-353 Membres 1367 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

Ping -l supérieur à 68octets bloqué

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonjour, 

Voulais tester la fragmentation suite à la mise en place du boitier chez un client. Je suis pour le coup étonné du résultat, lorsque je fais un 

ping 8.8.8.8. -f -l 1200

J’ai en réponse:

Envoi d’une requête 'Ping' 8.8.8.8 avec 1200 octets de données :
Délai d’attente de la demande dépassé.

Il faut que je descende à 68  pour avoir une réponse. 

ping 8.8.8.8 -f -l 68

Envoi d’une requête 'Ping' 8.8.8.8 avec 68 octets de données :
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=27 ms TTL=116

Statistiques Ping pour 8.8.8.8:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 26ms, Maximum = 27ms, Moyenne = 26ms

si ça peut aider, j'ai réglé la valeur mss à 1300 sur les profils 00 et 01. 

Vous avez une explication ?

Je suis...

Voir la suite
Non résolue

résolution de nom entre réseau wifi et réseau IN

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonsoir, 

j'ai mis en place un SN160W, comme son nom l'indique, il fait wifi. tout marche nickel sauf la résolution de nom entre le wifi et le reseau IN. j'ai pourtant créé deux règles pour autoriser le traffic entre ces deux réseaux. j'ai laisser le protocol à any pour l'instant. ci joint la configuration DHCP. tout marche bien, je peux attaquer mon serveur en tse ou naviger sur internet mais je ne peux pas mapper un lecteur réseau avec le nom de mon serveur. sa marche avec son IP. si vous avez une idée je suis reneur car je suis sur que c'est une connerie.

Merci 

Nico

Non résolue

Tunnel IPSEC avec NAT

Posée par Frederic Bourgeois dans Fonctionnalités et système

Bonjour,

Je cherche deseperement à faire fonctionner un tunnel avec un boitier stormshield qui est derriere une NAT (il ne porte que des adresses internes)
La NAT (qui est faite par un autre parefeu sur le chemin du flux) fonctionne bien et le boitier en face reçoit les paquets en 500 et 4500 et je vois aussi les retours, toutefois la phase 2 du tunnel refuse de monter avec le message suivant.

msg="IPSEC SA establishment failed: received TS_UNACCEPTABLE notify error" msg="Negotiation failed" logtype="vpn"

Je précise qu'Il n'y a que le stormshield qui est derriere une NAT

Dans ce cas de figure, il y a une configuration spécifique à faire ?

Résolue

Création tunnel IPSec

Posée par Philippe T dans Fonctionnalités et système

Bonjour à tous,

Je viens vers vous pour un soucis de création de tunnel VPN IPSec.

Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.

Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.

Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?

Merci,

AMicalement,

Résolue

Active directory et VPN IPSEC

Posée par Gaëtan Lagraviere dans Fonctionnalités et système

Bonjour à tous,

Administrateur système et réseaux au sein d'une entreprise, je souhaite mettre en place un nouveau site distant (site B) avec un controleur de domaine pour mon active directory qui est localisé sur le site A.

J'ai donc monté un VPN IPSEC entre les 2 sites et j'ai autorisé via les règles de filtrage ces machines à parler ensemble.

Jusque là, pas de problème, les machines communiquent bien entre elles, elles se ping, je peux faire des bureaux à distance de l'une sur l'autre etc... La seule chose que je ne peux faire est d'intégrer le serveur site B dans le domaine du site A et le nslookup me renvoie un server unknown aussi.

Sur l'active directory du site A, j'ai bien rajouté le site B dans les sites ainsi que son sous réseau utilisé, et également entré sa plage ip dans la recherche inversée et j'ai mis l'inspection sur la règle de filtrage en IDS afin de ne pas me faire bloquer (je verrais cette inspection par la suite).

J'ai également monté un autre...

Voir la suite
Résolue

NAT Static - Points importants

Posée par Jean-Marie Horel dans Fonctionnalités et système

Bonjour,

Avant toute remaques je précise ma situation, je suis technicien d'amélioration continue en entreprise, j'ai un DUT GEII et une licence pro mécatronique. Mon travail tourne autour de l'automatisme, de l'informatique de la robotique et forcément du réseau.. Bref

Nous avions mis en place un boitier pour Natter plusieurs adresse du réseau OT vers le réseau IT. Nous souhaitons migrer ces translation vers le stormshield. Mais là après multiple essai rien n'y fait.

