se reconnecter car ils sont déjà connectés depuis un autre site...

Depuis l'interface Real Time Monitor, on voit bien les sessions, mais on ne  peut pas déconnecter les utilisateurs.

Voir les messages en PJ.

Si quelqu'un à déjà rencontré ça ou à une solution, je suis preneur:)

Par avance merci.

Thomas C

 

Résolue

Arkoon Manager erreur de cohérence

Posée par Jpperget dans Administration

Bonjour,

Lorsque je pousse une configuration, sans modification particulière, et sans erreur en faisant vérifier la configuration, j'obtiens toujours une erreur de cohérence en souhaitant installer la configuration.

Appliance (M1000) en HA avec serveur AMC dans la même version que les Appliances (6.0/3)

Rien d'anormal dans les logs sur l'AK1

Sur l'AK2, il y a des erreurs de type (j'ai juste masqué l'iP Lan par *)

Feb  8 17:22:07 ak2 MGT[4587]: sending 'MGT:MSG STATUS SENDALLTOPEER' to 192.168.*.120:1759 failed: 'ERR: 'send: ERR: sending 'MGT:MSG STATUS SETINFOSXML 368fd5ab32d343a9c48411a17e4080b91...' failed: '192.168.*.121: SSL operation SSL_read failed: SSL connection closed by peer'': 368fd5ab32d343a9c48411a17e4080b917ee24665ddcea0ecab5e88e9713d836.d1b8158a63339dc0c4c620d09eff6aafac562e0a92588131874f0eb25c7fd8c9 (info.xml)'

 

Voici le détail sur le manager

 


OK: Numéro de version calculé
OK: '/var/arkoon-amc/lille/tmp/.tmp-akv4.conf'
OK:...

Voir la suite
Résolue

IPSEC PHASE 2 client VPN

Posée par Florian Tulon dans Fonctionnalités et système

Bonjour,

Je rencontre un problème avec le client VPN Stormshield et un SN200.

La connexion en VPN IPSEC se bloque à la phase 2 :

Sur le journal de l'application, le blocage se fait à cette étape :

SEND Phase 2 Quick Mode [HASH][SA][KEY_EXCH][NONCE][ID][ID]

Dans le journal du Stormshield, nous avons : Phase 2 IPSEC échouée

Le VPN IPSEC est configuré en IKEV1.

La version de l'appliance SN200 : 3.0.2

La version de l’application cliente Stormshield : 6.40.004

 

Je vous remercie d'avance pour votre aide.

Résolue

Arkoon Manager: Administrer une 2nde Appliance

Posée par Thibault Guerin dans Administration

Bonjour,

Je suis en train d'installer un VPN entre 2 réseaux pour mon entreprise. J'utilise des Arkoon Fast360 Small Series et Arkoon Manager 6.0-8.

Je n'ai aucun problement à configurer puis administrer la premiere appliance. Seulement je ne sais pas comment ajouter ma deuxiement appliance à ma configuration pour elle aussi configurer ses interfaces etc...(je sais pas si je suis clair)

J'ai bien lu le guide d'administration et sois j'ai des problemes de vue, sois j'ai rien compris.

Serait-il possible au moins que vous m'orientez sur la procédure.

En vous remerciant.

 

Thibault.

Résolue

FAST360 A20 - pb arkoon manager + licence

Posée par Sam dans Administration

Je rencontre quelques difficultés à mettre en service un FAST360, modèle A20.

J'ai installé la version 5.0-28 qui est la dernière version proposée pour cette gamme (modèles AXX).
(les appliances de type XPA étant en fin de vie au 31 décembre 2012)


premier problème : je n'arrive pas à injecter une configuration avec la version 5.0-28 de l'Arkoon manager.
Il a fallu que j'installe la version 5.0-34 de l'Arkoon manager pour laquelle ça fonctionne mais normalement on doit avoir la même version que l'appliance.
Est-ce que ça peut poser problème ?


second problème : je n'arrive pas à obtenir de licence en suivant la procédure sur http://license.arkoon.net.
Après avoir renseigné le serial, activation key, et fourni le fichier license.akr, j'obiens le message d'erreur suivant :
"Error creating license/certificate".

