82 Membres 1232 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

IPV6 et configuration d'interface dialup (PPPoe)

Posée par Laurent H dans Fonctionnalités et système

Bonjour,

J'ai un Stormshield SN300 en version 3.7.1 que j'ai recemment basculé en IPV6.

 

Cependant j'ai une question concernant l'interface wan, qui est montée en pppoe.

En ipv4 elle obtient bien son ip, en revanche en ipv6 non, mais c'est normal, je dois la configurer manuellement (j'ai un préfixe entre mon routeur opérateur et les equipements d'extremités (le tunnel pppoe est entre ces deux éléments).

Je route ensuite un /64 comme étant derriere l'equipement (qui sera le prefixe sur le lan sn).

Cette configuration fonctionne en v4+v6 si j'utilise un autre routeur que le sn.

Ma question est donc :

Puis-je paramétrer l'interface firewall_out_ppoe afin de lui assigner une ipv6 ?

J'ai vu que ce n'était pas possible via l'interface web, l'est-ce en cli ?

 

Merci d'avance,

Laurent.

Résolue

Rapport système - stormshield sn910

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaite télécharger un rapport système de mon stormshield.

Je suis connecté en administrateur, je vais dans "Système > Maintenance > Configuration"

Lorsque j'essaye de le récupérer, j'obtiens le message suivant :

" Erreur serverd ret=205 code=06200a00 msg=Droit d'accès restreint requis Commande : SYSTEM INFORMATION "

 

Avez-vous une idée du problème?

Cordialement,

MP

 

Résolue

Empecher l'accès sur une url interne particulière

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai un serveur Web derrriere un sn510 sur lequel des utilisateurs peuvent se connecter en http via l'adresse http://blabla.nomdedomaine.com

Par contre je souhaiterai empêcher qu'ils puissent accéder à la page http://blabla.nomdedomaine.com/config

est ce possible et comment voyez vous la chose ?

Bonne journée et merci d'avance

Non résolue

Demande d'information pour la configuration d'une double liaison

Posée par Antony J. dans Fonctionnalités et système

Bonjour,

J'ai actuellement un problème avec un boitier Stormshield SN310 qui viens en remplacement d'un netask vieillissant.

Actuellement ce netask, dispose de deux liaisons WAN, une via un boitier SDSL et disponible via son IP publique et une liaison ADSL qui fonctionne avec un dialup pour enregistrer les informations de connexion.

J'ai entré pour configuration dans le boitier Stormshield pour la liaison SDSL son IP publique pour configuration du port, et pour la liaison ADSL le port en DHCP et j'ai ajouté une interface Modem pour configuré en complément les informations de connexion.

Pour ce qui est du chemin que dois prendre les données j'ai configuré cela dans mes règles de filtrage et NAT.

Pour votre information c'est la première fois que je configure deux liaisons sur un Stormshield habituellement le client ne dispose que d'une liaison et je ne rencontre donc aucun soucis.

Le problème est que rien ne fonctionne sur les deux liaisons. Avez-vous une idées du problème...

Voir la suite
Résolue

HA MAC adresse

Posée par Fat Dam dans Fonctionnalités et système

Bonjour,

afin d'implémenter une pair de SN510 en HA, je voudrais savoir si IP et MAC adresses restent identiques ou pas en cas de basculement active > passive FW.

Quelq'un pourrait confirmer? Meri d'avance.

 

Résolue

Pb changement mot de passe par portail captif SN700

Posée par Fragobar dans Fonctionnalités et système

Bonjour,

Je possède un SN700 en Firmware 3.3.2 en place depuis longtemps.

Tout fonctionne correctement, IPSec, VPN SSL, FW, portail captif, etc.

Depuis peu on a voulu autoriser les clients a changer leur mot de passe depuis le portal captif.

dans Utilisateurs > authentification > profils du portail captif:

- j'ai activé "Les utilisateurs peuvent changer leur mot de passe"

- j'ai laissé "Ne pas permettre l'enrôlement des utilisateurs"

Dans cette configuration l'option pour changer de mot de passe apparait mais je recois un message d'erreur par la suite lorsque je change le mot de passe. (rien dans mes audit logs sur les DC)

 

j'ai donc décoché l'option "L'annuaire est en lecture seule" dans l'onglet "structure" de "configuration des annuaires" mais cela ne change rien.

Je tourne en rond depuis ce moment la.

Auriez-vous une idée ?

Merci.

Non résolue

LDAP de secours inopérant

Posée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

J'ai 2 LDAP, l'un en maitre (provider) sur le réseau local, l'autre en esclave (consumer) accéssible via IPsec.

L'esclave accède au master via l'IPsec et le réplique sans soucis et donc les utilisateurs sont les mêmes sur les deux et en temps réêl.