J'ai installé la plateforme virtuelle de formation EVA1 et refais le LAb sur les translation et plouf.. Je cherche donc depuis 3/4 semaines. Avez-vous une liste de prérequis à vérifier ou de points importants ?

 

Voici la configuration de la virtualisation :

 

Out : 192.168.1.142/24
IN : 10.0.0.254/24
DMZ1 : 172.16.2.1/24

VM debian avec les IP 11/12/... montée

Politique Pass All copiée puis ajout d'une translation statique 172.16.2.11 <> 192.168.1.143 avec publication ARP.

La route par défaut est...

Voir la suite
Non résolue

VPN IPSec Nomade

Posée par Dodga dans Fonctionnalités et système

Bonjour,

Suite à quelques tentatives de mises en service d'une connexion VPN en IPSec Nomade, j'aurais besoin de vos conseils car je n'ai pas de résultats positifs dans mes manoeuvres, 

Matériel : SN210W en version 4.0.1

 

J'aurais donc voulu savoir pour ceux qui l'ont déjà mis en oeuvre, quels sont les paramètres à configurer ? Egalement si vous avez des clients VPN plutôt fiable ?

(Si vous avez le lien pour un tuto complet je suis preneur également ;) )

 

En vous remerciant par avance !

 

Cordialement,

Dodga

 

Non résolue

mise en service netask U70s avec de dispo 1 seul adresse IP public/32

Posée par Christophe Pistilli dans Fonctionnalités et système

Bonjour tous, 

je cherche à installer un netask U70s  juste derrière un TP-link VG3631. seulement je ne dispose que d'une seule adresse public et après plusieurs recherche sur le net je ne trouve rien.

mon but est une liaison VPN avec mon réseau entreprise qui dispose d'un stormshield et bien sur du routage avec un serveur.

 

pour le routage je ne trouve pas de difficulté le problème est de pouvoir enfin connecter ce parefeu et atteindre internet... en effet malgré un paramétrage (certe erroné) je constate une erreur dans le dashboard : usurpation identité.

merci à ceux qui pourrons m'apporter un soutient.

 

 

 

 

Non résolue

Problème Stormshield SN310

Posée par Arnaud Pontier dans Fonctionnalités et système

Bonjour à tous,

Nouvel utilisateur des parefeu stormshield me voila confronté à un soucis.

mon stormshield est connecté à internet de la manière suivante :

 

@IP Poste : 192.168.10.5/24

 

@IP tormshield :

Out : 172.16.50.226/30 (WAN)

In : 192.168.10.252/24 (LAN)

 

@IP BOX SFR :

172.16.50.225/30

 

j'ai ouvert toutes les règles afin de tous laisser passer, la passerelle par defaut (routeur) : 172.16.50.225/30

 

depuis un poste sur mon LAN je ping la passerelle LAN, la patte WAN du stormshield, mais je n'arrive pas à aller plus loin, impossible de joindre le 172.16.50.225/30

je suppose un oublie de ma part, si quelqu'un peut m'aider.

 

Cordialement

 

arnaud

 

Résolue

Problème SIP SN 710

Posée par Pascal Le Bihan dans Fonctionnalités et système

Bonjour à toutes, bonjour à tous.

J'ai actuellement un problème de voip avec mes SN710. J'utilise des téléphones en Centrex chez OVH. Lorsque je regarde le register des téléphones chez OVH, ils sont tous enregistré avec MonAdresseIpPublic:5060 en source.

De ce fait je me suis apercu avec WireShark que les téléphones reçoivent des paquets qui ne leur sont pas destiné.

Je pense avoir désactiver toute la partie SIP dans les profil d'inspection et ma règle autorisant le traffic des téléphone est en FW et non IPS

Comment se fait il que le handshake se fasse sur le 5060 et non pas sur un port aléatoire ? 

