83 Membres 1275 Contributions

Open Community

Questions

Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Non résolue

LAN sur SN200

Posée par John Doe dans Administration

Bonjour,

Nous utilisons actuellement un Stormshield SN200 configuré en mode bridge (ou mode transparent), hors nous avons constater que nous pouvions le configuré en mode translaté.

Nous aimerions connaitre les différences (avantages et inconvénients) de ces 2 modes.

Merci d'avance.

JD

Non résolue

gateway différente pour office 365

Posée par Julien Auger dans Trucs et Astuces

Bonjour,

J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.

La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)

J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.

J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams

mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...

Une idée pour améliorer ?

 

Bonne journée

 

Julien

Non résolue

Gateway multiples sur le même réseau

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je me renseigne actuellement sur le fonctionnement du l'objet "routeur" sur un SN910. Sur les documentations que je trouve, l'objet routeur utilise deux gateways qui sont sur des réseaux différents en utilisant donc des interfaces de sortie différentes. Ce qui a pour impact de doubler les règles de NAT.

La question que je pose est la suivante. Est-il possible d'utiliser un objet routeur composé de deux gateways mais qui seraient dans le même réseau. Ce qui me permettrait d'avoir de la HA sur mes gateway sans pour autant complexifier les régles de NAT.

L'alernative pourrait être d'utiliser une VIP entre mes deux gateway et j'utilise ma VIP comme gateway par defaut. C'est peu etre préférable ? Qu'en pensez vous ?

Merci d'avance pour votre aide,

Cordialement,

GJ

Non résolue

Probleme de DNS

Posée par Isonic dans Fonctionnalités et système

Bonjour , j'ai un probleme de DNS sur mon reseau et surtout lorsque nous utilisons google pour effectuer les recherches.

Mon Infra :

Box  <> SN Stromshield <> Routeur Cisco <> Switch Cisco <> Vlan 1 (Laptops)

                                                                                     <> Vlan 2 (Laptops)

                                                                                     <> Vlan 3 (Laptops)

                                                                                     <> Vlan 4  (Serveurs)

 

Dans le Vlan 4 celui des serveurs j'ai mon Controleur de domaine AD / DNS / DHCP

Dans le parametrage je pointe les DNS sur mon Controleur de domaine mais la résolution DNS sur les Laptops est...

Voir la suite
Résolue

VPN SSL client

Posée par Isonic dans Trucs et Astuces

Bonjour,

Je cherche un lien  pour télécharger la derniere version du client VPN SSL Stromshield

c'est pas directement dispo sur le site du fabricant ?

 

Merci

 

 

 
Non résolue

Stormshield DHCP + VLAN + NAT

Posée par Pascale Faddoul dans Fonctionnalités et système

Bonjour,

Je serai très contente si vous pouvez m'aider dans mon projet.

J'ai un firewall stormshield. J'ai crée 2 VLAN (ID=222 et ID=223) sous une interface DMZ. Puis j'ai activé le DHCP server et j'ai ajouté les IP (Address range pour chaque VLAN). Mon but est que l'Access point où j'ai cree 2 SSID avec VLAN 222 et 223 puisse monter à l'internet et acceder le network interne.

Pour le VLAN 222, je veux que seulement avoir accès à l'internet et ca marche correctement.

Pour le VLAN 223, je peux passer à l'internet mais je ne peux pas acceder au network interne, j'ai fait les rules de filtrage  et NAT mais ca ne marche pas. 

Est ce que vous pouvez me dire comment on peut avoir une solution pour cela?

 

Merci bien.

Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Non résolue

SVC 1.4.0 : récupérer l'historique de logs locaux du SNS

Posée par Cédric Lanio dans Appliances virtuelles

Bonjour,

je viens d'installer et de configurer SVC 1.4 sans souci.

Je peux donc consulter mes logs depuis la mise en place de SVC.

Je souhaiterais savoir si il était possible d'uploader dans SVC mes anciens logs du SNS qui sont stockés sur son disque interne, pour retrouver directement 3 mois d'historique sous SVC.

 

Merci d'avance !

Cédric

Résolue

Problems with SSL VPN client

Posée par Vjeran Perinovic dans Fonctionnalités et système

Hi, I see this is French community so sorry because I'm writing in English. Can't find english stormshield community. 

I have U250S-A device with 3.7.3. FW

I have downloaded from MyStormshield.eu latest VPN SSL client v  2.8.0.

I have configured my device to allow SSL connections, LDAP, access rights... All is fine as I can see in documentation, and here on this community. But when I test my connection on a client it almost instant says: Unable to connect to the UTM: User not allowed

But user is allowed in Users>access privileges>detailed access

I don't see anything in my UTM log, no connection attempts. 

On client this connection attempt goes too fast with that error. Am I missing somethnig?

