-353 Membres 1367 Contributions

Open Community

Discussions par mots clés : VPN

Résolue

DHCP multiples à faire passer dans VTI Stormshield

Posée par Thomas Authier dans Administration

Bonjour à tous.

J'ai un firewall Stormshield sur un site A et un autre sur un site B.

Actuellement un tunnel VPN IPSec est en place sur les deux Storms.

Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.

Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?

Non résolue

Accès esxi distant via VPN SSL au travers d'un tunnel IPSEC

Posée par Joffrey B dans Administration

Bonjour à tous,

Depuis vendredi je suis face à un problème que je n'arrive pas à résoudre.

J'ai un monté un tunnel IPSEC entre un SN300 et une pfsense en front sur un ESXI. Ce tunnel fonctionne et j'ai bien accès aux différentes VM de l'ESXI via mon bridge. 

Toutefois en ces temps difficiles, nous recourons au télétravail. J'ai donc des clients qui se connecte via le logiciel ssl stormshield et ça fonctionne. Mes clients ont bien accès au réseau local dans mon bridge, mais je n'arrive pas à accéder aux VMs de mon esxi. 

Côté configuration VPN IPSEC, mon réseau SSL est bien présent dans un objet réseau local (de même que mon réseau interne).

Côté filtrage et NAT, j'ai une règle qui laisse passer tout mon traffic depuis mon réseau SSL vers mon remote (réseau coté esxi).

J'ai une route statique qui indique la passerelle à utilisé pour mon remote (réseau esxi).

La je coince un peu niveau idée.

Auriez vous une piste que je puisse explorer svp ?

Je vous...

Voir la suite
Non résolue

The GreenBow avec Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je recherche 1 coup de main sur 1 problème que je n'arrive pas à comprendre.

Je veux administrer 1 Netasq v9 et les serveurs placés derrière depuis 1 PC d'admin, via un Tunnel VPN. Pour cela j'ai The GreenBow. J'arrive à monter le Tunnel, mais je n'arrive à rien.

Je ne peux pas administrer mon NetAsq depuis le PC via le Tunnel. l'IP du PC est bien autorisé pour le Webadmin. Les flux passent bien dans le Tunnel. L'écoute réalisé sur le Netasq (tcpdump enc0) montre bien le SYN, le SYN/ACK, mais jamais le ACK. Pourtant le Ping de fonctionne.

Lorsque je coupe le Tunnel, tout fonctionne.

Un autre comportement que je ne comprend pas. En activant le slot "Pass All" j'arrive à joindre les serveurs (Bureau à distance) situés derrière le NetAsq, avec le Tunnel ouvert.

Si j'active le slot ou se trouve mes règles de flux, toujours avec le Tunnel ouvert, j'ai le même fonctionnement qu'avec le WebAdmin (SYN, SYN/ACK, mais pas de ACK)

Quelqu'un aurait-il 1 idée pour m'aider...

Voir la suite
Non résolue

Perte accès interface Web SN 510

Posée par Anonyme dans Administration

Bonjour,

 

Tout d'abord meilleurs voeux à tous pour cette année 2019.

J'utilise un Firewall Stormshield SN510 et depuis la MAJ 3.6.0, je n'arrive plus à me connecter sur les pages https://XXXXXXXXX/admin/ et https://XXXXXXX/auth.

La dernière maj qui fonctionne correctement est la 3.5.2.

Dès que je mets à jour le firewall en 3.6.0 ou 3.7.1, le problème se reproduit.

L'accès en SSH focntionne bien car c'est par ce moyen que je peux revenir en 3.5.2 avec la partition de backup.

Aucun changement n'a été fait au niveau de la configuration entre la 3.5.2 et la 3.7.1.

Auriez-vous des idées?

 

D'avance merci.

 

Résolue

Certificat utilisateur révoqué

Posée par Anonyme dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

Temps de réponse élevé VPN SN160

Posée par Anonyme dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Résolue

QOS VPN

Posée par Anonyme dans Administration

Bonjour,

 

Nous avons mis en place plusieurs stormshields dans notre administration en remplacement des Arkoon. Nous utilisons des VPN IPsec inter-sites pour faire transiter la téléphonie VOIP en interne. Depuis la migration Arkoon - Strormshield, nous rencontrons des problèmes de coupures lors de communications. Tous les sites ne bénéficies pas de la même qualité d'accès à internet. Je souhiaterais mettre en place de la QOS sur les VPN téléphonies pour qu'ils soient prioritaires. j'ai vu qu'il existait plusieurs types de QOS et que le CBQ était favorisé pour la VOIP. Lors de nos premiers tests, cela était pire que sans QOS. Je ne comprends pas logique de mis ene place et comment être sur qu'elle s'applique comme nous le souhaitons.

 

Merci de votre aides et de vos conseils.

 

Remi

Non résolue

multiple VPN vers une Peer Unique

Posée par Anonyme dans Trucs et Astuces

Bonjour,

L'objectif est de monter l'architecture suivante :

-2 Subnets sont connectés au Stormshield;

 

-Ces derniers doivent communiquer avec leur pair sur un site distant A' et B', via VPN.