En vous remerciant pour votre aide

Pascal

 

 

Non résolue

Besoin d'aide

Posée par Anonyme dans Fonctionnalités et système

Bonjour à tous,

je souhaite supprimer une URL spécifique dans les logs qui revient de trop nombreuses fois, mais pas en totalité, seulement avant une certaine date. Il s'agit d'un stormshiel SN710.

Est-ce possible? Si oui comment et y aura-t-il une trace de ces suppressions?

Par avance, je vous remercie beaucoup

 

Résolue

Perte d'accés à un SN300 ( Plus de ping, plus d'accés à l'interface)

Posée par Anonyme dans Fonctionnalités et système

Bonjour !

Je cherche désespérement une solution, ou une idée,  mais je n'en trouve pas dans la documentation !

Je suis intervenu sur un SN300 sur lequel il y avait une grosse perte de débit inexpliquée ... 40 M en entrée, 1 en sortie ...

Je ne connais pas du tout ce modèle, je parcoure l'interface ...je coupe, j'y reviens, et plus rien ?? je le liste bien en faisant un scan réseau, son IP remonte, mais impossible pour autant de le pinger ( Connexion time out) et impossible de me connecter dessus !?

Une idée du souci ? évidemment un reboot ne change rien ...

Dernière solution, un reset usine ? j'ai un backup de la config ( .na), si je restaure ce backup ensuite, je récupère complétement la configuration précédente ?

Merci pour votre aide !

Ouverte

Réservation DHCP sur SNS V3.7 /3.8

Publiée par Richard Dessendier dans Fonctionnalités et système

Bonjour,

Je viens d'un autre monde que Stormshield et les changements de logique / vocabulaire ne sont pas toujours facile à intégrer 😉

J'ai pas mal galéré pour arriver à effectuer une réservation DHCP sur mes Firewalls. Et n'ayant pas trouvé de réponse dans la formation administrateur ni le manuel, au cas où, je partage mes malheurs.

Habitué à la logique du serveur DHCP de Microsoft et de mon ancien firewall, je voulais attribuer une adresse appartenant à la plage définie dans le serveur.

Ex : Plage DHCP 192.168.1.50 -> 192.168.1.100, j'effectue une réservation sur l'adresse 192.168.1.55.

Or, si l'on fait cela, le firewall indique une erreur : "L'hôte est contenu dans un intervalle existant".

Il faut donc attribuer une adresse IP en dehors des plages associées au serveur DHCP du Stormshield. Dans l'exemple, on pourrait donner l'IP 192.168.1.101

En revanche, on peut créer un objet « plage d’adresses IP » (ex : DHCP_Resa 192.168.1.101 -> 192.168.1.110)...

Voir la suite
Résolue

Gateway multiples sur le même réseau

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je me renseigne actuellement sur le fonctionnement du l'objet "routeur" sur un SN910. Sur les documentations que je trouve, l'objet routeur utilise deux gateways qui sont sur des réseaux différents en utilisant donc des interfaces de sortie différentes. Ce qui a pour impact de doubler les règles de NAT.

La question que je pose est la suivante. Est-il possible d'utiliser un objet routeur composé de deux gateways mais qui seraient dans le même réseau. Ce qui me permettrait d'avoir de la HA sur mes gateway sans pour autant complexifier les régles de NAT.

L'alernative pourrait être d'utiliser une VIP entre mes deux gateway et j'utilise ma VIP comme gateway par defaut. C'est peu etre préférable ? Qu'en pensez vous ?

Merci d'avance pour votre aide,

Cordialement,

GJ

Résolue

Probleme de DNS

Posée par Isonic dans Fonctionnalités et système

Bonjour , j'ai un probleme de DNS sur mon reseau et surtout lorsque nous utilisons google pour effectuer les recherches.

Mon Infra :

Box  <> SN Stromshield <> Routeur Cisco <> Switch Cisco <> Vlan 1 (Laptops)

                                                                                     <> Vlan 2 (Laptops)

                                                                                     <> Vlan 3 (Laptops)

                                                                                     <> Vlan 4  (Serveurs)

 

Dans le Vlan 4 celui des serveurs j'ai mon Controleur de domaine AD / DNS / DHCP

Dans le parametrage je pointe les DNS sur mon Controleur de domaine mais la résolution DNS sur les Laptops est...

Voir la suite
Messages d'alerte