Est-il obligatoire d'avoir une licence sur l'appliance ?
Sans licence, quels services ne fonctionneront pas ?
(les services de base tels que le routage, le firewall...

Voir la suite
Résolue

Compatibilité vAMC 6.0/12

Posée par Jonathan Escolier dans Appliances virtuelles

Bonjour,

 

Nous avons besoin pour un client de mettre à jour une vAMC 6.0/2 en 6.0/12. Celle-ci tourne actuellement sur une VM Ubuntu 8.04.1 et nous souhaiterions savoir si la VM doit être monté obligatoirement sur une distrib RedHat / CentOS6 ou si la version RPM peut-etre installé sur l'Ubuntu ? 

 

Merci. 

Non résolue

Connexion suspecte PPTP

Posée par Siegfried M. dans Securité

Bonjour,

Cette nuit, j'ai eu ce message plusieurs fois sur un SNS 710:

Connexion cliente sur le serveur PPTP local terminée pour @UNSPEC

Quelqu'un a t-il essayé de d'y connecter d'une manière "brutale" ? 

Merci pour votre aide.

Cordialement.

Siegfried.

 

Résolue

VPN IPSEC Phase 1

Posée par Florian Tulon dans Fonctionnalités et système

Bonjour à tous,

Nous avons installé un Stormshield SN200 chez un de nos client et nous souhaitons réaliser un VPN IPSEC avec l'application VPN Client.

Hors, malgrés plusieurs type de confguration, nous avons toujours un problème en phase 1 : authentification failed. Nous utilisons une clé prépartagée et non un certificat.

Pourriez-vous me donner des pistes pour résoudre le problème ?

Je vous remercie d'avance :) !

Résolue

Arkoon VE monitoring via SNMP

Posée par Jonathan Escolier dans Administration

Bonjour,

Est il possible de monitorer en SNMP la commande cat /proc/arkoon/max_cnx_ve ?

Sur une VE150 (Appliance virtuelle) en version 6.0-4.

Nous supervisons deja avec notre outils interne le IN et le OUT de l'interface LAN.

Dans le scan SNMP on voit les interfaces mais rien concernant le /proc/arkoon
J'ai vu dans la documentation qu'il faut certainement configuré le SNMP, avez vous svp plus de détails à ce sujet ? Des exemples de configuration pour notre cas ?

 

Pour précision, dans la configuration du manager nous avons coché toutes les vues consultables (system, ifaces, proc...) 

 

Merci

Non résolue

VPN-SSL avec la PKI Digicert

Posée par Nico59 dans Fonctionnalités et système

Bonjour,

Nous venons de faire l'acquisition d'un cluster SN-2000 (V2.6). Je souhaite affiner la configuration en utilisant la PKI externe DIGICERT (Service proposé par RENATER) pour la partie VPN SSL.

Pour la configuration il faut 2 certificats : 1 serveur et 1 client.

J'ai créé et fait signer ces 2 certificats. J'ai réussi à les importer sans problème.

Le problème apparait en les choississant dans la partie VPN->VPN SSL. Message d'erreur.

Le support Stormshield m'a indiqué en fournissant les logss, que les certificats provonaient de 2 CA differentes.

Le support Digicert m'a confirmé les certificats serveurs provenaient d'une CA et les certificats clients d'une autre CA.

Quelqu'un a déjà fait cette configuration avec Digicert pour le VPN SSL ?

 

Merci

 

Nicolas

 

 

 

 

 

Résolue

SN200 Interface 1+ 2x2 ports ?

Posée par Alain Bosco dans Matériels et performances

Bonjour à tous.

