-365 Membres 1407 Contributions

Open Community

Discussions par mots clés : SNS

Non résolue

Changement interface HA sur SNS

Posée par Bruno dans Fonctionnalités et système

Bonjour,

Je dispose en production d'un cluster de SN6100 en version 4.1.4, situé sur un même site. Les liens HA entre les 2 appliances sont actuellement sur des interfaces Ethernet.

Suite à la restructuration de notre organisation, je vais devoir séparer les 2 appliances sur 2 sites distincts reliés via des fibres noires. Je vais donc devoir changer les interfaces HA pour les positionner sur des nouvelles interfaces fibre disponibles. Quelqu'un a t'il des retours pour la reconstruction de cluster HA en utilisant de nouvelles interfaces ?

J'ai déjà pris connaissance de la KB (https://kb.stormshield.eu/en/network-security/sns-appliance/system/high-availability/how-to-rebuild-the-ha-cluster) mais si des utilisateurs qui ont déjà effectué cette opération pouvaient me faire un retour d'expérience je suis preneur.
Merci de vos retours

 

Cordialement

Bruno

Ouverte

Réservation DHCP sur SNS V3.7 /3.8

Publiée par Richard Dessendier dans Fonctionnalités et système

Bonjour,

Je viens d'un autre monde que Stormshield et les changements de logique / vocabulaire ne sont pas toujours facile à intégrer 😉

J'ai pas mal galéré pour arriver à effectuer une réservation DHCP sur mes Firewalls. Et n'ayant pas trouvé de réponse dans la formation administrateur ni le manuel, au cas où, je partage mes malheurs.

Habitué à la logique du serveur DHCP de Microsoft et de mon ancien firewall, je voulais attribuer une adresse appartenant à la plage définie dans le serveur.

Ex : Plage DHCP 192.168.1.50 -> 192.168.1.100, j'effectue une réservation sur l'adresse 192.168.1.55.

Or, si l'on fait cela, le firewall indique une erreur : "L'hôte est contenu dans un intervalle existant".

Il faut donc attribuer une adresse IP en dehors des plages associées au serveur DHCP du Stormshield. Dans l'exemple, on pourrait donner l'IP 192.168.1.101

En revanche, on peut créer un objet « plage d’adresses IP » (ex : DHCP_Resa 192.168.1.101 -> 192.168.1.110)...

Voir la suite
Résolue

Certificat utilisateur révoqué

Posée par Anonyme dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

Personnaliser la géolocalisation

Posée par Anonyme dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

[SNS v3.1] impossble de récupérer les CRLs

Posée par Anonyme dans Administration

Bonjour à tous.

Nous avons 2 clusters de boitiers SN910 en version 3.1. Ce matin, nous ne pouvons plus monter de tunnels vers ces boitiers.

Après une courte investigation, il semblerait que les boitiers ne puissent plus mettre à jour les CRLs.

Lorsque je fais un "checkcrl -d", toutes les CRL retournent des erreurs "errno 0" ou "ERR = 3". Certaines CRLs sont normalement récupérées en LDAP et d'autres en HTTP.

A t on moyen de trouver plus de logs sur les boitiers pour voir ce qu'il se passe?

Peut on lancer manuellement une récupération des CRLs?

Sinon comment débloquer notre situation, svp?

D'avance merci pour votre aide.

Messages d'alerte