91 Membres 1303 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

Problème Stormshield SN310

Posée par Arnaud Pontier dans Fonctionnalités et système

Bonjour à tous,

Nouvel utilisateur des parefeu stormshield me voila confronté à un soucis.

mon stormshield est connecté à internet de la manière suivante :

 

@IP Poste : 192.168.10.5/24

 

@IP tormshield :

Out : 172.16.50.226/30 (WAN)

In : 192.168.10.252/24 (LAN)

 

@IP BOX SFR :

172.16.50.225/30

 

j'ai ouvert toutes les règles afin de tous laisser passer, la passerelle par defaut (routeur) : 172.16.50.225/30

 

depuis un poste sur mon LAN je ping la passerelle LAN, la patte WAN du stormshield, mais je n'arrive pas à aller plus loin, impossible de joindre le 172.16.50.225/30

je suppose un oublie de ma part, si quelqu'un peut m'aider.

 

Cordialement

 

arnaud

 

Résolue

Problème SIP SN 710

Posée par Pascal Le Bihan dans Fonctionnalités et système

Bonjour à toutes, bonjour à tous.

J'ai actuellement un problème de voip avec mes SN710. J'utilise des téléphones en Centrex chez OVH. Lorsque je regarde le register des téléphones chez OVH, ils sont tous enregistré avec MonAdresseIpPublic:5060 en source.

De ce fait je me suis apercu avec WireShark que les téléphones reçoivent des paquets qui ne leur sont pas destiné.

Je pense avoir désactiver toute la partie SIP dans les profil d'inspection et ma règle autorisant le traffic des téléphone est en FW et non IPS

Comment se fait il que le handshake se fasse sur le 5060 et non pas sur un port aléatoire ? 

En vous remerciant pour votre aide

Pascal

 

 

Non résolue

Besoin d'aide

Posée par Max Patard dans Fonctionnalités et système

Bonjour à tous,

je souhaite supprimer une URL spécifique dans les logs qui revient de trop nombreuses fois, mais pas en totalité, seulement avant une certaine date. Il s'agit d'un stormshiel SN710.

Est-ce possible? Si oui comment et y aura-t-il une trace de ces suppressions?

Par avance, je vous remercie beaucoup

 

Résolue

Perte d'accés à un SN300 ( Plus de ping, plus d'accés à l'interface)

Posée par Manoël Perignon dans Fonctionnalités et système

Bonjour !

Je cherche désespérement une solution, ou une idée,  mais je n'en trouve pas dans la documentation !

Je suis intervenu sur un SN300 sur lequel il y avait une grosse perte de débit inexpliquée ... 40 M en entrée, 1 en sortie ...

Je ne connais pas du tout ce modèle, je parcoure l'interface ...je coupe, j'y reviens, et plus rien ?? je le liste bien en faisant un scan réseau, son IP remonte, mais impossible pour autant de le pinger ( Connexion time out) et impossible de me connecter dessus !?

Une idée du souci ? évidemment un reboot ne change rien ...

Dernière solution, un reset usine ? j'ai un backup de la config ( .na), si je restaure ce backup ensuite, je récupère complétement la configuration précédente ?

Merci pour votre aide !

Ouverte

Réservation DHCP sur SNS V3.7 /3.8

Publiée par Richard Dessendier dans Fonctionnalités et système

Bonjour,

Je viens d'un autre monde que Stormshield et les changements de logique / vocabulaire ne sont pas toujours facile à intégrer 😉

J'ai pas mal galéré pour arriver à effectuer une réservation DHCP sur mes Firewalls. Et n'ayant pas trouvé de réponse dans la formation administrateur ni le manuel, au cas où, je partage mes malheurs.

Habitué à la logique du serveur DHCP de Microsoft et de mon ancien firewall, je voulais attribuer une adresse appartenant à la plage définie dans le serveur.

Ex : Plage DHCP 192.168.1.50 -> 192.168.1.100, j'effectue une réservation sur l'adresse 192.168.1.55.

Or, si l'on fait cela, le firewall indique une erreur : "L'hôte est contenu dans un intervalle existant".

Il faut donc attribuer une adresse IP en dehors des plages associées au serveur DHCP du Stormshield. Dans l'exemple, on pourrait donner l'IP 192.168.1.101

En revanche, on peut créer un objet « plage d’adresses IP » (ex : DHCP_Resa 192.168.1.101 -> 192.168.1.110)...

Voir la suite
Résolue

Gateway multiples sur le même réseau

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je me renseigne actuellement sur le fonctionnement du l'objet "routeur" sur un SN910. Sur les documentations que je trouve, l'objet routeur utilise deux gateways qui sont sur des réseaux différents en utilisant donc des interfaces de sortie différentes. Ce qui a pour impact de doubler les règles de NAT.

La question que je pose est la suivante. Est-il possible d'utiliser un objet routeur composé de deux gateways mais qui seraient dans le même réseau. Ce qui me permettrait d'avoir de la HA sur mes gateway sans pour autant complexifier les régles de NAT.