J'ai cherché mais je n'ai pas trouvé à quoi correspond la configuration 1+ 2x2 ports des interfaces du SN200.
J'ai un SN500 avec 8 interfaces donc là je comprends. Par contre je me demande si on peut avoir 3 accès Internet connectés sur un SN200 ou s'il faut avoir au minimum un SN300 ?

Merci d'avance.

Non résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Non résolue

Erreur 403 forbidden pour la connexion vpn ssl portal stormshield v 3.0.3

Posée par Mikyas Tadesse dans Fonctionnalités et système

Bonjour à tous,

 Je suis entrain de mettre en place un vpn ssl portal sur une vm stormshield version 3.0.3. Mais quand j'essaye d'accéder la page d'authentification j'ai l'erreur 403 forbidden. 

 

 Les actions que j'ai fait sont les suivants :

 

   -dans Configuration->vpn ssl portal onglet générale j'ai activer le vpn ssl uniquement pour serveur web

    -dans Configuration->vpn ssl portal onglet serveur web j'ai ajouté un serveur web

 -dans Configuration->vpn ssl portal onglet profils utilisateur j'ai ajouté un profil utilisateur

-dans Configuration->vpn ssl j'ai rempli les champs et activer le vpn ssl

Et c'est tout ce que j'ai fait. Il ya forcément un élément que j'ai oublié. Quelqu'un pourrai-t-il me le dire ? Je serrai reconnaissant !

Ps : Je suis en pass all

 

Non résolue

Alerte coupure VPN

Posée par Florian Tulon dans Fonctionnalités et système

Bonjour,

Pourriez-vous me dire s'il est possible de configurer une alerte par mail lorsqu'un tunnel vpn (IPSEC) se déconnecte au niveau de l'appliance (STORMSHIELD SN200 version 3.0.2) ?

Je vous remercie d'avance pour votre retour.

Non résolue

SN500 : Objet Routeur avec passerelle opérationnelle mais injoignable

Posée par Alain Bosco dans Administration

Bonjour.

J'ai un SN500 version 2.6.1 avec deux passerelles : 1 accès cablé principal et 1 accès PPPoE VDSL de secours.

Les deux accès fonctionnent normalement lorsque je règle l'un ou l'autre passerelle comme passerelle par défaut.

Lorsque j'utilise un objet routeur l'accès cablé principal est bien indiqué comme "Actif" dans le realtime monitor. Par contre l'accès PPPoE de secours est toujours marqué comme "Non joignable".
En cas de coupure de l'accès principal le basculement sur l'accès de secours ne se fait pas.

J'ai fait beaucoup d'essais. Un truc bizarre est que le realtime monitor indique l'adresse IP publique PPPoe est celle de l'objet automatique "peer" à la place de la vraie adresse IP publique du modem.
Pourtant j'arrive à pinger sans problème la passerelle de secours, aussi bien son adresse IP interne que son adresse IP externe et même l'adresse IP "peer'.

Il y a quelque chose qui peut empêcher la détection d'une passerelle comme étant active ?

Merci.

Non résolue

Connexion suspecte PPTP

Posée par Siegfried M. dans Securité

Bonjour,

Cette nuit, j'ai eu ce message plusieurs fois sur un SNS 710:

Connexion cliente sur le serveur PPTP local terminée pour @UNSPEC

Quelqu'un a t-il essayé de d'y connecter d'une manière "brutale" ? 

Merci pour votre aide.

Cordialement.

Siegfried.

 

Non résolue

VPN-SSL avec la PKI Digicert

Posée par Nico59 dans Fonctionnalités et système

Bonjour,

Nous venons de faire l'acquisition d'un cluster SN-2000 (V2.6). Je souhaite affiner la configuration en utilisant la PKI externe DIGICERT (Service proposé par RENATER) pour la partie VPN SSL.

Pour la configuration il faut 2 certificats : 1 serveur et 1 client.

J'ai créé et fait signer ces 2 certificats. J'ai réussi à les importer sans problème.