In my client log last line is "Need hold release from management interface, waiting..."

Thank you !

 

 

Résolue

Attribut Radius Filter-id sur SN910

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je cherche à mettre en place une authentification Radius pour le "VPN SSL Portail" de mon stormshield SN910.

Mon serveur Radius fonctionne bien et j'arrive à envoyer un attribut supplémentaire nommé "filter-id" pour retourner également le groupe de l'utilisateur.

Ma question est la suivante. Comment puis-je indiquer au SN910 qu'il doit prendre en compte cette attribut supplémentaire "filter-id" pour s'appuyer dessus dans sa gestion des permissions ?

Merci d'avance pour votre aide.

Cordialement,

Gael J.

 

 

Résolue

Compter le nombre de fois qu'une règle est utilisée

Posée par Guillaume V dans Administration

Bonjour,

Je suis sur le point de remplacer mes arkoons par des stormshield. Avant de commencer à créer mes règles de flux sur mon stormshield je cherche à faire du ménage dans mes règles de flux. Avec le compteur surbles règles de flux de l'arkoon je peux voir celles qui sont utilisées ou non. Nickel pour mes règles de flux concernant des port TCP. Cependant le compteur reste à 0 pour toutes mes règles de flux utilisant des ports UDP. Pourtant j'ai belle et bien du traffic. Aucune autres règle de flux qui pourrait strapper ces règles en UDP n'existe.

Ma question, est il possible de compter le nombre de fois qu'une règle utilisée pour de l'UDP est matchée ?

Merci.

Non résolue

Pb SN710

Posée par Cyril Perez dans Matériels et performances

Bonjour,

Je suis le nouvel administrateur réseaux d'une société qui utilise comme firewall un SN710

Depuis 8 mois tout aller bien malheureusement un problème est survenu dimanche matin.

(Matériels éteint)

Après redémarrage tous marchent comme il faut, cependant mon SN710 n'arrête pas de faire des bips à répétitions, je suis allé sur la webapp pour voir si quelque chose ressortait, mais rien de bien particulier, pas de message d'erreur ou quoique ce soit.

En lisant quelques sujets sur le forum j'ai vu que les problèmes d'alimentations n'étaient pas renseignés dans les logs, je me dis que peut être cela pouvait venir de là.

Quelqu'un a déjà eu ce genre de problème ?

Non résolue

SN210 pour contourner NAT Loopback

Posée par Calaf dans Fonctionnalités et système

Bonjour à tous, 

N'étant pas très doué en réseau, je me permets de solliciter votre aide pour le problème suivant. 

J'ai un firewall SN210 qui est installé derrière une box internet, laquelle empêche le NAT-LOOPBACK. Prenez les hypothèses suivantes : 

- j'ai un domaine sub.domain.com qui pointe vers l'adresse IP de ma box. Depuis le réseau externe, tout fonctionne. 

- cependant quand j'invoque sub.domain.com depuis le réseau interne, la box comprend que le flux sortant retourne vers sa propre IP et bloque le trafic (donc pas de retour du ping). Selon les 'désirs' de ma box, je devrai donc renoncer à utiliser sub.domain.com lorsque je suis dans le réseau interne, et n'utiliser que des adresses IP du LAN. Pas très pratique. 

Pour contourner cette limitation, je souahiterais : 

- Soit (hypothèse préférée) ajouter une entrée DNS statique expresse au SN210, afin que le firewall traduise sub.domain.com par l’adresse de la box ou celle du SN210 (pour un...

Voir la suite

1 fichier joint - En cours, merci de recharger la page dans quelques secondes.

Non résolue

SN910 : Skype

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai un SN910 et je souhaite contrôler mes flux skype.

Je n'utilise pas le proxy stormshield mais une autre solution assez vieillissante. Depuis ce fameux proxy, les flux skype sont bloqués.

Je dois donc gérer l'accès à Skype depuis mon pare-feu.

Après de nombreuses recherches, je n'ai trouvé que les ports à ouvrir :

  • 443/TCP
  • 3478-3481/UDP
  • 50000-60000/UDP

Comme je n'ai pas trouvé les bonnes IPs des serveurs skype, je suis restreins d'utiliser l'objet réseau "Internet".

Je dois donc ouvrir une règle pour mes utilisateurs internes, à destination de l'objet Internet sur les ports mentionnés.

Comme il y a le port 443, et qu'aujourd'hui tous les sites sont en https, je voudrais limiter l'utilisation de cette règle au protocle "skype" présent dans le stormshield.

Toutes ces explications pour ce problème :

Lorsque j'utilise le protocole applicatif skype, cela ne fonctionne pas. Lorsque je l'enlève, ça fonctionne.

Comment dois-je configurer mes règles pour que mon...

