-377 Membres 1418 Contributions

Open Community

Questions

Résolue

StormShield et Busines LiveBox

Posée par Orma Info dans Administration

Bonjour à tous,

Depuis quelques semaines, nous observons sur plusieurs clients qui ont le même type d'installation, des problèmes de bande passante.

En effet, le point commun est le suivant: Une Business Livebox en mode bridge avec un Stormshield, puis le LAN.

Le dysfonctionnement apparait uniquement sur l'UPLOAD, qui bloque à 0.4M.

Nous avons résolu le problème en passant la pat OUT en "100Mbs Full Duplex" (et non autonégo).

Mais cela bride la connexion 200M du client à 100...

Si je force le ''OUT'' en 1Gbs, l'upload déconne et retombe à 0.4M.

 

Avez-vous une idée de test à effectuer pour résoudre cela?

Merci par avance pour votre temps et vos conseils.

Cordialement.

Non résolue

Logs Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je souhaiterais savoir s'il est possible de retrouver des traces de modifications de configuration sur les Netasq.

Je m'explique, plusieurs routes ont été supprimées sur 1 de mes NetAsq. Je voudrais savoir si un fichier de log existe qui retrace les actions sur l'équipement.

Merci.

Résolue

[SN310] - Erreurs critiques certificats/CRL & TPM

Posée par Tempête Bouclier dans Administration

Bonjour,

Je rencontre un problème de déploiement sur un SN310 ayant un statut critique avec 2 erreurs (la 1re en non critique et la 2de en critique):

  1. Une erreur de déploiement "Backup TPM ondisk key check error" : la documentation Stormshield recommande que l'administrateur détienne déjà les droits TPM ("To initialize and use the TPM, the account of the connected administrator must hold the TPM (E) privilege.") et donc d'ajouter les droits admin sur Administrators > Administrators tab > Switch to advanced view > valider le TPM access en écriture. En faisant cela puis en essayant de redéployer j'ai les deux mêmes erreurs. 
  2. Une erreur de CRL/Certificat : les certificats sont bons et pas expirés. La case "Enable regular retrieval of CRL" est bien cochée (dans CONFIGURATION > SYSTEM > Configuration > GENERAL CONFIGURATION > Cryptographic settings).

Je ne vois pas trop ce qui manque. La version du PF est en 3.11.8 et lorsque je downgrade en 3.7.20 comme...

Voir la suite
Résolue

SN 310 Erreur MAJ V4.2.4

Posée par Piwitux dans Fonctionnalités et système

Bonjour,

Je rencontre un problème pour mettre à jour un stormshield SN310.

Celui-ci dispose déjà de la version 4.1.6 et j'aurais souhaité le mettre à jour vers la dernière version disponible la 4.2.4.

Seulement lorsque j'essaye de mette à jour l'équipement j'obtiens le message d'erreur ci-joint.

Le problème viendrait apparemment d'algorithme IPSEC en place et obsolète.

J'ai donc essayé de changer l'algorithme de mon VPN mais sans résultat... j'obtiens toujours le même message.

Quelqu’un aurait -il déjà rencontré le problème ?

Merci par avance pour votre aide.

Non résolue

Configuration internet avec Routeur Orange en mode bridge

Posée par Eglyn Lujiel dans Administration

Bonjour, 

Je possède un Stormshield SN310 et je n'arrive pas à configurer notre nouvel accès à internet.

Le routeur Orange est configuré en mode bridge, ce qui fait que j'ai une adresse IP publique à configurer dans le SN310.

J'ai créé sur l'interface ou est connecté Orange une interface externe publique avec IP statique, l'IP publique Orange.

J'ai créer un routeur dans les objets qui contient le host créé automatiquement de cette interface.

J'ai mis en route par défaut ce routeur dans les routes statiques.

J'ai créé une reègle de filtrage pour autoriser ma machine de test à sortir, ainsi qu'une règle de NAT suivante: 

Source: ma machine

Destination: internet / interface Orange

Ports: any

Source: Firewall_interface_Orange

Destination: internet

 

Mais cela ne fonctionne pas :/ est-ce que j'oublie quelque chose ? 

 

Merci d'avance :)

Non résolue

Problème SIP ALG SN 210

Posée par Lalo Lalo

Bonjour, je rencontre un problème avec un SN 210.

J'essai de faire passer de la téléphonie avec un IPBX 3CX, lorsque je fais un test de parefeu via l'IPBX, j'obtiens une erreur SIP ALG.

Je l'ai désactivé en suivant ce lien : http://www.fuseapps.co.uk/stormshield/

Sur une installation avec un lien FFTH OVH, la téléphonie fonctionne très bien et le SIP ALG apparait bien désactivé.

Avec la même configuration, mais sur une ligne FFTH d'un autre opérateur, le SIP ALG apparait activé et j'ai des blancs lors des appels.

Si je met en place un routeur Mikrotik proposé par l'opérateur, le SIP ALG est désactivé.

Est ce quelqu'un serait comment être sur que le SIP ALG est bien désactivé ?

