124 Membres 1224 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Résolue

Pb changement mot de passe par portail captif SN700

Posée par Fragobar dans Fonctionnalités et système

Bonjour,

Je possède un SN700 en Firmware 3.3.2 en place depuis longtemps.

Tout fonctionne correctement, IPSec, VPN SSL, FW, portail captif, etc.

Depuis peu on a voulu autoriser les clients a changer leur mot de passe depuis le portal captif.

dans Utilisateurs > authentification > profils du portail captif:

- j'ai activé "Les utilisateurs peuvent changer leur mot de passe"

- j'ai laissé "Ne pas permettre l'enrôlement des utilisateurs"

Dans cette configuration l'option pour changer de mot de passe apparait mais je recois un message d'erreur par la suite lorsque je change le mot de passe. (rien dans mes audit logs sur les DC)

 

j'ai donc décoché l'option "L'annuaire est en lecture seule" dans l'onglet "structure" de "configuration des annuaires" mais cela ne change rien.

Je tourne en rond depuis ce moment la.

Auriez-vous une idée ?

Merci.

Non résolue

LDAP de secours inopérant

Posée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

J'ai 2 LDAP, l'un en maitre (provider) sur le réseau local, l'autre en esclave (consumer) accéssible via IPsec.

L'esclave accède au master via l'IPsec et le réplique sans soucis et donc les utilisateurs sont les mêmes sur les deux et en temps réêl.

 

J'ai fais le test sur un LDAP, chaqu'un est accéssible quand il est en serveur par défaut.

Je met donc le LDAP local en principal et le LDAP ipsec en secours.

sauf que si je débranche la prise réseau du LDAP local pour voir si le pare-feu bascule sur le secours, il n'en est rien...

le secours ne sert à rien. Pire, si je rebranche le LDAP local, il n'arrive plus à s'y connecter tant que le serveur de secours est configuré.

je suis obligé de supprimer le secours pour pouvoir de nouveau accéder au LDAP principal.

 

quelqu'un à une idée ?

 

merci d'avance.

Résolue

Perte d'acces à mon SN200

Posée par Richard Bro dans Fonctionnalités et système

Bonjour,

 

Je ne sait pour quel raison j'ai perdu l'acces à mon SN200.

J'ai donc J'ai un reset avec un trombone jusqu'au 2emme bip.

Le routeur a bien redemarré il est bien en 10.0.0.254/8, mais je ne peux toujours pas y accéder. (j'ai evidement configurer mon pc sur la bonne plage ip)

j'ai donc brancher un ecran et un clavier sur le SN200 en CLI j'ai activer le DHCP.

Maintenant mon PC accede au routeur via la webinterface https://10.0.0.254/admin

Quand je rentre les login/mdp, admin/admin, j'ai un message en rouge qui me dit connection error 200 Licence is not yet valid. j'ai recuperé le fichier licence sur le site stormshield.eu mais je ne sait pas comment l'injecter.

Désolé si je ne suis pas clair c'est la 1ere fois que je travail sur stormshield et je suis totalement perdu.

Merci d'avance pour votre aide.

Richard

Non résolue

VPN sur IP privée - difficultés de mise en oeuvre

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Ayant des difficultées a reprendre le sujet ci-après (https://open.arkoon.net/aoc/vpn-sur-ip-privee), je me permets de vous reposer la question et vous demander de l'aide :

J'ai un arkoon en version 6.0/3 XD.

J'ai un tunnel IPSEC qui fonctionne bien quand l'adressage IP entre mon opérateur et mon pare-feu est public.
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 90.90.90.0/24

Je passe l'adressage IP entre mon opérateur et moi en adressage privée, modifie le routage en conséquence et ajoute 90.90.90.90 dans l'anglet "avancé" de mon accès INTERNET (image jointe).
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 10.20.30.0/24 (IP ARKOON = 10.20.30.40, IP ROUTEUR INTERNET = 10.20.30.50)

Les flux sont traitées correctement par le pare-feu (flux entrant et sortant sur IP publique).

Malheureusement, chaque tentative de connexion depuis mon client de test (100.100.100.100) vers l'IP publique du VPN...

Voir la suite
Non résolue

Mise a jour U30

Posée par Fabien Gas dans Fonctionnalités et système

Bonjour,

j'ai acheter un netasq u30 d'occasion et plus sous maintenance. du coup impossible d'enregistrer mon produit et donc d'avoir un espace client.

 

quelqu'un pourrais me fournir les fichier maj pour mon u30 actuellement en version 9.0.7

 

Merci d'avance

Ouverte

Meilleur visibilité des périphériques sur le tabeau de bord

Publiée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

depuis quelques temps, j'utilise le tableau de bord pour faire de l'administraton superficiel, hors lors du branchement d'un nouvel ordinateur sur le réseau, la seule chose que je vois indiqué est son IP.

il n'y aucune adresse mac et aucun nom affiché dans l'infobulle, pourtant ces informations peuvent être récupérés dans la partie trace du logiciel stormshield realtime monitor.

De même, le pare-feu ne possède pas de partie BAUD DHCP, je trouve cela dommage car il permet de connaitre les machines enregistrés dans le DHCP.

 

 

Cordialement.

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Résolue

PROXY Interne et NAT

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je dispose d'un arkoon en version 5.0-120703_0024. J'utilise l'arkoon en tant que proxy http sur mes postes clients internes.

Actuellement, le plan d'adressage entre mon opérateur et mon firewall est public.

A l'occasion d'un changement d'opérateur (et donc de plan d'adressage IP public), je souhaite passer sur un adressage privé entre mon opérateur et moi (avec routage de la plage publique vers mon firewall par l'opérateur).

Comment faire en sorte que le proxy interne à l'arkoon utilise toujours une IP publique pour aller sur internet alor que l'interface externe est en adressage privé ?

Suffit il de tout simplement réaliser une règle d'accès avec l'objet arkoon en source et any en destination et NAT source sur une IP publique ?

Merci d'avance pour votre aide.

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Résolue

SPNEGO.BAT ??????????

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaiterai faire un labo pour tester l'authentification transparente SPNEGO.

J'ai bien trouvé la documentation Stomshield sipulant : "Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?")."

Depuis mon espace : MyStormshield.eu, je ne trouve pas cette documentation ni le script.

Est-ce que quelqu'un pourrait m'aider ????

Merci d'avance.

Malcolm

Non résolue

VPN IPsec vers SRX Juniper

Posée par Rastar0Cket dans Fonctionnalités et système

Bonsoir à tous!

Cela fait maintenant depuis 1 semaine que j'essaie d'établir un tunnel VPN IPSec fonctionnel de bout en bout avec mon hébergeur.

De mon coté, j'ai un Stormshield U800 en version 2.5, mon adressage est en 10.78.0.0/14.

Coté hébergeur, il possède un SRX Juniper et son adressage est en 192.168.300.0/24.

Le tunnel s'établit correctement, j'arrive à pigner sa passerelle mais depuis cette dernière impossible de pigner mon réseau.

Les flux sont évidemment ouvert de mon coté.

Lors de mes diagnostiques :

Depuis mon firewall, un tcpdump je constate que je reçois bien les paquets ESP portant le bon SIP correspondant au tunnel.

En traçant les flux depuis mon firewall j'ai constaté que les paquets arrivaient avec une IP qui n'a rien à voir avec le tunnel IPSec, l'IP est en 10.10.qqcho qui ccorespond en réalité à une une IP Virtuelle configurée sur son Juniper.

En autorisant cette IP et à l'aide de Wireshark sur un de mes postes clients, le poste reçoit bien...

Voir la suite
Messages d'alerte