L'alernative pourrait être d'utiliser une VIP entre mes deux gateway et j'utilise ma VIP comme gateway par defaut. C'est peu etre préférable ? Qu'en pensez vous ?

Merci d'avance pour votre aide,

Cordialement,

GJ

Résolue

Probleme de DNS

Posée par Isonic dans Fonctionnalités et système

Bonjour , j'ai un probleme de DNS sur mon reseau et surtout lorsque nous utilisons google pour effectuer les recherches.

Mon Infra :

Box  <> SN Stromshield <> Routeur Cisco <> Switch Cisco <> Vlan 1 (Laptops)

                                                                                     <> Vlan 2 (Laptops)

                                                                                     <> Vlan 3 (Laptops)

                                                                                     <> Vlan 4  (Serveurs)

 

Dans le Vlan 4 celui des serveurs j'ai mon Controleur de domaine AD / DNS / DHCP

Dans le parametrage je pointe les DNS sur mon Controleur de domaine mais la résolution DNS sur les Laptops est...

Voir la suite
Non résolue

Stormshield DHCP + VLAN + NAT

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Je serai très contente si vous pouvez m'aider dans mon projet.

J'ai un firewall stormshield. J'ai crée 2 VLAN (ID=222 et ID=223) sous une interface DMZ. Puis j'ai activé le DHCP server et j'ai ajouté les IP (Address range pour chaque VLAN). Mon but est que l'Access point où j'ai cree 2 SSID avec VLAN 222 et 223 puisse monter à l'internet et acceder le network interne.

Pour le VLAN 222, je veux que seulement avoir accès à l'internet et ca marche correctement.

Pour le VLAN 223, je peux passer à l'internet mais je ne peux pas acceder au network interne, j'ai fait les rules de filtrage  et NAT mais ca ne marche pas. 

Est ce que vous pouvez me dire comment on peut avoir une solution pour cela?

 

Merci bien.

Résolue

Problems with SSL VPN client

Posée par Vjeran Perinovic dans Fonctionnalités et système

Hi, I see this is French community so sorry because I'm writing in English. Can't find english stormshield community. 

I have U250S-A device with 3.7.3. FW

I have downloaded from MyStormshield.eu latest VPN SSL client v  2.8.0.

I have configured my device to allow SSL connections, LDAP, access rights... All is fine as I can see in documentation, and here on this community. But when I test my connection on a client it almost instant says: Unable to connect to the UTM: User not allowed

But user is allowed in Users>access privileges>detailed access

I don't see anything in my UTM log, no connection attempts. 

On client this connection attempt goes too fast with that error. Am I missing somethnig?

In my client log last line is "Need hold release from management interface, waiting..."

Thank you !

 

 

Résolue

Attribut Radius Filter-id sur SN910

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je cherche à mettre en place une authentification Radius pour le "VPN SSL Portail" de mon stormshield SN910.

Mon serveur Radius fonctionne bien et j'arrive à envoyer un attribut supplémentaire nommé "filter-id" pour retourner également le groupe de l'utilisateur.

Ma question est la suivante. Comment puis-je indiquer au SN910 qu'il doit prendre en compte cette attribut supplémentaire "filter-id" pour s'appuyer dessus dans sa gestion des permissions ?

Merci d'avance pour votre aide.

Cordialement,

Gael J.

 

 

Non résolue

SN210 pour contourner NAT Loopback

Posée par Calaf dans Fonctionnalités et système

Bonjour à tous, 

N'étant pas très doué en réseau, je me permets de solliciter votre aide pour le problème suivant. 

J'ai un firewall SN210 qui est installé derrière une box internet, laquelle empêche le NAT-LOOPBACK. Prenez les hypothèses suivantes : 

- j'ai un domaine sub.domain.com qui pointe vers l'adresse IP de ma box. Depuis le réseau externe, tout fonctionne. 

- cependant quand j'invoque sub.domain.com depuis le réseau interne, la box comprend que le flux sortant retourne vers sa propre IP et bloque le trafic (donc pas de retour du ping). Selon les 'désirs' de ma box, je devrai donc renoncer à utiliser sub.domain.com lorsque je suis dans le réseau interne, et n'utiliser que des adresses IP du LAN. Pas très pratique. 

Pour contourner cette limitation, je souahiterais : 

- Soit (hypothèse préférée) ajouter une entrée DNS statique expresse au SN210, afin que le firewall traduise sub.domain.com par l’adresse de la box ou celle du SN210 (pour un...

Voir la suite
Non résolue

SN910 : Skype

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai un SN910 et je souhaite contrôler mes flux skype.

Je n'utilise pas le proxy stormshield mais une autre solution assez vieillissante. Depuis ce fameux proxy, les flux skype sont bloqués.

Je dois donc gérer l'accès à Skype depuis mon pare-feu.