Pour info, c'est le SN 210 qui fait office de modem.

Merci d'avance.

Lalo

Résolue

SN310

Posée par Tempête Bouclier dans Securité

Bonjour,

Je tente de déployer une configuration sur un SN310 à partir de SMC. Cette validation échoue avec le message d'erreur : "Impossible to validate the firewall configuration: Mot de passe invalide". Je n'ai pas de problème pour accéder à la page de configuration du pare-feu avec les identifiants qui sont corrects.

Je vous remercie pour votre aide.

Bonne journée.

Non résolue

SOPHOS Utm sur Arkoon Fast/Medium 360 series

Posée par Alexis Proença dans Fonctionnalités et système

Bonjour,

J'ai recupéré un Arkoon Security Medium et Fast 360 series (avec la packages : Hdd, clé de licence, cd..) à mon travail (très peu utilisé).

J'ai vu que la fin du support était en Décembre 2019, est-il possible d'installer Sophos XG Home edition sur ce boitier?

J'ai déjà appelé stormshield, m'indiquant qu'ils n'ont plus la main et peu de connaissances sur les anciens boitiers, il ma juste dis que c'etait du "FreeBSD".

Pouvez-vous m'éclaircir sur le sujet ?

Et si ce n'est pas possible qu'elle autre OS puis-je mettre ? ex : stormshield, pfsense... et sur quel boitier (fast ou medium) ?

En vous remerciant,

Bonne journée :)

Résolue

Redirection de Flux Stormshield SN510

Posée par Abdoulaye Abdoulaye dans Securité

Bonjour, 

Je cherche un déblocage sur une connerie que voici. Nous utilisons le protocole HTTPS pour se connecter au Pare Feu stormshield, j'étais bien connecté à l'équipement qui devait être suppervisé par Nagios. Malheureusement jai replacé le via browser le https par le protocole http et je n'arrive plus à accèder à la page web. Je ne peux y accèder qu'en ligne de commande. 

Je cherche à rétablir l'accès de la page web en https. quelqu'un pourrait m'aider à effectuer cette opération en ligne de commande s'il vous plait. 

Je vous remercie d'avance

Non résolue

Ldap stormshield

Posée par Typhon10000 dans Securité

Bonjour,

Etant débutant sur le monde des stormshields, j'ai tenté de créer, à partir d'un stormshield A, un LDAP que j'aimerai connecté sur un stormshield B en suivant la documentation, avec la configuration suivante :

Organisation : teststorm
Domaine : com

Ensuite je me connecte sur le stormshield B pour connecté l'annuaire de celui du A en entrant les informations suivantes : 

Nom de domaine : teststorm
Serveur : (l'objet du stormshield A)
Port : ldap (port 389)
Domaine racine (Base Dn) : dc=teststorm,dc=com
Identifiant: (l'identifiant du stormshield A commencant par "cn=")
Mot de passe: (mot de passe de l'annuaire stormshield A)

Après la validation de ces informations j'ai une erreur qui est la suivante :

200 erreur d'authentification au ldap

Il me semble avoir bien suivi toute la documentation :(

Merci encore pour votre aide et bonne journée !
Cordialement.

Résolue

Installation licence Stormshield SN310

Posée par Eglyn Lujiel dans Matériels et performances

Bonjour, 

Je rencontre un problème avec un SN310.

Nous avons un SN310 HS que nous venons de remplacer, et nous voulons mettre la licence de l'ancien dans le nouveau.

Je veux donc uploader la licence à partir de l'interface web (sous forme de fichier téléchargé sur le site de MyStormshield), mais j'ai ce message d'erreur:

 

Je ne peux pas du coup configurer le SN310 :/

Comment faire pour uploader la licence ? 

Merci d'avance :)

 

Résolue

Firmware 4.2.2 ne veut pas s'installer

Posée par Achraf Kamal dans Fonctionnalités et système

Bjr,

SVP j'essaye d'installer le dernier firmware 4.2.2; sur un 4.1.6. il se telecharge et s'install et apres le redemarrage il revient a 4.1.6. j'ai cherché le 4.2.1 puisqu'ils disent sur la documentation que vous aurez besoin de 4.1.1 ou 4.2.1 pour installer la 4.2.2 mais je ne trouve pas sur le site le 4.2.1. merci bcp.

Résolue

mise a jour P-1206 et arkoon manager

Posée par Remi dans Administration

Bonjour,

Est-qu'il est encore possible d'accèder aux téléchargements sur https://support-https.arkoon.net/ ou est-ce définitement fermé ?

Je souhaiterai remettre a niveau 2 routeurs P-1206.

Merci

Non résolue

Rédirection des flux Stormshield U250SA

Posée par Jjd Des dans Administration

Bonjour à vous,

J'ai un petit souci pour faire une redirection NAT.

Nous avons un VPN entre un site distant et une interface de notre Stormshield en interne

( nommé CL).

Le VPN fonctionne parfaitement, le client envoie ses trames sur un serveur 10.7.X.X. qui correspond au réseau de l'interface CL.

