82 Membres 1229 Contributions

Open Community

Discussions par mots clés : SNS

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

[SNS v3.1] impossble de récupérer les CRLs

Posée par Steven dans Administration

Bonjour à tous.

Nous avons 2 clusters de boitiers SN910 en version 3.1. Ce matin, nous ne pouvons plus monter de tunnels vers ces boitiers.

Après une courte investigation, il semblerait que les boitiers ne puissent plus mettre à jour les CRLs.

Lorsque je fais un "checkcrl -d", toutes les CRL retournent des erreurs "errno 0" ou "ERR = 3". Certaines CRLs sont normalement récupérées en LDAP et d'autres en HTTP.

A t on moyen de trouver plus de logs sur les boitiers pour voir ce qu'il se passe?

Peut on lancer manuellement une récupération des CRLs?

Sinon comment débloquer notre situation, svp?

D'avance merci pour votre aide.

Messages d'alerte