Le problème apparait en les choississant dans la partie VPN->VPN SSL. Message d'erreur.

Le support Stormshield m'a indiqué en fournissant les logss, que les certificats provonaient de 2 CA differentes.

Le support Digicert m'a confirmé les certificats serveurs provenaient d'une CA et les certificats clients d'une autre CA.

Quelqu'un a déjà fait cette configuration avec Digicert pour le VPN SSL ?

 

Merci

 

Nicolas

 

 

 

 

 

Non résolue

Problème Tunnel lors de la phase 2 (isakmp: phase 2/others R oakley-quick)

Posée par Guillaume V dans Administration

Bonjour,

   Je viens vers vous pour un problème rencontré lors de l'activation d'un tunnel vpn entre 2 NetAsq : un en V8 et un en v9 (le v9 et en H.A.)

    En effet, impossible de faire monter le tunnel alors que le monitoring m'indique bien : Phase 2 established. 

    En me mettant en écoute (Tcpdump) sur les 2 NetAsq voila ce que je vois pour la phase 2 :

isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick
isakmp: phase 2/others I oakley-quick
isakmp: phase 2/others R oakley-quick

    J'ai essayé de modifier les paramètre de chiffrement et authentification, mais rien de mieux ne passe.

    J'ai déjà rencontré ce problème avec un autre tunnel entre un NetAsq v8 et v9 (en H.A.), qui avait été résolu en redémarrant les 2 NetAsq H.A. v9

    Pour mon problème actuel je n'ais pas effectué le redémarrage, car je voudrais trouver la raison de ce bloquage au lieu de redémarrer bêtement.

    Auriez-vous une piste / idée / solution ?

Merci

Non résolue

Translation sortante

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

J'ai un réseau d'adresse IP publique qui n'est affecté à aucune interface réseau d'un pare-feu arkoon (6.0.9). Le routeur de l'opérateur route ce réseau public sur l'IP de passerelle externe de l'arkoon.

Je souhaite utiliser sur mes arkoon une adresses IP publique unique pour gérer les translations d'adresse IP sortantes des postes internes pour leur navigation web.

Pour cela, j'ai configurer une règle dans laquelle au niveau de l'action j'ai précisé une tranlation d'adresse source avec l'IP concerné.
Le reste de la règle est classique :
- source IP : réseau des poste de travail ;
- destination : any ;
- service : HTTP.

Bien que cette configuration fonctionne parfaitement, j'ai un warning :
WAR-0000004120 :  N-1 translation address xxx.xxx.xxx.xxx does not belong to any know appliance's subnet.

Comment me débarrasser de ce warning ?

Est-ce que cela peut poser un problème de sécurité ?

Merci d'avance pour votre aide.

Non résolue

Perte de Connexion VPN, Besoin d'un Chamane

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Comme le titre le laisse présager, cela ne va pas être simple, mais on ne sait jamais.

J'ai un VPN ipsec entre un arkoon P1206 en version 6.04 et un zyxel USG 40 connecté à internet par un modem ADSL Dlink DSL320B(Je sais c'est pas bien ;) ).

Le vpn fonctionne normalement sauf que tous les mercredi à 15h10, il tombe et ne remonte pas. Si on redémarre le zyxel, il remonte. Si on redémarre le modeme ADSL, il remonte également. Sur mon Arkoon j'ai d'autres VPN Ipsec , mais avec lesquels je ne rencontre pas de problèmes (Mais ce ne sont pas des zyxel).

Cela fait un mois et demi que cela dur et on ne peut pas dire que cela soit une coïncidence. Le reste du temps , vous pouvez couper la connexion adsl (débrancher le cable) , couper le vpn du coté Arkoon, il remonte  ..... mais le mercredi à 15h10 (plus ou moins 1mn) il tombe. Du côté de l'arkoon, on voit qu'il tente de le remonter mais sans succès (idem du coté Zyxel) , comme si il n'avait pas de réponse à la...