Je souhaite que les flux envoyés sur ce serveur 10.7.X.X soient redirigés sur un serveur qui est dans un autre réseau du même Stormshield(adressage en 10.6.X.X --> Interface PR) .

 

Je ne suis pas réellement certain de la démarche à suivre pour rediriger les flux entre deux interfaces d'un meme Stormshield

 

Pouvez-vous m'éclairer ?

 

Merci d'avance.

Résolue

Maj firmware SN510 erreur upload echec de déchiffrement

Posée par Fb dans Administration

Bonjour à tous,

suite à une remise à 0 de la configuration sur un SN510 je souhaite installer le firmware 3.7.15 car je suis dnas un cluster et le second a cette version de firmware.

Le problème est que lorsque je veux mettre à jour le firmware j'ai l'erreur suivante:

Erreur serverd ret=200 code=00a00b03 msg=Eched de déchiffrement commande: UPLOAD

Est-ce que l'un de vous a déjà été confronté à cela et sait comment résoudre ce problème ?

 

Merci :)

 

Non résolue

SNMP avec Stormsheild

Posée par Fabrice B. dans Administration

Bonjour,

Je monitore depuis mon réseau pas mal de système via l'application "Zabbix" depuis plus d'un an maintenant. Notament mes stormsheild en SNMP v1.

Lundi dernier, j'ai passé le MAJ 4.1.6 et depuis, les requettes snmp de Zabbix ne passent plus vers tous les Stormsheilds montés via des tunels IPSEC alors que tout était OK juste avant.

Malgrès tous mes tests rien n'y fait, je n'arrive plus à monitorer mes pares-feu qui ne sont pas sur le même réseau que le serveur Zabbix.

Pour info, les trames SMTP passent bien d'un réseau à l'autre et j'arrive à monitorer des applications en SNMP sur les mêmes réseaux que les pare-feu qui ne marchent pas!

Avez-vous une idée ?

 

Non résolue

Filtrage web et authentifacation invité

Posée par Nicolas Jacopin dans Administration

Bonjour à tous. 

Je me casse les dents sur un paramétrage.

Présentation de la demande : 

Un SN210W avec une interface IN pour le réseau interne et l'interface DMZ dédiée au réseau guest. Filtrage https sans déchiffrement et portail captif en mode invité (déclaratif) à mettre en place. 

Je vous mets une copie d'écran de mes règles concernant la dmz (réseau guest) le filtrage https est ok. Si je fais du déchiffrement, lors de l’ouverture de l’exportateur, j’ai bien le portail captif qui apparait. Je peux à ce moment m’identifier. Donc la partie portail captif est ok

Si je désactive la deuxième du proxy ssl règle pour faire du filtrage sans déchiffrement, je perds l’authentification invité.

Il y a un problème dans l’énoncé. Si c’est des invités je ne vais pas déployer un certificat sur leurs postes… il faut donc que je désactive le déchiffrement.

Si quelqu’un aurait une copie d’écran des règles à mettre en place dans mon cas ça...

Voir la suite
Non résolue

RAZ URL embedded database

Posée par Alain Bosco dans Administration

Bonjour.

J'ai un SN510 dont la maintenance a expiré et l'option Extended Web Control aussi.

J'ai voulu passer sur la base URL embedded mais elle est non fonctionnelle et un message d'erreur est affiché "Error: update status of URL database unknown (Active Update status)".

Existe-t'il un moyen de la réparer ? La mettre à jour à une version quelconque (origine, fin de maintenance, ...) ?
J'ai essayé de lancer un autoupdate manuel par le web cli mais cela ne fonctionne pas.

Merci.

Non résolue

Logs Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je souhaiterais savoir s'il est possible de retrouver des traces de modifications de configuration sur les Netasq.

Je m'explique, plusieurs routes ont été supprimées sur 1 de mes NetAsq. Je voudrais savoir si un fichier de log existe qui retrace les actions sur l'équipement.

Merci.

Non résolue

Configuration internet avec Routeur Orange en mode bridge

Posée par Eglyn Lujiel dans Administration

Bonjour, 

Je possède un Stormshield SN310 et je n'arrive pas à configurer notre nouvel accès à internet.

Le routeur Orange est configuré en mode bridge, ce qui fait que j'ai une adresse IP publique à configurer dans le SN310.

J'ai créé sur l'interface ou est connecté Orange une interface externe publique avec IP statique, l'IP publique Orange.

J'ai créer un routeur dans les objets qui contient le host créé automatiquement de cette interface.

J'ai mis en route par défaut ce routeur dans les routes statiques.

J'ai créé une reègle de filtrage pour autoriser ma machine de test à sortir, ainsi qu'une règle de NAT suivante: 

Source: ma machine

Destination: internet / interface Orange

Ports: any

Source: Firewall_interface_Orange

Destination: internet

 

Mais cela ne fonctionne pas :/ est-ce que j'oublie quelque chose ? 