Après de nombreuses recherches, je n'ai trouvé que les ports à ouvrir :

  • 443/TCP
  • 3478-3481/UDP
  • 50000-60000/UDP

Comme je n'ai pas trouvé les bonnes IPs des serveurs skype, je suis restreins d'utiliser l'objet réseau "Internet".

Je dois donc ouvrir une règle pour mes utilisateurs internes, à destination de l'objet Internet sur les ports mentionnés.

Comme il y a le port 443, et qu'aujourd'hui tous les sites sont en https, je voudrais limiter l'utilisation de cette règle au protocle "skype" présent dans le stormshield.

Toutes ces explications pour ce problème :

Lorsque j'utilise le protocole applicatif skype, cela ne fonctionne pas. Lorsque je l'enlève, ça fonctionne.

Comment dois-je configurer mes règles pour que mon...

Voir la suite
Résolue

Url microsoft pour Windows Update

Posée par Denis Maillard dans Fonctionnalités et système

Bonjour

Nous avons des PC W10 dans la société dont l'accès internet est très limité.

Je bloque tout sauf une liste blanche.

Le soucis est que ces PC ne se mettent plus à jour

J'ai autorisé un certain nombre d'URL pour W Update, les PC détectent lesquelles mises à jour doivent être faites mais refusent de les télécharger

Quelles sont les URL à autoriser?

J'ai autorisé les adresses:

https://social.technet.microsoft.com/Forums/en-US/b3327a8c-88e0-4b7e-a1be-446498f726d8/list-of-update-server-addresses?forum=winserverwsus

 

J'ai le même soucis avec les mises à jour de Firefox, mais ce n'est pas très grave

merci

 

2.8.0.0
Résolue

Configurer VPN SSL sur SN310

Posée par Boom Basstic dans Fonctionnalités et système

Bonjour,

j'essaye de configurer un acces VPN SSL sur un SN310, sans y arriver pour le moment.

voici comment j ai procédé:

J ai créé des réseaux assignés a mes clients UDP et TCP 

jai activé le VPN SSL, rentré le FQDN utilisé

choisi le réseau disponible pour mes clients 

choisi les reseaux assignés pour mes clients créés ci dessus

 

ensuite j ai créé un LDAP interne, pour pouvoir creer un utilisateur

 

J ai cree un user et autorisé la connexion au VPN SSL

sur mon client j ai telecharge le client VPN SSL

je rentre les infos de connexion

et j'ai le message suivant 

dans les logs du client :

Mon Apr 08 21:49:31 2019 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017

Mon Apr 08 21:49:31 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Apr 08 21:49:31 2019 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Mon Apr 08 21:49:31 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1302
Mon Apr 08 21:49:31...

Voir la suite
Non résolue

VPN SSL - Droit d'accès

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai mis en place la fonctionnalité VPN SSL sur mon SN910 en version 3.7.1.

J'ai configuré le VPN SSL :

  • Création de la règle
  • Configuration de l'onglet VPN SSL
  • Autorisation de l'utilisateur à se connecter en VPN SSL.

Lorsque je me connecte avec mon compte (admin) sur le portail https://IP_PUBLIQUE dans "Données personnelles" je peux télécharger :

  • Autorité de certification proxy SSL
  • VPN SSL Client
  • Profil VPN SSL pour clients OpenVPN...
  • Profil VPN SSL pour mobiles...

Cependant, avec un autre utilisateur l'onglet "Données personnelles" est vide.

Je pense que c'est un problème de droit.

Avez-vous des idées ?

Merci.

Cordialement,

MP

Non résolue

Proxy transparent Https sans decryption SSL

Posée par Nicolas Petel dans Fonctionnalités et système

Bonjour,

Est il possible avec un simple decive stormshield de realiser pour un VLAN Wifi Guest de faire du filtrage URL https en proxy transparent ? cela bien entendu sans faire de decryption SSL mais simplement dans le but de logger et de faire du filtrage sur le nom de domaine ? 

Merci

 

 

Résolue

VPN PPTP et Stormshield SN910

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Un poste de mon réseau doit se connecter à destination d'une IP publique pour monter un VPN PPTP.

Je n'arrive pas à faire fonctionner cette connexion. Je suis sur à 960% que le problème est lié au stormshield.

C'est la première fois que je suis confronté à cette méthode (Configuration d'un VPN sur un windows 10).

J'ai ajouté une règle de filtrage pour autoriser le PC à contacter l'IP publique sur tous les ports.

D'après mes logs, il réussit à initier la connexion. Par contre, je n'ai pas de log sur le retour de la communication, il ne se passe rien et le fameux VPN ne monte pas. (Pourtant, j'ai mis une règle de retour, autorisant l'ip publique de contacter le pc sur tous les ports).

 

Avez-vous des informations concernant ce type de VPN qui pourrait éclairer ma lanterne ? Pour ce type d'accès, il faut rajouter d'autres configurations sur le FW ?

 

Merci.

Cordialement,

Malcolm.

Messages d'alerte