Voir la suite
Résolue

Url microsoft pour Windows Update

Posée par Denis Maillard dans Fonctionnalités et système

Bonjour

Nous avons des PC W10 dans la société dont l'accès internet est très limité.

Je bloque tout sauf une liste blanche.

Le soucis est que ces PC ne se mettent plus à jour

J'ai autorisé un certain nombre d'URL pour W Update, les PC détectent lesquelles mises à jour doivent être faites mais refusent de les télécharger

Quelles sont les URL à autoriser?

J'ai autorisé les adresses:

https://social.technet.microsoft.com/Forums/en-US/b3327a8c-88e0-4b7e-a1be-446498f726d8/list-of-update-server-addresses?forum=winserverwsus

 

J'ai le même soucis avec les mises à jour de Firefox, mais ce n'est pas très grave

merci

 

2.8.0.0
Non résolue

Le VPN gratuit est-il sécurisé en Chine?

Posée par Yinmin Yinmin dans Securité

Salut à tous, Je vais travailler en Chine récemment et j'ai entendu dire qu'un VPN est nécessaire pour se connecter à des sites Web étrangers. mais je me demande deja si ce VPN est fiable et efficace , de plus les VPN hormis les mauvais (je suis sur qu'il y en a...) sont ils respectueux de notre anonymat ? se servent 'ils de nous à des fins commerciales ? bref est que cela vaut le coup de payer un VPN si on veut une sécurité renforcée ou est ce que tout les VPN comportent des risques ? comme il font transiter tout ce qui passe dans mon pc est que mes données confidentielles style données bancaires ,médicales, fiscales , ou autres sont elles en danger avec un VPN ? en esperant avoir vos reponses merci

Résolue

Configurer VPN SSL sur SN310

Posée par Boom Basstic dans Fonctionnalités et système

Bonjour,

j'essaye de configurer un acces VPN SSL sur un SN310, sans y arriver pour le moment.

voici comment j ai procédé:

J ai créé des réseaux assignés a mes clients UDP et TCP 

jai activé le VPN SSL, rentré le FQDN utilisé

choisi le réseau disponible pour mes clients 

choisi les reseaux assignés pour mes clients créés ci dessus

 

ensuite j ai créé un LDAP interne, pour pouvoir creer un utilisateur

 

J ai cree un user et autorisé la connexion au VPN SSL

sur mon client j ai telecharge le client VPN SSL

je rentre les infos de connexion

et j'ai le message suivant 

dans les logs du client :

Mon Apr 08 21:49:31 2019 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017

Mon Apr 08 21:49:31 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Apr 08 21:49:31 2019 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Mon Apr 08 21:49:31 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1302
Mon Apr 08 21:49:31...

Voir la suite
Non résolue

trouver le poste qui consomme de plus de débis internet sur un stormshield

Posée par Damien Richard dans Securité

Bonjour,

J'ai des soucis de lenteur internet.

Je vois que sur le real-time monitor, le port de ma ligne internet est au max.

Je vois la consommation de mes machines mais globale.

Comment peut-t-on afficher le debis de chaque postes entre leurs ports et celui vers internet ?

Pour faire simple, je cherche à connaitre la consommation internet de chaque machine.

Merci, damien 

 

 

Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Non résolue

LAN sur SN200

Posée par John Doe dans Administration

Bonjour,

Nous utilisons actuellement un Stormshield SN200 configuré en mode bridge (ou mode transparent), hors nous avons constater que nous pouvions le configuré en mode translaté.

Nous aimerions connaitre les différences (avantages et inconvénients) de ces 2 modes.

Merci d'avance.

JD

Non résolue

gateway différente pour office 365

Posée par Julien Auger dans Trucs et Astuces

Bonjour,

J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.

La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)

J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.

J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams

mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...

Une idée pour améliorer ?

 

Bonne journée

 

Julien

Non résolue

Gateway multiples sur le même réseau

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je me renseigne actuellement sur le fonctionnement du l'objet "routeur" sur un SN910. Sur les documentations que je trouve, l'objet routeur utilise deux gateways qui sont sur des réseaux différents en utilisant donc des interfaces de sortie différentes. Ce qui a pour impact de doubler les règles de NAT.

La question que je pose est la suivante. Est-il possible d'utiliser un objet routeur composé de deux gateways mais qui seraient dans le même réseau. Ce qui me permettrait d'avoir de la HA sur mes gateway sans pour autant complexifier les régles de NAT.

L'alernative pourrait être d'utiliser une VIP entre mes deux gateway et j'utilise ma VIP comme gateway par defaut. C'est peu etre préférable ? Qu'en pensez vous ?

Merci d'avance pour votre aide,

Cordialement,

GJ

Non résolue

Probleme de DNS

Posée par Isonic dans Fonctionnalités et système

Bonjour , j'ai un probleme de DNS sur mon reseau et surtout lorsque nous utilisons google pour effectuer les recherches.