 

Merci d'avance :)

Non résolue

Problème SIP ALG SN 210

Posée par Lalo Lalo

Bonjour, je rencontre un problème avec un SN 210.

J'essai de faire passer de la téléphonie avec un IPBX 3CX, lorsque je fais un test de parefeu via l'IPBX, j'obtiens une erreur SIP ALG.

Je l'ai désactivé en suivant ce lien : http://www.fuseapps.co.uk/stormshield/

Sur une installation avec un lien FFTH OVH, la téléphonie fonctionne très bien et le SIP ALG apparait bien désactivé.

Avec la même configuration, mais sur une ligne FFTH d'un autre opérateur, le SIP ALG apparait activé et j'ai des blancs lors des appels.

Si je met en place un routeur Mikrotik proposé par l'opérateur, le SIP ALG est désactivé.

Est ce quelqu'un serait comment être sur que le SIP ALG est bien désactivé ?

Pour info, c'est le SN 210 qui fait office de modem.

Merci d'avance.

Lalo

Non résolue

SOPHOS Utm sur Arkoon Fast/Medium 360 series

Posée par Alexis Proença dans Fonctionnalités et système

Bonjour,

J'ai recupéré un Arkoon Security Medium et Fast 360 series (avec la packages : Hdd, clé de licence, cd..) à mon travail (très peu utilisé).

J'ai vu que la fin du support était en Décembre 2019, est-il possible d'installer Sophos XG Home edition sur ce boitier?

J'ai déjà appelé stormshield, m'indiquant qu'ils n'ont plus la main et peu de connaissances sur les anciens boitiers, il ma juste dis que c'etait du "FreeBSD".

Pouvez-vous m'éclaircir sur le sujet ?

Et si ce n'est pas possible qu'elle autre OS puis-je mettre ? ex : stormshield, pfsense... et sur quel boitier (fast ou medium) ?

En vous remerciant,

Bonne journée :)

Non résolue

Ldap stormshield

Posée par Typhon10000 dans Securité

Bonjour,

Etant débutant sur le monde des stormshields, j'ai tenté de créer, à partir d'un stormshield A, un LDAP que j'aimerai connecté sur un stormshield B en suivant la documentation, avec la configuration suivante :

Organisation : teststorm
Domaine : com

Ensuite je me connecte sur le stormshield B pour connecté l'annuaire de celui du A en entrant les informations suivantes : 

Nom de domaine : teststorm
Serveur : (l'objet du stormshield A)
Port : ldap (port 389)
Domaine racine (Base Dn) : dc=teststorm,dc=com
Identifiant: (l'identifiant du stormshield A commencant par "cn=")
Mot de passe: (mot de passe de l'annuaire stormshield A)

Après la validation de ces informations j'ai une erreur qui est la suivante :

200 erreur d'authentification au ldap

Il me semble avoir bien suivi toute la documentation :(

Merci encore pour votre aide et bonne journée !
Cordialement.

Non résolue

Rédirection des flux Stormshield U250SA

Posée par Jjd Des dans Administration

Bonjour à vous,

J'ai un petit souci pour faire une redirection NAT.

Nous avons un VPN entre un site distant et une interface de notre Stormshield en interne

( nommé CL).

Le VPN fonctionne parfaitement, le client envoie ses trames sur un serveur 10.7.X.X. qui correspond au réseau de l'interface CL.

Je souhaite que les flux envoyés sur ce serveur 10.7.X.X soient redirigés sur un serveur qui est dans un autre réseau du même Stormshield(adressage en 10.6.X.X --> Interface PR) .

 

Je ne suis pas réellement certain de la démarche à suivre pour rediriger les flux entre deux interfaces d'un meme Stormshield

 

Pouvez-vous m'éclairer ?

 

Merci d'avance.

Non résolue

SNMP avec Stormsheild

Posée par Fabrice B. dans Administration

Bonjour,

Je monitore depuis mon réseau pas mal de système via l'application "Zabbix" depuis plus d'un an maintenant. Notament mes stormsheild en SNMP v1.

Lundi dernier, j'ai passé le MAJ 4.1.6 et depuis, les requettes snmp de Zabbix ne passent plus vers tous les Stormsheilds montés via des tunels IPSEC alors que tout était OK juste avant.

Malgrès tous mes tests rien n'y fait, je n'arrive plus à monitorer mes pares-feu qui ne sont pas sur le même réseau que le serveur Zabbix.

Pour info, les trames SMTP passent bien d'un réseau à l'autre et j'arrive à monitorer des applications en SNMP sur les mêmes réseaux que les pare-feu qui ne marchent pas!

Avez-vous une idée ?

 

Non résolue

Filtrage web et authentifacation invité

Posée par Nicolas Jacopin dans Administration

Bonjour à tous. 

Je me casse les dents sur un paramétrage.

Présentation de la demande : 

Un SN210W avec une interface IN pour le réseau interne et l'interface DMZ dédiée au réseau guest. Filtrage https sans déchiffrement et portail captif en mode invité (déclaratif) à mettre en place. 

