123 Membres 1208 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

VPN sur IP privée - difficultés de mise en oeuvre

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Ayant des difficultées a reprendre le sujet ci-après (https://open.arkoon.net/aoc/vpn-sur-ip-privee), je me permets de vous reposer la question et vous demander de l'aide :

J'ai un arkoon en version 6.0/3 XD.

J'ai un tunnel IPSEC qui fonctionne bien quand l'adressage IP entre mon opérateur et mon pare-feu est public.
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 90.90.90.0/24

Je passe l'adressage IP entre mon opérateur et moi en adressage privée, modifie le routage en conséquence et ajoute 90.90.90.90 dans l'anglet "avancé" de mon accès INTERNET (image jointe).
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 10.20.30.0/24 (IP ARKOON = 10.20.30.40, IP ROUTEUR INTERNET = 10.20.30.50)

Les flux sont traitées correctement par le pare-feu (flux entrant et sortant sur IP publique).

Malheureusement, chaque tentative de connexion depuis mon client de test (100.100.100.100) vers l'IP publique du VPN...

Voir la suite
Non résolue

Mise a jour U30

Posée par Fabien Gas dans Fonctionnalités et système

Bonjour,

j'ai acheter un netasq u30 d'occasion et plus sous maintenance. du coup impossible d'enregistrer mon produit et donc d'avoir un espace client.

 

quelqu'un pourrais me fournir les fichier maj pour mon u30 actuellement en version 9.0.7

 

Merci d'avance

Ouverte

Meilleur visibilité des périphériques sur le tabeau de bord

Publiée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

depuis quelques temps, j'utilise le tableau de bord pour faire de l'administraton superficiel, hors lors du branchement d'un nouvel ordinateur sur le réseau, la seule chose que je vois indiqué est son IP.

il n'y aucune adresse mac et aucun nom affiché dans l'infobulle, pourtant ces informations peuvent être récupérés dans la partie trace du logiciel stormshield realtime monitor.

De même, le pare-feu ne possède pas de partie BAUD DHCP, je trouve cela dommage car il permet de connaitre les machines enregistrés dans le DHCP.

 

 

Cordialement.

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Résolue

PROXY Interne et NAT

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je dispose d'un arkoon en version 5.0-120703_0024. J'utilise l'arkoon en tant que proxy http sur mes postes clients internes.

Actuellement, le plan d'adressage entre mon opérateur et mon firewall est public.

A l'occasion d'un changement d'opérateur (et donc de plan d'adressage IP public), je souhaite passer sur un adressage privé entre mon opérateur et moi (avec routage de la plage publique vers mon firewall par l'opérateur).

Comment faire en sorte que le proxy interne à l'arkoon utilise toujours une IP publique pour aller sur internet alor que l'interface externe est en adressage privé ?

Suffit il de tout simplement réaliser une règle d'accès avec l'objet arkoon en source et any en destination et NAT source sur une IP publique ?

Merci d'avance pour votre aide.

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Résolue

SPNEGO.BAT ??????????

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaiterai faire un labo pour tester l'authentification transparente SPNEGO.

J'ai bien trouvé la documentation Stomshield sipulant : "Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?")."

Depuis mon espace : MyStormshield.eu, je ne trouve pas cette documentation ni le script.

Est-ce que quelqu'un pourrait m'aider ????

Merci d'avance.

Malcolm

Non résolue

VPN IPsec vers SRX Juniper

Posée par Dzirii Djahir dans Fonctionnalités et système

Bonsoir à tous!

Cela fait maintenant depuis 1 semaine que j'essaie d'établir un tunnel VPN IPSec fonctionnel de bout en bout avec mon hébergeur.

De mon coté, j'ai un Stormshield U800 en version 2.5, mon adressage est en 10.78.0.0/14.

Coté hébergeur, il possède un SRX Juniper et son adressage est en 192.168.300.0/24.

Le tunnel s'établit correctement, j'arrive à pigner sa passerelle mais depuis cette dernière impossible de pigner mon réseau.

Les flux sont évidemment ouvert de mon coté.

Lors de mes diagnostiques :

Depuis mon firewall, un tcpdump je constate que je reçois bien les paquets ESP portant le bon SIP correspondant au tunnel.

En traçant les flux depuis mon firewall j'ai constaté que les paquets arrivaient avec une IP qui n'a rien à voir avec le tunnel IPSec, l'IP est en 10.10.qqcho qui ccorespond en réalité à une une IP Virtuelle configurée sur son Juniper.

En autorisant cette IP et à l'aide de Wireshark sur un de mes postes clients, le poste reçoit bien...

Voir la suite
Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Résolue

Stormshiel Real Time Monitor et remontées d'info depuis firmware 3.4 SN710 ?

Posée par Didier Fourt dans Fonctionnalités et système

Bonjour,

Suite à la mise à jour du firmware en 3.4 de mon SN710, je n'ai plus d'infos qui remonte au niveau de l'application "Real Time Monitor" c'est à dire les connexions et évènements aux niveau des machines.

J'ai entendu dire que ce firmware activait une focntion "Anonymization" mais j'aimerais bien pouvoir voir ce que font mes machines.

Auriez-vous une piste ?

Merci
Didier

Non résolue

Arkoon - Accès Internet avec Livebox Fibre

Posée par Jpperget dans Fonctionnalités et système

Bonjour,

Je souhaiterai savoir pour un Arkoon (par exemple pour un PS4 en version 6.03) s'il était possible de configurer un PPOE avec une livebox Fibre.

Il y a en effet une configuration particulière à réaliser (vlan 835) et je ne sais pas si c'est compatible avec Arkoon.

A priori ce n'est pas possible car on ne peut pas lié de VLAN dans le PPOE (uniquement interface physique)

Pouvez vous svp me confirmer cela ? Existe t il un contournement ?

Merci de votre retour,

Cordialement.

Résolue

Fonctionnement VLAN sur Stormshield

Posée par Jm S dans Fonctionnalités et système

Bonjour,

nouvel utilisateur d'un Stormshield SN510, je cherche à utiliser les VLANs.

Je n'ai pas bien saisi comment ils s'articulent dans l'arborescence des interfaces. J'ai plutôt l'habiture de créer un vlan et d'y coller des interfaces physiques. Du coup, les interfaces physiques avec plusieurs vlans feront du tagging/802.1q.

Actuellement j'ai:

- 1 bridge "WAN"
- 1 bridge "LAN"
- 1 bridge "DMZ"

Je souhaite rajouter une borne wifi "multi-ssid" dans laquelle j'ai 2 SSID avec chacun leur VLAN: vlan 1 pour le LAN et vlan 220 pour les visiteurs.

La question est: comment je "dessine" ma vue interface ?

Merci pour vos réponses,

jms

Messages d'alerte