Mon Infra :

Box  <> SN Stromshield <> Routeur Cisco <> Switch Cisco <> Vlan 1 (Laptops)

                                                                                     <> Vlan 2 (Laptops)

                                                                                     <> Vlan 3 (Laptops)

                                                                                     <> Vlan 4  (Serveurs)

 

Dans le Vlan 4 celui des serveurs j'ai mon Controleur de domaine AD / DNS / DHCP

Dans le parametrage je pointe les DNS sur mon Controleur de domaine mais la résolution DNS sur les Laptops est...

Voir la suite
Non résolue

Stormshield DHCP + VLAN + NAT

Posée par Pascale Faddoul dans Fonctionnalités et système

Bonjour,

Je serai très contente si vous pouvez m'aider dans mon projet.

J'ai un firewall stormshield. J'ai crée 2 VLAN (ID=222 et ID=223) sous une interface DMZ. Puis j'ai activé le DHCP server et j'ai ajouté les IP (Address range pour chaque VLAN). Mon but est que l'Access point où j'ai cree 2 SSID avec VLAN 222 et 223 puisse monter à l'internet et acceder le network interne.

Pour le VLAN 222, je veux que seulement avoir accès à l'internet et ca marche correctement.

Pour le VLAN 223, je peux passer à l'internet mais je ne peux pas acceder au network interne, j'ai fait les rules de filtrage  et NAT mais ca ne marche pas. 

Est ce que vous pouvez me dire comment on peut avoir une solution pour cela?

 

Merci bien.

Non résolue

SVC 1.4.0 : récupérer l'historique de logs locaux du SNS

Posée par Cédric Lanio dans Appliances virtuelles

Bonjour,

je viens d'installer et de configurer SVC 1.4 sans souci.

Je peux donc consulter mes logs depuis la mise en place de SVC.

Je souhaiterais savoir si il était possible d'uploader dans SVC mes anciens logs du SNS qui sont stockés sur son disque interne, pour retrouver directement 3 mois d'historique sous SVC.

 

Merci d'avance !

Cédric

Non résolue

Pb SN710

Posée par Cyril Perez dans Matériels et performances

Bonjour,

Je suis le nouvel administrateur réseaux d'une société qui utilise comme firewall un SN710

Depuis 8 mois tout aller bien malheureusement un problème est survenu dimanche matin.

(Matériels éteint)

Après redémarrage tous marchent comme il faut, cependant mon SN710 n'arrête pas de faire des bips à répétitions, je suis allé sur la webapp pour voir si quelque chose ressortait, mais rien de bien particulier, pas de message d'erreur ou quoique ce soit.

En lisant quelques sujets sur le forum j'ai vu que les problèmes d'alimentations n'étaient pas renseignés dans les logs, je me dis que peut être cela pouvait venir de là.

Quelqu'un a déjà eu ce genre de problème ?

Non résolue

SN210 pour contourner NAT Loopback

Posée par Calaf dans Fonctionnalités et système

Bonjour à tous, 

N'étant pas très doué en réseau, je me permets de solliciter votre aide pour le problème suivant. 

J'ai un firewall SN210 qui est installé derrière une box internet, laquelle empêche le NAT-LOOPBACK. Prenez les hypothèses suivantes : 

- j'ai un domaine sub.domain.com qui pointe vers l'adresse IP de ma box. Depuis le réseau externe, tout fonctionne. 

- cependant quand j'invoque sub.domain.com depuis le réseau interne, la box comprend que le flux sortant retourne vers sa propre IP et bloque le trafic (donc pas de retour du ping). Selon les 'désirs' de ma box, je devrai donc renoncer à utiliser sub.domain.com lorsque je suis dans le réseau interne, et n'utiliser que des adresses IP du LAN. Pas très pratique. 

Pour contourner cette limitation, je souahiterais : 

- Soit (hypothèse préférée) ajouter une entrée DNS statique expresse au SN210, afin que le firewall traduise sub.domain.com par l’adresse de la box ou celle du SN210 (pour un...

Voir la suite

1 fichier joint - En cours, merci de recharger la page dans quelques secondes.

Non résolue

SN910 : Skype

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai un SN910 et je souhaite contrôler mes flux skype.

Je n'utilise pas le proxy stormshield mais une autre solution assez vieillissante. Depuis ce fameux proxy, les flux skype sont bloqués.

Je dois donc gérer l'accès à Skype depuis mon pare-feu.

Après de nombreuses recherches, je n'ai trouvé que les ports à ouvrir :

  • 443/TCP
  • 3478-3481/UDP
  • 50000-60000/UDP

Comme je n'ai pas trouvé les bonnes IPs des serveurs skype, je suis restreins d'utiliser l'objet réseau "Internet".