Je vous mets une copie d'écran de mes règles concernant la dmz (réseau guest) le filtrage https est ok. Si je fais du déchiffrement, lors de l’ouverture de l’exportateur, j’ai bien le portail captif qui apparait. Je peux à ce moment m’identifier. Donc la partie portail captif est ok

Si je désactive la deuxième du proxy ssl règle pour faire du filtrage sans déchiffrement, je perds l’authentification invité.

Il y a un problème dans l’énoncé. Si c’est des invités je ne vais pas déployer un certificat sur leurs postes… il faut donc que je désactive le déchiffrement.

Si quelqu’un aurait une copie d’écran des règles à mettre en place dans mon cas ça...

Voir la suite
Non résolue

RAZ URL embedded database

Posée par Alain Bosco dans Administration

Bonjour.

J'ai un SN510 dont la maintenance a expiré et l'option Extended Web Control aussi.

J'ai voulu passer sur la base URL embedded mais elle est non fonctionnelle et un message d'erreur est affiché "Error: update status of URL database unknown (Active Update status)".

Existe-t'il un moyen de la réparer ? La mettre à jour à une version quelconque (origine, fin de maintenance, ...) ?
J'ai essayé de lancer un autoupdate manuel par le web cli mais cela ne fonctionne pas.

Merci.

Non résolue

Reverse Proxy ...

Posée par Johann Coquillet dans Matériels et performances

Bonjour,

Avec un Stormshield SN310, peut on configurer celui-ci comme un reverse proxy, afin de pouvoir ouvrir les ports http ou https vers plusieurs serveurs internes Web à partir d'une même adresse IP Fixe Publique ?

Si quelqu'un a une réponse, je suis preneur, ou une autre solution.

Merci

Johann

Non résolue

How to configure advanced options FOR DHCP in SN710 Avaya phones

Posée par Tora Wail dans Fonctionnalités et système

Hi, i have an SN710 firewall which i am enabling DHCP on and would like to add advaned options for Avaya phones to be able to grab code 242.

Which something similar to this (

Name: Avaya Options
Data: MCIPADD=172.20.x.y 54,MCPORT=XXXX,L2QVLAN={voice VLAN},HTTPSRVR=172.20.X.y,HTTPPORT=80). 

Appreciate if anyone has gone through this before and could help. 

Cheers

Non résolue

url portail captif

Posée par Thomas P dans Administration

Bonjour,

 

Je souhaite que le portail captif redirige vers une url avec un domaine plutôt que l'IP du Stormshield, j'ai généré un certificat let's encrypt. Le Stormshield présente bien ce certificat mais redirige toujours avec une IP, comment changer l'url ?

J'ai suivi ces deux posts :

https://open.arkoon.net/aoc/stormshield-sn510-creation-d-un-certificat-avec-let-s-encrypt-pour-le-portail-ca

https://open.arkoon.net/aoc/certificat-let-s-encrypt

 

Je pèche sur la partie p12

Non résolue

Filtrage SSL / ralentissements

Posée par Anthony Lpt dans Securité

Salut,

 

j'ai un stormshield sn710. J'utilise le filtrage ssl / url . J'ai remarqué depuis son activation un ralentissement du surf. Le support stormshield m'indique que cela est le fonctionnement normal, le déchiffrage ralenti le surf.

Ils me conseillent de faire des régles au dessus de ma régle de filtrage pour passer outre le filltrage en spécifiant un fqdn... cela me parait long à mettre en oeuvre s'il y beaucoup de site.

Que me conseillez vous de faire ? et comment ?

J'utilise le filtrage ssl typiquement afin de bloquer les site à risques, porno etc...

Merci pour votre aide

Non résolue

SN510 - VPN SSL ne fonctionne pas avec Bouygues et Red by SFR

Posée par Benjamin Navarrete dans Administration

Bonjour, depuis de nombreuses années et encore plus depuis 1 an nous rencontrons un problème pour télétravailler.

Nous n'arrivons pas à créer de tunnel VPN SSL avec les logiciels Stormshield SSL VPN client ou OpenVPN vers notre entreprise.

Tout fonctionne bien avec d'autres opérateurs tels que Free, Orange, SFR, mais avec Red by SFR ou Bouygues, le tunnel ne se crée pas. Il bloque après l'étape suivante :

Wed Mar 31 10:34:04 2021 MANAGEMENT: >STATE:1617179644,TCP_CONNECT,,,,,,
Wed Mar 31 10:36:05 2021 TCP: connect to [AF_INET]xxx.xxx.xxx.xxx:445 failed: Connection timed out (WSAETIMEDOUT)

Nous avons trouvé qu'en désactivant l'option dans la box SFR : Home > Réseau v4 > Filtrage

"Protéger vos ordinateurs Windows de l'internet", le tunnel se créé bien.

 Aurait-il un blocage au niveau des box SFR (Red By SFR) et Bouygues ? Je trouve bizarre que très peu de personnes aient le même problème que nous. Surtout avec le développement du télétravail...

Si...