-L'idée étant d'avoir un VPN distinct pour chaque subnet.

-Les points de montage des VPN sont respectivement 2 VIP publiques A et B sur le stormshield.

-En revanche sur le site distant seule une IP publique est présentée (C);

 

Le but est donc de monter de VPN A et B comme suit  :

VPN A :

-Local Network : Sub A

-Remote network : Sub A'

-Remote gateway : IP publique C

-Local gateway : IP publique A

VPN B:

-Local Network : Sub B

-Remote network : Sub B'

-Remote gateway/Peer ID : IP publique C

-Local gateway/Local ID : IP publique B

Les autres paramètres sont laissés à l'identique entre le VPN A et le VPN B.

 

 

 

 

Aujourd'hui après avoir passé plusieurs jours à trifouiller mes configurations VPN, j'en arrive à la conclusion suivante  :  Cette architecture n'est pas possible...

Voir la suite
Résolue

Stormshield / VLAN / VPN

Posée par Jean Korn dans Administration

Bonjour, 
 
je possède sur le site n°1 un VLAN_5 (192.168.5.0/24) 
je possède sut le site n°2 un VLAN_5 (192.168.5.0/24) 
 
J’ai un VPN qui existe entre les 2 sites, malheureusement, je n'arrive pas a faire communiquer mes 2 VLAN ensemble. 
 
Dans la partie VPN des 2 stormshield 
j'ai bien : reseau local : Network_5  - reseau distant : reseau_5 
 
Dans la partie Filtrage et Nat des 2 stormshield 
j'ai une règle : 
"passer - source : reseau_5 - destination Network_5 " 
"passer - source Network_5 - reseau_5" 
 
sur un switch HP du site n°1, j'arrive a pinger un host sur le VLAN_5 situé sur le site n°1 
sur un switch HP du site n°2, j'arrive à pinger un host  du VLAN_5 situé sur le site n°2 
 
En revanche, je n'arrive pas à pinger un host du VLAN_5 situé sur le site n°2 à partir du VLAN_5 situé sur site n°1 et inversement. 
 
il doit me manquer un truc  
auriez vous une idée ? 
 
Merci

Résolue

Erreur 403 forbidden pour la connexion vpn ssl portal stormshield v 3.0.3

Posée par Anonyme dans Fonctionnalités et système

Bonjour à tous,

 Je suis entrain de mettre en place un vpn ssl portal sur une vm stormshield version 3.0.3. Mais quand j'essaye d'accéder la page d'authentification j'ai l'erreur 403 forbidden. 

 

 Les actions que j'ai fait sont les suivants :

 

   -dans Configuration->vpn ssl portal onglet générale j'ai activer le vpn ssl uniquement pour serveur web

    -dans Configuration->vpn ssl portal onglet serveur web j'ai ajouté un serveur web

 -dans Configuration->vpn ssl portal onglet profils utilisateur j'ai ajouté un profil utilisateur

-dans Configuration->vpn ssl j'ai rempli les champs et activer le vpn ssl

Et c'est tout ce que j'ai fait. Il ya forcément un élément que j'ai oublié. Quelqu'un pourrai-t-il me le dire ? Je serrai reconnaissant !

Ps : Je suis en pass all

 

Résolue

MIB Arkoon P-1206

Posée par Anonyme dans Administration

Bonjour,

Je souhaiterai superviser les informations VPN de mon firewall Arkoon P-1206 (version firmware 6.0/12).

Seul problème, je ne trouve pas d'OID qui peuvent correspondre aux informations VPN. J'ai bien trouvé les OID pour supervisier la partie système (cpu, mémoire, trafic, disk...) mais rien concernent les liens VPN...

Où se trouve la MIB qui contient les informations VPN ? Pourquoi je n'ai pas accès à tous les OIDs sur ce matériel ?

Ou est-ce que je peux récupérer ces informations via les traps snmp ?

 

Cordialement.

 

Résolue

[SN2000] Fichier de configuration OpenVPN

Posée par Julien Durand dans Fonctionnalités et système

Bonjour à tous,

Je rencontre un problème lors de la connexion de mes clients OpenVPN sur Windows.

Le VPN SSL monte très bien, cependant, impossible de faire de résolution DNS avant plusieurs minutes. Le NSLOOKUP fonctionne pourtant très bien.

Pour pallier à ce problème, je renseigne l'option "register-dns" dans le fichier de conf du client (openvpn_client.ovpn). Avec cette option, le client DNS Windows s'enregistre sur le serveur DNS fourni par le SNS, et l'accès aux ressources réseau via leur nom est possible.

Je souhaite donc intégrer l'option "register-dns" dans le fichier de conf du SNS, donc dans le fichier "openvpn_server.conf" (sous la forme de la ligne "push register-dns").

Mon problème est donc celui-ci : où le trouver ? (autre que dans /var/tmp/ ?)

Merci pour vos réponses éclairées !