Je dois donc ouvrir une règle pour mes utilisateurs internes, à destination de l'objet Internet sur les ports mentionnés.

Comme il y a le port 443, et qu'aujourd'hui tous les sites sont en https, je voudrais limiter l'utilisation de cette règle au protocle "skype" présent dans le stormshield.

Toutes ces explications pour ce problème :

Lorsque j'utilise le protocole applicatif skype, cela ne fonctionne pas. Lorsque je l'enlève, ça fonctionne.

Comment dois-je configurer mes règles pour que mon...

Voir la suite
Non résolue

Le VPN gratuit est-il sécurisé en Chine?

Posée par Yinmin Yinmin dans Securité

Salut à tous, Je vais travailler en Chine récemment et j'ai entendu dire qu'un VPN est nécessaire pour se connecter à des sites Web étrangers. mais je me demande deja si ce VPN est fiable et efficace , de plus les VPN hormis les mauvais (je suis sur qu'il y en a...) sont ils respectueux de notre anonymat ? se servent 'ils de nous à des fins commerciales ? bref est que cela vaut le coup de payer un VPN si on veut une sécurité renforcée ou est ce que tout les VPN comportent des risques ? comme il font transiter tout ce qui passe dans mon pc est que mes données confidentielles style données bancaires ,médicales, fiscales , ou autres sont elles en danger avec un VPN ? en esperant avoir vos reponses merci

Non résolue

trouver le poste qui consomme de plus de débis internet sur un stormshield

Posée par Damien Richard dans Securité

Bonjour,

J'ai des soucis de lenteur internet.

Je vois que sur le real-time monitor, le port de ma ligne internet est au max.

Je vois la consommation de mes machines mais globale.

Comment peut-t-on afficher le debis de chaque postes entre leurs ports et celui vers internet ?

Pour faire simple, je cherche à connaitre la consommation internet de chaque machine.

Merci, damien 

 

 

Non résolue

VPN SSL - Droit d'accès

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai mis en place la fonctionnalité VPN SSL sur mon SN910 en version 3.7.1.

J'ai configuré le VPN SSL :

  • Création de la règle
  • Configuration de l'onglet VPN SSL
  • Autorisation de l'utilisateur à se connecter en VPN SSL.

Lorsque je me connecte avec mon compte (admin) sur le portail https://IP_PUBLIQUE dans "Données personnelles" je peux télécharger :

  • Autorité de certification proxy SSL
  • VPN SSL Client
  • Profil VPN SSL pour clients OpenVPN...
  • Profil VPN SSL pour mobiles...

Cependant, avec un autre utilisateur l'onglet "Données personnelles" est vide.

Je pense que c'est un problème de droit.

Avez-vous des idées ?

Merci.

Cordialement,

MP

Non résolue

script Autoupdate version powershell

Posée par Yannick Dalencon dans Administration

Bonjour à tous,

 

Je souhaite partager le script de téléchargement autoupdate en version powershell (traduit de updater.sh présent sur mystormshield et amélioré).

Ce script permet par rapport à la version linux de ne pas retélécharger le fichier tgz si le fichier présent localement correspond au bon hash MD5.

Windows ne gérant pas nativement les fichier tgz, il est nécessaire d'utiliser 7Zip (via 7z.exe)

Non résolue

Proxy transparent Https sans decryption SSL

Posée par Nicolas Petel dans Fonctionnalités et système

Bonjour,

Est il possible avec un simple decive stormshield de realiser pour un VLAN Wifi Guest de faire du filtrage URL https en proxy transparent ? cela bien entendu sans faire de decryption SSL mais simplement dans le but de logger et de faire du filtrage sur le nom de domaine ? 

Merci

 

 

Non résolue

Problème impossible d'avoir les log des firewall sur autre réseau

Posée par Ilian B dans Administration

Bonjour,

Je viens de mettr een place SVC. J'arrive à faire remonter les logs du pare feu local (même réseau) mais quand j'essai d'ajouter d'autres pare feux sur d'autres réseaux, rien ne se passe. Sauf pou 1...

En gros, j'ai la VM qui est sur le réseau 192.168.21.0, un pare feu sur ce même réseau et 2 autres réseaus joignables entre eux : 192.168.21.0 et 192.168.12.0

J'ai un pare feu de test en 192.168.25.200 dont je vois les logs sur SVC mais un autre pare feu en 192.168.25.254 avec exactement la même config ne passe pas et le pare feu en 192.168.12.254 ne passe pas non plus......

Le filtrage entre les réseaux est nul (any) et en mode firewall.

Pour le coup je n'ai pas la moindre idée d'où peut venir le problème...

Est-ce que certains d'entre vous ont déjà réussi à obtenir les log de pare feux sur des réseaux diférents de celui de la VM ?