Voir la suite
Non résolue

Qualification OS stormshield par l'ANSSI

Posée par Marc Ami dans Securité

Bonjour, 

Dans le cadre d'un projet, je dois livrer des SN710 avec une version OS qualifié ANSSI.
d'après le site de l'ANSII, la derniere version qualifiée est la 3.7.9.

Pouvez vous me dire si une version d'OS plus récente est en cours de qualification ?

laquelle ? et quand est ce que l'ANSSI publie le résultat de ces Qualification stormshield ?

Merci d'avance pour votre retour,

Marc

Non résolue

Stormshield et table ARP

Posée par Jean Korn dans Administration

Bonjour

 

Je rencontre un problème avec mon Stormshield version 3.7.17.

 

J’ai créé un objet de type host ou j’ai spécifié un nom, une IPv4 et un mac adress.

 

J’ai ensuite créé une régle de filtrage pour cet objet.

 

La machine n’existe plus physiquement, j’ai supprimé l’objet réseau (objects -> Network objects -> sélection de mon host puis bouton delete.

 

L’IP de cet objet a été réattribué par mon serveur DHCP à une autre machine.

 

Ma nouvelle machine n’arrive pas à accéder à mon stormshield.

Ma nouvelle machine ping les autres machines de mon réseau local, mais elle n’arrive pas à afficher le portail du Stormshield par exemple.

Si je fixe une autre adresse IP, ma nouvelle machine, elle se connecte au stormshield sans problème.

 

J’ai redémarré le SN910, le problème persiste.

j'ai exécuté la commande : arp -a | grep <addresse-ip> resultat : ? (adresse-ip) at mac-adress on igb0 permanent [ethernet] et l'adresse IP...

Voir la suite
Non résolue

Création d'un VPN SSL sur un SN710 avec des lenteurs

Posée par Damien Richard dans Securité

Bonjour,

je viens de mettre en place un VPN SSL sur mon SN710 connecter sur une fibre orange.

J'ai voulu faire des tests depuis chez moi, fibre standard et j'ai plus de 100 mb. J'ai installé le client STORMSHIELD et je me connecte bien à distance. J'accède aux fichiers et application mais le problème c'est la lenteur, j'ai testé un transfère de fichier et je suis entre 10 et 15 mb.

Je vois pas d'ou ça peut venir, j'ai mis une priorité haute sur mon accès.
Autre info, orange n'a pas configuré le routeur en bridge, j'ai du les appeler pour router des ports vers le firewall, je sais pas si ca peut venir de ça.

Si vous avez des pistes je suis preneur.

Merci d'avance, damien

 

Non résolue

Adresse MAC non apprise sur SN710

Posée par Pascal Le Bihan dans Administration

Bonjour

 

J'ai un soucis d'apprentissage d'adresse mac sur un VLAN. Nous avons une interco avec un partenaire en Lan2lan et cette interco ne fonctionne plus depuis qu'ils ont eu une boucle ce weekend. Je vois bien leur mac remonter sur notre coeur de reseau mais pas jusqu'au stormshield. Quand je fais un tcpdump sur l'interface  je vois bien du traffic entrant mais pas de réponse. Est ce que la mac a pu etre blacklistée sur mes boitiers ? 

 

Merci de vos conseils.

Pascal

Non résolue

Stormshield - Proxy ARP

Posée par Marc Ami dans Securité

Bonjour,

j'aimerai trouver la fonction proxy ARP sur mon FW Stormshield pour l'activer.

Quelqu'un sait comment on fait svp ?

Merci d'avance,

Marc

Non résolue

Mise en place d'une DMZ

Posée par Bs 45S dans Administration

Bonjour à tous,

Je dois mettre en place une DMZ dans mon entreprise et c'est une première. C'est pour un serveur FTP. J'aimerais savoir si ce que je compte faire est bon ou à l'inverse, est une belle erreur. Merci par avance. :-) 

Actuellement, nous avons un SN510 qui fait office de coeur de réseau. Une interface est paramétrée avec différentes IP en 192.168.X.254/24 suivant les services nécessaires (plage PC, Wiifi, serveurs, etc...), ceci est donc notre LAN. A savoir également que notre routeur fibre est branchée sur une autre interface.

Pour la mise en place de la DMZ, je pensais brancher notre serveur FTP sur une 3ème interface. Par exemple, l'IP de l'interface du SN serait 10.0.1.254/24 et l'IP du serveur en 10.0.1.10/24. Cette partie là est-elle déjà bonne ?

Concernant les flux, j'ai besoin que certains utilsateurs accèdent à ce serveur FTP, je peux paramétrer une règle avec les users renseignés ? Le SN est relié à notre AD.  

Pour l'externe, les clients...

Voir la suite
Résolue

StormShield et Busines LiveBox

Posée par Orma Info dans Administration

Bonjour à tous,

Depuis quelques semaines, nous observons sur plusieurs clients qui ont le même type d'installation, des problèmes de bande passante.

En effet, le point commun est le suivant: Une Business Livebox en mode bridge avec un Stormshield, puis le LAN.