Voir la suite
Non résolue

SNS 2.5.2 vers 3

Posée par Siegfried M. dans Fonctionnalités et système

Bonjour,

Est-ce que la mise à jour se fait simplement?

J'utilise le proxy avec SPNEGO, y'a t-il des précautions à prendre par rapport à cela ou c'est transparent?

Merci ;)

Non résolue

Problème pour pousser une configuration sur AK2

Posée par Jpperget dans Administration

Bonjour,

Depuis le changement du 2em noeud sur un cluster Arkoon, la configuration ne passe pas sur l'AK2

Lorsqu'on pousse une configuration avec l'AMC, la configuration passe bien sur AK1 et non sur AK2.

Les 2 noeuds se voient correctement.

 

Voici le type de messages dans /var/log/messages (il y en a bcp en boucle)

 

Sep 16 11:06:58 ak2 MGT[18864]: sending 'MGT:MSG CONF IMPORTBUNDLE CONFIG_CLUSTER 00042 192.168.28.1(truncated,2840821) failed: ERR: failed to import bundle: Unable to add file (conf.akx) to repository: cmd=['/usr/bin/git', 'add', 'conf.akx'],rc=128,stdout=,stderr=fatal: Unable to create '/var/akserver/mgt/conf/.git/index.lock': File exists.  If no other git process is currently running, this probably means a git process crashed in this repository earlier. Make sure no other git process is running and remove the file manually to continue.
Sep 16 11:07:00 ak2 MGT[18828]: sending 'MGT:MSG CONF IMPORTBUNDLE CONFIG_CLUSTER 00105 192.168.28.1(truncated,3077311) failed:...

Voir la suite
Non résolue

Realtime monitor et proxy système

Posée par Jeremy G.

Bonjour,

Nous venons de migrer d'Arkoon vers Stormshield, je découvre donc les outils et leurs subtilités...

Existe-t-il un moyen de ne pas utiliser le proxy système dans le realtime monitor ? Mis à part désactiver le proxy dans les paramétrages IE, ou ajouter une exception dans les réglages du proxy bien sûr :)

Il est fort dommage que l'on ne puisse pas choisir de l'utiliser ou non (case à cocher, ou radio button) directement dans l'application.

Jérémy.

 

Résolue

MIB Arkoon P-1206

Posée par Bobo Bobo dans Administration

Bonjour,

Je souhaiterai superviser les informations VPN de mon firewall Arkoon P-1206 (version firmware 6.0/12).

Seul problème, je ne trouve pas d'OID qui peuvent correspondre aux informations VPN. J'ai bien trouvé les OID pour supervisier la partie système (cpu, mémoire, trafic, disk...) mais rien concernent les liens VPN...

Où se trouve la MIB qui contient les informations VPN ? Pourquoi je n'ai pas accès à tous les OIDs sur ce matériel ?

Ou est-ce que je peux récupérer ces informations via les traps snmp ?

 

Cordialement.

 

Résolue

relais DHCP sur bridge SN 510 v 2.5.2

Posée par Thierry Gump dans Administration

Bonjour,

j'ai créé un bridge entre deux inerfaces de mon firewall, et je tente en vain d'activer le relais DHCP, il semble que mes requetes ne passent pas le firewall malgré l'activation de 'relais DHCP'.

Savez vous si il faut definir des reglès de filtrage spécifiques pour que les requetes avec le serveur DHCP traverssent le bridge 'normalement' ?

J'ai actuellement de définit dans relais DHCP :

serveur DHCP : adresse de mon serveur (freebox d'un coté du bridge)

interfaces : les deux interfaces de mon bridge.

merci d'avance,

th

Résolue

FTP / EPSV

Posée par Michaël dans Administration

Bonjour,

J'ai un flux FTP bloqué par l'analyse FAST : invalid command EPSV

Je ne pense pas que le mode EPSV nous soit utile, mais je n'ai pas la main sur la configuration du FTP (ni côté client, ni côté serveur) pour pouvoir désactiver ce mode.