Quelqu'un à une idée ? un fichier de conf à modifier sur la VM ?

Merci à tous !

Non résolue

Polling SNMP de la mémoire du SNS

Posée par Psykoptik Psykoptik

Bonjour,

Je suis en train d'affiner les paramètres SNMP de mes appliances Stormshield mais je n'arrive pas à trouver les valeurs de mémoire affichées dans l'interface.

En effet, je constate que mon appliance est actuellement à 25% de mémoire mais lorsque que je requête les MIBs fournies par Stormshield, voilà ce que j'obtiens :

.iso.org.dod.internet.private.enterprises.stormshield.stormshieldMIB.snsSystemMonitor.snsMem.0 = STRING: "2,0,1,0,0,0"

La description de la l'OID dans  la MIB indique : DESCRIPTION "Stormshield Firewall memory used in percent (host,frag,icmp,conn,dtrack,dyn)" mais ce qui m'intéresse c'est la valeur globale. Où se trouvent ces 25% ?

Merci d'avance pour votre aide.

 

Non résolue

Blocage google hangout

Posée par Zbigniew Luszczyk dans Securité

Bonjour

Certains utilisateur de notre réseau ont besoin d'utiliser google hangout. Comment configurer le Stormshild afin de pouvoir rendre cet outil fonctionnel.

Mon firewall est un SN310 V3.7.1

Merci d'avance pour votre aide.

Non résolue

SN510, fonctionnement de l'annuaire de secours

Posée par Fighter 777 dans Fonctionnalités et système

Bonjour, j'ai un soucis qui peut paraitre tout con ...

 

je pose un peu les bases, j'ai deux pare-feux (A et B) sur deux sites physiques reliés via un ipsec, ils ont chacun un LDAP (C/D) et pointe chacun sur ceux-ci (A->C / B->D).

 

Le deuxième LDAP (D) est une réplication du premier (C) et ce synchronises via l'IPsec.

 

si le LDAP (C) tombe, le LDAP (D) fonctionne encore mais pas l'authentification sur le pare-feu (A) (normal).

 

Le problème c'est que la configuration du serveur de secours ne fonctionne pas...

Les deux pare-deux utilisent le même compte de service, si le change l'ip du serveur D par celui de C, je n'ai pas de soucis.

Une idée ?

 

 

Résolue

VPN SSL client

Posée par Isonic dans Trucs et Astuces

Bonjour,

Je cherche un lien  pour télécharger la derniere version du client VPN SSL Stromshield

c'est pas directement dispo sur le site du fabricant ?

 

Merci

 

 

 
Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Résolue

Problems with SSL VPN client

Posée par Vjeran Perinovic dans Fonctionnalités et système

Hi, I see this is French community so sorry because I'm writing in English. Can't find english stormshield community. 

I have U250S-A device with 3.7.3. FW

I have downloaded from MyStormshield.eu latest VPN SSL client v  2.8.0.

I have configured my device to allow SSL connections, LDAP, access rights... All is fine as I can see in documentation, and here on this community. But when I test my connection on a client it almost instant says: Unable to connect to the UTM: User not allowed

But user is allowed in Users>access privileges>detailed access

I don't see anything in my UTM log, no connection attempts. 

On client this connection attempt goes too fast with that error. Am I missing somethnig?

In my client log last line is "Need hold release from management interface, waiting..."

Thank you !

 

 

Résolue

Attribut Radius Filter-id sur SN910

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je cherche à mettre en place une authentification Radius pour le "VPN SSL Portail" de mon stormshield SN910.

Mon serveur Radius fonctionne bien et j'arrive à envoyer un attribut supplémentaire nommé "filter-id" pour retourner également le groupe de l'utilisateur.

Ma question est la suivante. Comment puis-je indiquer au SN910 qu'il doit prendre en compte cette attribut supplémentaire "filter-id" pour s'appuyer dessus dans sa gestion des permissions ?

Merci d'avance pour votre aide.

Cordialement,

Gael J.

 

 

Résolue

Compter le nombre de fois qu'une règle est utilisée

Posée par Guillaume V dans Administration

Bonjour,

Je suis sur le point de remplacer mes arkoons par des stormshield. Avant de commencer à créer mes règles de flux sur mon stormshield je cherche à faire du ménage dans mes règles de flux. Avec le compteur surbles règles de flux de l'arkoon je peux voir celles qui sont utilisées ou non. Nickel pour mes règles de flux concernant des port TCP. Cependant le compteur reste à 0 pour toutes mes règles de flux utilisant des ports UDP. Pourtant j'ai belle et bien du traffic. Aucune autres règle de flux qui pourrait strapper ces règles en UDP n'existe.

Ma question, est il possible de compter le nombre de fois qu'une règle utilisée pour de l'UDP est matchée ?