Le dysfonctionnement apparait uniquement sur l'UPLOAD, qui bloque à 0.4M.

Nous avons résolu le problème en passant la pat OUT en "100Mbs Full Duplex" (et non autonégo).

Mais cela bride la connexion 200M du client à 100...

Si je force le ''OUT'' en 1Gbs, l'upload déconne et retombe à 0.4M.

 

Avez-vous une idée de test à effectuer pour résoudre cela?

Merci par avance pour votre temps et vos conseils.

Cordialement.

Résolue

[SN310] - Erreurs critiques certificats/CRL & TPM

Posée par Tempête Bouclier dans Administration

Bonjour,

Je rencontre un problème de déploiement sur un SN310 ayant un statut critique avec 2 erreurs (la 1re en non critique et la 2de en critique):

  1. Une erreur de déploiement "Backup TPM ondisk key check error" : la documentation Stormshield recommande que l'administrateur détienne déjà les droits TPM ("To initialize and use the TPM, the account of the connected administrator must hold the TPM (E) privilege.") et donc d'ajouter les droits admin sur Administrators > Administrators tab > Switch to advanced view > valider le TPM access en écriture. En faisant cela puis en essayant de redéployer j'ai les deux mêmes erreurs. 
  2. Une erreur de CRL/Certificat : les certificats sont bons et pas expirés. La case "Enable regular retrieval of CRL" est bien cochée (dans CONFIGURATION > SYSTEM > Configuration > GENERAL CONFIGURATION > Cryptographic settings).

Je ne vois pas trop ce qui manque. La version du PF est en 3.11.8 et lorsque je downgrade en 3.7.20 comme...

Voir la suite
Résolue

SN 310 Erreur MAJ V4.2.4

Posée par Piwitux dans Fonctionnalités et système

Bonjour,

Je rencontre un problème pour mettre à jour un stormshield SN310.

Celui-ci dispose déjà de la version 4.1.6 et j'aurais souhaité le mettre à jour vers la dernière version disponible la 4.2.4.

Seulement lorsque j'essaye de mette à jour l'équipement j'obtiens le message d'erreur ci-joint.

Le problème viendrait apparemment d'algorithme IPSEC en place et obsolète.

J'ai donc essayé de changer l'algorithme de mon VPN mais sans résultat... j'obtiens toujours le même message.

Quelqu’un aurait -il déjà rencontré le problème ?

Merci par avance pour votre aide.

Résolue

SN310

Posée par Tempête Bouclier dans Securité

Bonjour,

Je tente de déployer une configuration sur un SN310 à partir de SMC. Cette validation échoue avec le message d'erreur : "Impossible to validate the firewall configuration: Mot de passe invalide". Je n'ai pas de problème pour accéder à la page de configuration du pare-feu avec les identifiants qui sont corrects.

Je vous remercie pour votre aide.

Bonne journée.

Résolue

Redirection de Flux Stormshield SN510

Posée par Abdoulaye Abdoulaye dans Securité

Bonjour, 

Je cherche un déblocage sur une connerie que voici. Nous utilisons le protocole HTTPS pour se connecter au Pare Feu stormshield, j'étais bien connecté à l'équipement qui devait être suppervisé par Nagios. Malheureusement jai replacé le via browser le https par le protocole http et je n'arrive plus à accèder à la page web. Je ne peux y accèder qu'en ligne de commande. 

Je cherche à rétablir l'accès de la page web en https. quelqu'un pourrait m'aider à effectuer cette opération en ligne de commande s'il vous plait. 

Je vous remercie d'avance

Résolue

Installation licence Stormshield SN310

Posée par Eglyn Lujiel dans Matériels et performances

Bonjour, 

Je rencontre un problème avec un SN310.

Nous avons un SN310 HS que nous venons de remplacer, et nous voulons mettre la licence de l'ancien dans le nouveau.

Je veux donc uploader la licence à partir de l'interface web (sous forme de fichier téléchargé sur le site de MyStormshield), mais j'ai ce message d'erreur:

 

Je ne peux pas du coup configurer le SN310 :/

Comment faire pour uploader la licence ? 

Merci d'avance :)

 

Résolue

Firmware 4.2.2 ne veut pas s'installer

Posée par Achraf Kamal dans Fonctionnalités et système

Bjr,

SVP j'essaye d'installer le dernier firmware 4.2.2; sur un 4.1.6. il se telecharge et s'install et apres le redemarrage il revient a 4.1.6. j'ai cherché le 4.2.1 puisqu'ils disent sur la documentation que vous aurez besoin de 4.1.1 ou 4.2.1 pour installer la 4.2.2 mais je ne trouve pas sur le site le 4.2.1. merci bcp.

Résolue

mise a jour P-1206 et arkoon manager

Posée par Remi dans Administration

Bonjour,

Est-qu'il est encore possible d'accèder aux téléchargements sur https://support-https.arkoon.net/ ou est-ce définitement fermé ?

Je souhaiterai remettre a niveau 2 routeurs P-1206.