Cordialement,

Julien

Résolue

Client Stormshield VPN SSL - Demande de mot de passe

Posée par Anonyme dans Securité

Bonjour,

Existe-t-il un moyen de demander le mot de passe d'un utilisateur systématiquement lorsque celui-ci essaie de se connecter au vpn ? Actuellement il doit le saisir une fois, et peut se déconnecter/reconnecter autant de fois qu'il le souhaite sans retaper son mot de passe à condition qu'il ne quitte pas le client Stormshield VPN 2.1.0.

Merci :)

Résolue

VPN et signatures algorithmes IKE SHA

Posée par Anonyme dans Securité

Bonjour à toutes et à tous,

Nous venons de monter un tunnel vpn ipsec en test avec deux boitiers Arkoon Fast360.

Nous avons eu des difficultés à faire passer un ping entre les hôtes à chaque extrémité.

Après avoir lu plusieurs postes, nous avons vu qu'il était parfois conseillé de changer la signature de l'algorithme IKE en SHA1 à la place de SHA256.

Après modifications, cela a effectivement fonctionné.

Ma question est la suivante : pourquoi ? Pourquoi la signature en SHA256 entraîne-t-elle une non-transmission des paquets à la sortie du tunnel?

Je vous remercie pour les réponses que vous pourrez m'apporter.

Résolue

problème VPN iphone

Posée par Anonyme dans Fonctionnalités et système

Bonjour à tous,

 

je suis nouveau ici ayant acquis récemment un Stormshield SN300.
Voilà, j'ai configuré un tunnel VPN afin que des utilisateurs à distances se connectent en IPSEC et aucun soucis avec certificat et IP fixe. Aucun soucis.

J'ai voulu depuis quelques jours ajouter une configuration pour les iphones, j'ai donc suivi le tuto de Netasq pour la config VPN iphone et là, c'est le drame. J'ai vraiment tout réalisé comme le tuto, à plusieurs reprises, et à chaque fois la même erreur lors de la connexion :

unable to get local issuer certificate.

J'ai pourtant créé un certificat racine, j'en ai créé un serveur pour le portail applicatif que j'ai signé avec mon CA créé...Bref, un casse tête.
Si quelqu'un aurait déjà config son iPhone/iPad en IPSEC...Merci :)

Résolue

Stormshield - Traces / logs

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Sur l'un de nos clusters SN, les requetes de notre serveur de supervsion "pourissent" les logs disponibles sur l'appliance et nous obligent à créer des filtres un peu complexes pour observer des traces toutes simples.

Nous avons compris que l'appliance logue tous les flux et que le niveau de trace d'une règle permet d'avoir des informations plus poussées ou de lever des alarmes.

Est-il possible, comme sur les boitiers Arkoons, de supprimer toute journalisation d'une règle de flux précise ? (ex: serveur de supervision) 

Configuration : Cluster HA SN3000, v2.2.1

Cordialement,

JB

Résolue

VPN sur IP privée

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai un pare-feu arkoon connecté au routeur de mon opérateur. Le réseau d'interconnexion est un réseau d'IP privées. L'IP principale de l'interface externe de mon pare-feu est donc privée. Le routeur de l'opérateur route les IP publiques vers cette IP privée du pare-feu.

Je souhaite mettre en place des tunnel VPN IPSEC. Or, pour cela, il faut que le tunnel aboutisse sur une IP publique.

Comment puis je procéder ?

Merci d'avance pour vos réponses...

Résolue

Tunnel IPSEC problème phase 2

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai un comportement étrange quand je monte un tunnel entre 2 boitiers Netasq qui sont en version 9.1.4 et qui se trouve sur internet

Le tunnel IPSEC qui est en clé pré-partagé monte. Les services au extrémités du tunnel arrivent à se joindre mais avec un débit pas terrible. Mais ce qui étrange c'est que la phase 2 du tunnel se renégocie en permanence. Le boitier distant renvoie constamment des messages de type "Received Delete SA" pour supprimer le tunnel.  Environ tous les 5 à 10 secondes.

Ci-joint un exemple de ce que j'ai dans le RealTime Monitor. Au bout de plusieurs minutes j'ai plus de 20 lignes.

Avez-vous une idée sur les causes probables de l'envoie constant de message "Received delete SA" en phase 2.

 

Résolue

Tunnel et réseau sur même interface

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

J'ai un client nomade qui se connecte à mon arkoon. Le lien est monté sur l'ETH1.

Le tunnel est up et je vois qu'il y a des ping qui passe dans le tunnel (côté nomade) et qui arrive sur le pare-feu.

Le problème est que je ne vois pas ressortir mes pings qui devrait ressortir sur la même interface (ETH1)

Les flux sont configurés en full accept.

Est ce que c'est possible de faire ça ?

Monter son tunnel sur une interface et faire ressortir le flux sur la même interface.

 

Je vous remercie pour votre aide.

 

PS : Pare-feu en V5.0-28, Smart Connect v1.3

Messages d'alerte