Merci.

Résolue

Url microsoft pour Windows Update

Posée par Denis Maillard dans Fonctionnalités et système

Bonjour

Nous avons des PC W10 dans la société dont l'accès internet est très limité.

Je bloque tout sauf une liste blanche.

Le soucis est que ces PC ne se mettent plus à jour

J'ai autorisé un certain nombre d'URL pour W Update, les PC détectent lesquelles mises à jour doivent être faites mais refusent de les télécharger

Quelles sont les URL à autoriser?

J'ai autorisé les adresses:

https://social.technet.microsoft.com/Forums/en-US/b3327a8c-88e0-4b7e-a1be-446498f726d8/list-of-update-server-addresses?forum=winserverwsus

 

J'ai le même soucis avec les mises à jour de Firefox, mais ce n'est pas très grave

merci

 

2.8.0.0
Résolue

Configurer VPN SSL sur SN310

Posée par Boom Basstic dans Fonctionnalités et système

Bonjour,

j'essaye de configurer un acces VPN SSL sur un SN310, sans y arriver pour le moment.

voici comment j ai procédé:

J ai créé des réseaux assignés a mes clients UDP et TCP 

jai activé le VPN SSL, rentré le FQDN utilisé

choisi le réseau disponible pour mes clients 

choisi les reseaux assignés pour mes clients créés ci dessus

 

ensuite j ai créé un LDAP interne, pour pouvoir creer un utilisateur

 

J ai cree un user et autorisé la connexion au VPN SSL

sur mon client j ai telecharge le client VPN SSL

je rentre les infos de connexion

et j'ai le message suivant 

dans les logs du client :

Mon Apr 08 21:49:31 2019 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017

Mon Apr 08 21:49:31 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Apr 08 21:49:31 2019 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Mon Apr 08 21:49:31 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1302
Mon Apr 08 21:49:31...

Voir la suite
Résolue

autoriser les appels et videos whatsapp sur un SN510 ?

Posée par Laurent Grube dans Securité

bonjour, j'ai des utilisateurs qui ont besoin d'utiliser whatsapp pour les communications internationales, mais apparemment lorsqu'il essayent de se connecter depuis notre réseau cela fait communication en cours mais la connection ne s'établie jamais.

quel paramétrage doit-on mettre pour autoriser les communications voix et vidéos sur le SN510 ?

 

Merci.

Résolue

Multi ip Wan SN510

Posée par Gerard Ridouard dans Administration

Bonjour

je posséde un stormshield SN510, je n'arrive pas a configurer un nombre suffisant d'adresse Ip publique dans INTERFACES-WAN- Ip statique

le nombre maximun est de 6 alors que je posséde 30 adresses Ip Publique

connaissez vous une solution

j'ai essayer de les créer manuellement dans les objets mais cela ne marche pas quand je faire mes régles de NAT (manque la passerelle)

dans l'attente de vous lire

merci d'avance

Résolue

Serveur WEB inaccessible derrière mon U150

Posée par Mohamed T dans Administration

Bonjour à tous,

Je suis devant un problème sur lequel je me casse les dents depuis 2 jours.

Je dois ouvrir l’accès a un serveur web que je viens d'installer mais je n'arrive pas à ouvrir les portes!

1 j'ai demander à ouvrir le port 80 sur le routeur de mon opérateur afin de pouvoir rediriger les requettes arrivant sur mon adresse ip publique:80 vers mon serveur web

2 J'ai Natter pour que tout ce qui arrive sur mon WAN depuis le routeur opérateur soit redirigé vers mon serveur web

3 Je laisse passer le trafic arrivant depuis internet sur le port 80

Malgré cela lorsque que je regarde les log je vois un blocage du a une "sonde de port" sur mon entrée WAN

NB : Je suis complètement autodidacte en la matière et me rends bien compte que une formation spécifique sur ce type de matériel pourrai me faire du bien!

 

Résolue

VPN PPTP et Stormshield SN910

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Un poste de mon réseau doit se connecter à destination d'une IP publique pour monter un VPN PPTP.

Je n'arrive pas à faire fonctionner cette connexion. Je suis sur à 960% que le problème est lié au stormshield.

C'est la première fois que je suis confronté à cette méthode (Configuration d'un VPN sur un windows 10).

J'ai ajouté une règle de filtrage pour autoriser le PC à contacter l'IP publique sur tous les ports.

D'après mes logs, il réussit à initier la connexion. Par contre, je n'ai pas de log sur le retour de la communication, il ne se passe rien et le fameux VPN ne monte pas. (Pourtant, j'ai mis une règle de retour, autorisant l'ip publique de contacter le pc sur tous les ports).

 

Avez-vous des informations concernant ce type de VPN qui pourrait éclairer ma lanterne ? Pour ce type d'accès, il faut rajouter d'autres configurations sur le FW ?