Existe-t-il une configuration FAST FTP connue permettant d'autoriser ce mode EPSV ?

(Arkoon en V6).

Cordialement.

Résolue

Cluster arkoon P1206

Posée par Henri Hemery dans Matériels et performances

Bonjour,

 

Nous avons ici un cluster de P1206 dont le 2e boitier n'a jamais été intégré, et cela depuis des années.

Mes clients décident maintenant de ne finalement pas intégrer ce 2e boitier, et je veux sortir de cette conf bancale.

Est il possible de "casser" un cluster et de revenir à un standalone sans avoir à refaire toute la configuration?

 

Merc i pour votre réponse.

Résolue

Suppression d'un utilisateur déjà connecté en VPN SSL

Posée par Thomas Chevallier dans Fonctionnalités et système

Bonjour,

J'éssaie depuis quelques jours de trouver une réponse à une question.

Est il possible de déconnecter la session d'un utilisateur connecté par le portail SSL?

Nous travaillons avec une administration où certains utilisateurs utilisent cette fonctionnalité depuis plusieurs sites, et ils ne peuvent se reconnecter car ils sont déjà connectés depuis un autre site...

Depuis l'interface Real Time Monitor, on voit bien les sessions, mais on ne  peut pas déconnecter les utilisateurs.

Voir les messages en PJ.

Si quelqu'un à déjà rencontré ça ou à une solution, je suis preneur:)

Par avance merci.

Thomas C

 

Résolue

Arkoon Manager erreur de cohérence

Posée par Jpperget dans Administration

Bonjour,

Lorsque je pousse une configuration, sans modification particulière, et sans erreur en faisant vérifier la configuration, j'obtiens toujours une erreur de cohérence en souhaitant installer la configuration.

Appliance (M1000) en HA avec serveur AMC dans la même version que les Appliances (6.0/3)

Rien d'anormal dans les logs sur l'AK1

Sur l'AK2, il y a des erreurs de type (j'ai juste masqué l'iP Lan par *)

Feb  8 17:22:07 ak2 MGT[4587]: sending 'MGT:MSG STATUS SENDALLTOPEER' to 192.168.*.120:1759 failed: 'ERR: 'send: ERR: sending 'MGT:MSG STATUS SETINFOSXML 368fd5ab32d343a9c48411a17e4080b91...' failed: '192.168.*.121: SSL operation SSL_read failed: SSL connection closed by peer'': 368fd5ab32d343a9c48411a17e4080b917ee24665ddcea0ecab5e88e9713d836.d1b8158a63339dc0c4c620d09eff6aafac562e0a92588131874f0eb25c7fd8c9 (info.xml)'

 

Voici le détail sur le manager

 


OK: Numéro de version calculé
OK: '/var/arkoon-amc/lille/tmp/.tmp-akv4.conf'
OK:...

Voir la suite
Résolue

IPSEC PHASE 2 client VPN

Posée par Florian Tulon dans Fonctionnalités et système

Bonjour,

Je rencontre un problème avec le client VPN Stormshield et un SN200.

La connexion en VPN IPSEC se bloque à la phase 2 :

Sur le journal de l'application, le blocage se fait à cette étape :

SEND Phase 2 Quick Mode [HASH][SA][KEY_EXCH][NONCE][ID][ID]

Dans le journal du Stormshield, nous avons : Phase 2 IPSEC échouée

Le VPN IPSEC est configuré en IKEV1.

La version de l'appliance SN200 : 3.0.2

La version de l’application cliente Stormshield : 6.40.004

 

Je vous remercie d'avance pour votre aide.

Résolue

Arkoon Manager: Administrer une 2nde Appliance

Posée par Thibault Guerin dans Administration

Bonjour,

Je suis en train d'installer un VPN entre 2 réseaux pour mon entreprise. J'utilise des Arkoon Fast360 Small Series et Arkoon Manager 6.0-8.