Merci

Résolue

Maj firmware SN510 erreur upload echec de déchiffrement

Posée par Fb dans Administration

Bonjour à tous,

suite à une remise à 0 de la configuration sur un SN510 je souhaite installer le firmware 3.7.15 car je suis dnas un cluster et le second a cette version de firmware.

Le problème est que lorsque je veux mettre à jour le firmware j'ai l'erreur suivante:

Erreur serverd ret=200 code=00a00b03 msg=Eched de déchiffrement commande: UPLOAD

Est-ce que l'un de vous a déjà été confronté à cela et sait comment résoudre ce problème ?

 

Merci :)

 

Résolue

Blocage de service sur ip publique depuis l'extérieur

Posée par Sam Sam dans Administration

Bonjour, je suis en apprentissage dans une boite qui utilise un firewall Stormshield.

Je souhaite bloquer l'accès à un service depuis l'extèrieur. J'ai préparé un profil de filtrage URL, puis préparé
ma règle de filtrage. J'ai bien rempli les champs état, action, source, port, inspection. Via uniquement HTTP, le blocage se fait bien.

Et lorsque je souhaite ajouter https, j'ai le message suivant:
"Une inspection appliquée sur un protocole SSL nécessite d'être précédée d'une règle déchiffrant ce trafic".

J'ajoute donc une règle au-dessus qui a comme action "déchiffrer" de "Internet" vers notre ip "publique".

Mais cette règle génère le message suivant:
"L'action 'déchiffrer' n'est pas autorisée lorsque la destination contient l'une des adresses du firewall"

Je suis donc bloqué. Sur ce service je peux autoriser ou non les accès depuis l'extèrieur.                                                                             ...

Voir la suite
Résolue

Transfert configuration entre Stormshield SN

Posée par Alain Bosco dans Administration

Bonjour.

J'aimerais savoir s'il est possible (et comment) de transférer la config d'un Stormshield sur un autre.
Afin d'éviter de refaire toute une config à la main lors d'un changement de matériel.

J'ai essayé de faire un backup sur un SN500 et de l'importer sur un SN310 sans succès.
Possible ? Et de quel matériel vers quel matériel ? D'une version de firmware vers une autre ?

Merci.

Résolue

Soucis avec FILTRAGE URL sur SN710 ...

Posée par Johann Coquillet dans Administration

Bonjour,

Je rencontre un soucis avec un SN710 et le filtrag URL.
Lorsque je rentre une catégorie et que je valide la config, pas d'erreur, mais quand je reviens sur ma règle de filtrage, j'ai le message d'erreur comme joint.
Quelqu'un aurait il une idée pour que je solutionne.
A noter que cela le fait sur n'importe quel filtrage !!

Merci de votre aide

Johann

Résolue

Limitation

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous j'ai mis en place depuis un bon moment ce genre de règle pour réalisé du filtrage https et http. par contre je rencontre un léger soucis.

 

nous possedons une fibre optique 500 mega dediée à l'internet et chaque collaborateur qui est log sur le stormshield via l'agent ne peux aller au dela de 2 mbit ?

 

0_o

 

Auriez vous une idée?

 

Merci d'avance.

 

Bonne journée.

 

Cordialement

Résolue

Stormshield SNS4 - VPN IPSEC. Soucis de tunnels. help :)

Posée par Chuck Maurice dans Fonctionnalités et système

Bonjour la communauté,

Je fais face à un souci concernant un tunnel site-to-site IPSEC.

Je dois atteindre plusieurs machines faisant partie du même subnet distant via un tunnel.

Les machines ne sont joignables uniquement lorsque je monte un tunnel par machine et non pas plusieurs dans le même tunnel, ni même si elles sont réparties dans plusieurs tunnels.

Un seul tunnel peut monter à la fois. J'ai l'impression qu'il y a une sorte de concurrence.

Que puis-je faire à part faire des incantations de magie autour du boitier ?

Merci :)

Résolue

script Stormshield VPN SLL

Posée par Jean Pierre dans Trucs et Astuces

Bonjour,

Novice dans le paramétrage d'un tunnel VPN SLL, Stormshield Network SSL VPN Client permet également d’exécuter des scripts.

Question : Où doit-on les enregistrer (sur le poste client ou sur le serveur et où?).
avec quel chemin d'accès ?

Je n'ai pas trouver de réponse à ce jour.

Merci à vous

Jean

Résolue

Création tunnel IPSec

Posée par Philippe T dans Fonctionnalités et système

Bonjour à tous,

Je viens vers vous pour un soucis de création de tunnel VPN IPSec.

Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.

Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.

Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?

Merci,

AMicalement,

Résolue

Mon sn210W temperature de 70c°!

Posée par Achraf Kamal

Bonjour les amis;

je voulais juste savoir est ce que c normal si les SN210W travail avec une temperature de 70c° (j'ai lû sur le manuel 40c°). 

j'ai 4 sn210w repartie dans differentes villes; et tous ont la temperature elevée et merci.

Messages d'alerte