 

Merci.

Cordialement,

Malcolm.

Résolue

Forcer la bascule HA

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai deux stormshield SN910 en HA :

- 1 master et 1 slave

Le slave qui était passif vient de passer en actif.

 

Je voudrais connaitre la commande qui permet de forcer une nouvelle bascule HA pour que le master redevienne actif et le slave passif.

Avez-vous cette info ?

Merci

 

Résolue

Config SN310

Posée par Stephane Fritsch dans Administration

Bonjour,

Je suis en cours de migration entre un SN300 et un SN310.

J'ai fais un export et un import de conf.

Depuis, je n'arrive plus à me connecter à mon nouveau firewall (SN310). En me connectant en USB, je vois les interfaces elle sont bien configurées sauf celle sur laquelle j'ai autorisé la connexion car j'ai mis des vlans sur cette interfaces et l'addresse ip de la carte est attribué automatiquement et je en peux pas me connecter.

Une idée ?

Si besoin de plus d'infos pas de soucis.

D'avance merci.

Résolue

DCHP sur la WIFI Public

Posée par Virgil Astran dans Fonctionnalités et système

bonjour,

SUR un SN 200 en V 3.71, je souhaierais savoir comment activer le DHCP uniquement sur la  la patte WIFI publique.

Esct ce possible dans l'interface ou faut il passé par le CLI.

merc ide vos retour

cdt

Résolue

IPV6 et configuration d'interface dialup (PPPoe)

Posée par Laurent H dans Fonctionnalités et système

Bonjour,

J'ai un Stormshield SN300 en version 3.7.1 que j'ai recemment basculé en IPV6.

 

Cependant j'ai une question concernant l'interface wan, qui est montée en pppoe.

En ipv4 elle obtient bien son ip, en revanche en ipv6 non, mais c'est normal, je dois la configurer manuellement (j'ai un préfixe entre mon routeur opérateur et les equipements d'extremités (le tunnel pppoe est entre ces deux éléments).

Je route ensuite un /64 comme étant derriere l'equipement (qui sera le prefixe sur le lan sn).

Cette configuration fonctionne en v4+v6 si j'utilise un autre routeur que le sn.

Ma question est donc :

Puis-je paramétrer l'interface firewall_out_ppoe afin de lui assigner une ipv6 ?

J'ai vu que ce n'était pas possible via l'interface web, l'est-ce en cli ?

 

Merci d'avance,

Laurent.

Résolue

Rapport système - stormshield sn910

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaite télécharger un rapport système de mon stormshield.

Je suis connecté en administrateur, je vais dans "Système > Maintenance > Configuration"

Lorsque j'essaye de le récupérer, j'obtiens le message suivant :

" Erreur serverd ret=205 code=06200a00 msg=Droit d'accès restreint requis Commande : SYSTEM INFORMATION "

 

Avez-vous une idée du problème?

Cordialement,

MP

 

Résolue

Empecher l'accès sur une url interne particulière

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai un serveur Web derrriere un sn510 sur lequel des utilisateurs peuvent se connecter en http via l'adresse http://blabla.nomdedomaine.com

Par contre je souhaiterai empêcher qu'ils puissent accéder à la page http://blabla.nomdedomaine.com/config

est ce possible et comment voyez vous la chose ?

Bonne journée et merci d'avance

Résolue

HA MAC adresse

Posée par Fat Dam dans Fonctionnalités et système

Bonjour,

afin d'implémenter une pair de SN510 en HA, je voudrais savoir si IP et MAC adresses restent identiques ou pas en cas de basculement active > passive FW.

Quelq'un pourrait confirmer? Meri d'avance.

 

Résolue

Pb changement mot de passe par portail captif SN700

Posée par Fragobar dans Fonctionnalités et système

Bonjour,

Je possède un SN700 en Firmware 3.3.2 en place depuis longtemps.

Tout fonctionne correctement, IPSec, VPN SSL, FW, portail captif, etc.

Depuis peu on a voulu autoriser les clients a changer leur mot de passe depuis le portal captif.

dans Utilisateurs > authentification > profils du portail captif:

- j'ai activé "Les utilisateurs peuvent changer leur mot de passe"

- j'ai laissé "Ne pas permettre l'enrôlement des utilisateurs"

Dans cette configuration l'option pour changer de mot de passe apparait mais je recois un message d'erreur par la suite lorsque je change le mot de passe. (rien dans mes audit logs sur les DC)

 

j'ai donc décoché l'option "L'annuaire est en lecture seule" dans l'onglet "structure" de "configuration des annuaires" mais cela ne change rien.

Je tourne en rond depuis ce moment la.

Auriez-vous une idée ?

Merci.

Messages d'alerte