Je n'ai aucun problement à configurer puis administrer la premiere appliance. Seulement je ne sais pas comment ajouter ma deuxiement appliance à ma configuration pour elle aussi configurer ses interfaces etc...(je sais pas si je suis clair)

J'ai bien lu le guide d'administration et sois j'ai des problemes de vue, sois j'ai rien compris.

Serait-il possible au moins que vous m'orientez sur la procédure.

En vous remerciant.

 

Thibault.

Résolue

FAST360 A20 - pb arkoon manager + licence

Posée par Sam dans Administration

Je rencontre quelques difficultés à mettre en service un FAST360, modèle A20.

J'ai installé la version 5.0-28 qui est la dernière version proposée pour cette gamme (modèles AXX).
(les appliances de type XPA étant en fin de vie au 31 décembre 2012)


premier problème : je n'arrive pas à injecter une configuration avec la version 5.0-28 de l'Arkoon manager.
Il a fallu que j'installe la version 5.0-34 de l'Arkoon manager pour laquelle ça fonctionne mais normalement on doit avoir la même version que l'appliance.
Est-ce que ça peut poser problème ?


second problème : je n'arrive pas à obtenir de licence en suivant la procédure sur http://license.arkoon.net.
Après avoir renseigné le serial, activation key, et fourni le fichier license.akr, j'obiens le message d'erreur suivant :
"Error creating license/certificate".

Est-il obligatoire d'avoir une licence sur l'appliance ?
Sans licence, quels services ne fonctionneront pas ?
(les services de base tels que le routage, le firewall...

Voir la suite
Résolue

Compatibilité vAMC 6.0/12

Posée par Jonathan Escolier dans Appliances virtuelles

Bonjour,

 

Nous avons besoin pour un client de mettre à jour une vAMC 6.0/2 en 6.0/12. Celle-ci tourne actuellement sur une VM Ubuntu 8.04.1 et nous souhaiterions savoir si la VM doit être monté obligatoirement sur une distrib RedHat / CentOS6 ou si la version RPM peut-etre installé sur l'Ubuntu ? 

 

Merci. 

Résolue

VPN IPSEC Phase 1

Posée par Florian Tulon dans Fonctionnalités et système

Bonjour à tous,

Nous avons installé un Stormshield SN200 chez un de nos client et nous souhaitons réaliser un VPN IPSEC avec l'application VPN Client.

Hors, malgrés plusieurs type de confguration, nous avons toujours un problème en phase 1 : authentification failed. Nous utilisons une clé prépartagée et non un certificat.

Pourriez-vous me donner des pistes pour résoudre le problème ?

Je vous remercie d'avance :) !

Résolue

Arkoon VE monitoring via SNMP

Posée par Jonathan Escolier dans Administration

Bonjour,

Est il possible de monitorer en SNMP la commande cat /proc/arkoon/max_cnx_ve ?

Sur une VE150 (Appliance virtuelle) en version 6.0-4.

Nous supervisons deja avec notre outils interne le IN et le OUT de l'interface LAN.

Dans le scan SNMP on voit les interfaces mais rien concernant le /proc/arkoon
J'ai vu dans la documentation qu'il faut certainement configuré le SNMP, avez vous svp plus de détails à ce sujet ? Des exemples de configuration pour notre cas ?

 

Pour précision, dans la configuration du manager nous avons coché toutes les vues consultables (system, ifaces, proc...) 

 

Merci

Résolue

SN200 Interface 1+ 2x2 ports ?

Posée par Alain Bosco dans Matériels et performances

Bonjour à tous.

J'ai cherché mais je n'ai pas trouvé à quoi correspond la configuration 1+ 2x2 ports des interfaces du SN200.
J'ai un SN500 avec 8 interfaces donc là je comprends. Par contre je me demande si on peut avoir 3 accès Internet connectés sur un SN200 ou s'il faut avoir au minimum un SN300 ?