 

J'ai fais le test sur un LDAP, chaqu'un est accéssible quand il est en serveur par défaut.

Je met donc le LDAP local en principal et le LDAP ipsec en secours.

sauf que si je débranche la prise réseau du LDAP local pour voir si le pare-feu bascule sur le secours, il n'en est rien...

le secours ne sert à rien. Pire, si je rebranche le LDAP local, il n'arrive plus à s'y connecter tant que le serveur de secours est configuré.

je suis obligé de supprimer le secours pour pouvoir de nouveau accéder au LDAP principal.

 

quelqu'un à une idée ?

 

merci d'avance.

Résolue

Perte d'acces à mon SN200

Posée par Richard Bro dans Fonctionnalités et système

Bonjour,

 

Je ne sait pour quel raison j'ai perdu l'acces à mon SN200.

J'ai donc J'ai un reset avec un trombone jusqu'au 2emme bip.

Le routeur a bien redemarré il est bien en 10.0.0.254/8, mais je ne peux toujours pas y accéder. (j'ai evidement configurer mon pc sur la bonne plage ip)

j'ai donc brancher un ecran et un clavier sur le SN200 en CLI j'ai activer le DHCP.

Maintenant mon PC accede au routeur via la webinterface https://10.0.0.254/admin

Quand je rentre les login/mdp, admin/admin, j'ai un message en rouge qui me dit connection error 200 Licence is not yet valid. j'ai recuperé le fichier licence sur le site stormshield.eu mais je ne sait pas comment l'injecter.

Désolé si je ne suis pas clair c'est la 1ere fois que je travail sur stormshield et je suis totalement perdu.

Merci d'avance pour votre aide.

Richard

Non résolue

VPN sur IP privée - difficultés de mise en oeuvre

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Ayant des difficultées a reprendre le sujet ci-après (https://open.arkoon.net/aoc/vpn-sur-ip-privee), je me permets de vous reposer la question et vous demander de l'aide :

J'ai un arkoon en version 6.0/3 XD.

J'ai un tunnel IPSEC qui fonctionne bien quand l'adressage IP entre mon opérateur et mon pare-feu est public.
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 90.90.90.0/24

Je passe l'adressage IP entre mon opérateur et moi en adressage privée, modifie le routage en conséquence et ajoute 90.90.90.90 dans l'anglet "avancé" de mon accès INTERNET (image jointe).
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 10.20.30.0/24 (IP ARKOON = 10.20.30.40, IP ROUTEUR INTERNET = 10.20.30.50)

Les flux sont traitées correctement par le pare-feu (flux entrant et sortant sur IP publique).

Malheureusement, chaque tentative de connexion depuis mon client de test (100.100.100.100) vers l'IP publique du VPN...

Voir la suite
Non résolue

Mise a jour U30

Posée par Fabien Gas dans Fonctionnalités et système

Bonjour,

j'ai acheter un netasq u30 d'occasion et plus sous maintenance. du coup impossible d'enregistrer mon produit et donc d'avoir un espace client.

 

quelqu'un pourrais me fournir les fichier maj pour mon u30 actuellement en version 9.0.7

 

Merci d'avance

Ouverte

Meilleur visibilité des périphériques sur le tabeau de bord

Publiée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

depuis quelques temps, j'utilise le tableau de bord pour faire de l'administraton superficiel, hors lors du branchement d'un nouvel ordinateur sur le réseau, la seule chose que je vois indiqué est son IP.

il n'y aucune adresse mac et aucun nom affiché dans l'infobulle, pourtant ces informations peuvent être récupérés dans la partie trace du logiciel stormshield realtime monitor.

De même, le pare-feu ne possède pas de partie BAUD DHCP, je trouve cela dommage car il permet de connaitre les machines enregistrés dans le DHCP.

 

 

Cordialement.

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Résolue

PROXY Interne et NAT

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je dispose d'un arkoon en version 5.0-120703_0024. J'utilise l'arkoon en tant que proxy http sur mes postes clients internes.

Actuellement, le plan d'adressage entre mon opérateur et mon firewall est public.

A l'occasion d'un changement d'opérateur (et donc de plan d'adressage IP public), je souhaite passer sur un adressage privé entre mon opérateur et moi (avec routage de la plage publique vers mon firewall par l'opérateur).

Comment faire en sorte que le proxy interne à l'arkoon utilise toujours une IP publique pour aller sur internet alor que l'interface externe est en adressage privé ?

Suffit il de tout simplement réaliser une règle d'accès avec l'objet arkoon en source et any en destination et NAT source sur une IP publique ?

Merci d'avance pour votre aide.

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Messages d'alerte