Merci d'avance.

Résolue

Arkoon Stateless et RPF

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je sais que mes questions vont faire hurer les spécialistes de la sécurité mais :

  1. Est il possible de transformer un pare-feu Arkoon (6.0.9) en pare-feu stateless (grossièrement en routeur filtrant).
  2. Est-il aussi possible de désactiver le RPF (Reverse Path Forwarding) ?

Dit autrement, peut importe l'état de la session (ou pseudo session) au niveau du pare-feu (par exemple, le three wayhandshake n'a pas eu lieu) ou l'interface d'entrée du flux, si une règle autorise le paquet, il doit passer.

Contexte : il s'agit de faire passer un flux TCP indifférement à travers deux pare-feu (pas en cluster) ne pouvant échanger leur table de session.

Merci encore à la communauté pour ses réponses.

 

Résolue

Reconfiguration Fast360 v 5.1

Posée par Claude Couillec dans Fonctionnalités et système

Bonjour,

 

J'ai fait l'acquisition de cette appliance d'occasion avec son numéro de série, sa clé d'actvation et j'ai pu récupérer le fichier de licence.Et donc accéder à l'espace client.

1. Depuis le menu rescue je tente de reseter le mot de passe. Après avoir monté toutes les partitions, je reçois le message : "config_card is not corectly mounted". Pas de changement après fsck /dev/sda3 -f qui se termine corrextement.

 

2. J'ai aussi tenté de lancer la procédure init qui échoue à 50% du formatage des partions avec le message "Automatic initialization as failed ..."

Je n'ai aucun besoin de récupérer la configuration (qui n'a pas été affacée par le vendseur), comment puis je réinitialiser complètement l'appliance ?

 

Merci.

 

Résolue

Firmware 3.0.2 - HTTPS et OWA

Posée par Syl 54 dans Administration

Bonjour,

Je viens de mettre à jour mon firewall SN300 en version 3.0.2 ( avant : 2.4.2).

depuis je n'arrive plus à accéder au service OWA d'exchange en HTTPS alors que en HTTP ca fonctionne.

Pourquoi ?

Résolue

QOS Marquage en-tête ip sur les requetes DHCP

Posée par Laurent H

Bonjour, j'aimerai savoir si il est possible au SN de marquer les requêtes dhcp avec la valeur diff serv 48 (DSCP name CS6).

Est-il de pouvoir faire ça pour tout le trafic du port 68 vers 67 ?

Merci d'avance,

Résolue

Proxy transparent autoriser port 8888 en sortie

Posée par Siegfried M. dans Administration

Bonjour,

Je suis sur un SNS 710, j'utilise un proxy transparent.

Je ne sais pas comment autoriser les utilisateurs à se connecter sur un site web utilisant le port 8888.

Si vous avez la solution?

Merci et très belle année à tous!

Résolue

Problème d'authentification Stormshield Global Administration

Posée par J 94 dans Fonctionnalités et système

Bonjour,

Madame,Monsieur,

Comme il est écrit dans le Titre, j'ai un problème de connexion sur mon Stormshield SN200 en passant par le Stormshield Global Administration.

Je m'explique j'ai fait un test pour une installation futur pour voir si j'arrivais à prendre la main sur mon équipement Stormshield à travers la suite d'administration Stormshield à partir d'un autre réseau et cela à fonctionné.

Je viens d'installer mon équipement derriere un routeur et là quand j'essaye de me connecter via Stromshield Global Administration le message reste sur authentification et me dit echec de l'authentification  (voir ci dessous) .

Je ne comprends pas pourquoi cela ne marche pas parce que en ssh j'arrive à prendre la main à partir de mon poste .J'ai vérifié ma route et elle est bonne,ma config au niveau de l'administration du firewall est bien renseigné ,ma regle de filtrage qui me permet de prendre la main à distance sur mon interface firewall out avec un port de destination...

Voir la suite
Messages d'alerte