91 Membres 1303 Contributions

Open Community

Questions

Non résolue

[STORMSHIELD] Détection DOS / DDOS

Posée par Bartounet Bartounet dans Securité

Bonjour à tous.

J'ai un cluster de Firewall Stromshield SN2100 en entreprise.

J'aimerai savoir si il existe des indicateurs simples à superviser afin de détecter d'éventuelles attaques DOS / DDOS ?

 

J'ai aussi le syslog svc installé qui collecte les traces.

 

 

Non résolue

Problème Exchange SN200

Posée par John Doe

Bonjour,

Je viens de mettre en place un SN200 et je rencontre un problème.

Tout fonctionne correctement en interne, les postes ont accès au serveur Exchange et aucun problème d'envoi et réception.

Le problème que je rencontre se trouve au niveau des téléphones mobiles, qui eux n'arrivent plus à se synchroniser.

Avez vous une idée d'ou peut venir le problème.

Merci d'avance pour votre aide.

Non résolue

Probleme haute disponibilite

Posée par Harry Elmaleh dans Appliances virtuelles

Bonjour,

 

Je dispose de 2 pare feu stormshield (virtuelles), j'ai bien reusis a faire la haute dispo sur le 1er mais sur le 1eme au moment de rejoindre la haute dispo j'ai le message d'erreur ci joint

 

pour info : j'ai bien verifier le mot de passe et adresse ip c'est les bon

Non résolue

Problème stormshield SN310

Posée par Célia Marty dans Securité

Bonjour à tous,

Nous avons mis en place sur un réseau un sn310, dès le départ beaucoup d'alertes "mauvais numéros de séquence TCP" sont remontées.

Cette alerte serait présente à partir du moment ou il y aurait un problème sur le lien fibre. Mais ce qui m'étonne c'est que les alertes remontées sont sur l'IPS01 donc sur le flux sortant. Cela ne viendrait donc pas du lien fibre mais du LAN?

Est-ce que quelqu'un à déjà rencontré ce problème? Ces blocages peuvent-il générer des coupures sur des connexion?

 

 

Résolue

SVC : déclarer plusieurs appliances

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

je viens de déployer une vm SVC afin de centraliser les logs de toutes mes appliances installées dans chaque pays où nous avons une entité.

Pour le site maison où est installé SVC la discution avec le cluster SN700 fonctionne parfaitement.

j'ai ensuite configuré mes autres appliances qui sont connectées en IPSEC en implantant de la meme manière les certificats pour la discussion en TLS j'ai créé l'objet host de mon SVC avec l'ip de mon site centrale qui est bien joignable depuis les réseaux distants par les tunnels ipsec.

mais visiblement le syslog ne semble pas passer par le tunnel, y a t'il une règle de filtrage+NAT à faire afin de faire transiter les logs des firewalls distants vers le site central où SVC est hosté.

 

merci pour vos commentaires

Résolue

Releases notes LTSB manquantes

Posée par Eandry dans Présentation des dernières fonctionnalités

Bonjour à tous,

Les dernières release notes de la version LTSB s'arrêtent à la version 3.7.5, or nous sommes aujourd'hui à la version 3.7.8.

Est-ce que les releases notes sont publiées ailleurs que sur MyStormshield ?

Je n'aime pas trop installer des mises à jour sans connaitre leur contenu....

 

 

 

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

réseau ipsec considéré comme faisant parti du groupe "internet"

Posée par Fighter 777 dans Securité

Bonjour,

j'ai configuré un pont ipsec entre 2 réseaux, ça marchais bien, mes règles étaient bien utilisées, seul les utilisateurs d'une groupe pouvaient communiquer sur l'autre réseau.

 

 

mais je ne sais pas pourquoi, maintenant la plage ip configuré et considéré comme faisant parti du groupe internet...

ducoup les règles d'accès à internet permettent de communiquer avec le réseau distant.. sans que je puisse restreindre l'accès.

 

une idée de quoi ça pourrais venir ? j'ai l'impression que c'est depuis la version 3.9.0 (version d'origine 1.7.9)

 

Merci d'avance.

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Non résolue

Problème Stormshield SN310

Posée par Arnaud Pontier dans Fonctionnalités et système

Bonjour à tous,

Nouvel utilisateur des parefeu stormshield me voila confronté à un soucis.

mon stormshield est connecté à internet de la manière suivante :

 

@IP Poste : 192.168.10.5/24

 

@IP tormshield :

Out : 172.16.50.226/30 (WAN)

In : 192.168.10.252/24 (LAN)

 

@IP BOX SFR :

172.16.50.225/30

 

j'ai ouvert toutes les règles afin de tous laisser passer, la passerelle par defaut (routeur) : 172.16.50.225/30

 

depuis un poste sur mon LAN je ping la passerelle LAN, la patte WAN du stormshield, mais je n'arrive pas à aller plus loin, impossible de joindre le 172.16.50.225/30

je suppose un oublie de ma part, si quelqu'un peut m'aider.

 

Cordialement

 

arnaud

 

Non résolue

Documentation matrice de flux

Posée par Boby Black dans Trucs et Astuces

Bonjour,

Actuellement en pleine monté en compétence sur la technologie StormShield je cherche à vulgariser la matrice de flux (Filtrage & Nat) pour mes collègues via une documentation intuitif et évolutif. Principalement sous forme de schémas mais n'excluant pas d'autres solutions.

 

Je n'ai pas trouvé d'exemple à mon goût en cherchant sur la toile. J'ai trouvé cet article qui se rapproche de ma problématique, ne voulant pas resortir un vieux poste je vous demande quel documentation vous utilisez dans vos infrastructures contenant plus de 200 règles pour travailler en équipe et favoriser d'éventuels transferts de compétences  ?

Merci d'avance pour votre aide.

Cordialement,

bb

Résolue

Communiquer deux interfaces SN510

Posée par Bd 41 dans Administration

Bonjour,

A l'heure actuelle, ma société n'utilise pas de VLAN.

Par conséquent, je dispose sur mon SN 510 : 

  • 1x Patte WAN
  • 1x Patte LAN (avec multipes @IP, le FW fait passerelle de chaque sous réseau). 

Ce que j'ai fait, j'ai paramétré un switch avec 2 VLANS :

  • LAN 192.168.95.0/24 - VLAN 95
  • MGMT 192.168.90.0/24 - VLAN 90.
  • Côté switch (192.168.90.10), je suis connecté au p3 de mon SN510 en trunk.
  • Côté SN510, j'ai créé une interface en p3 (192.168.91.100) et deux interfaces VLANS dessus (192.168.90.100 & 95.100 avec les bons ID VLANS correspondants à mon switch). 

Mon SN510 communique sans souci avec mon switch. 

Malheureusement, impossible de ping le switch depuis mon PC (connecté sur le LAN classique). Est-il possible de faire communiquer deux interfaces de mon SN510 sans faire de bridge ? J'ai beau avoir ouvert certains flux, rien ne passe.. 

Merci par avance pour votre aide,

Cordialement,

BD.

Non résolue

Firewall SN510 avec deux liens internet

Posée par Isonic dans Administration

Bonjour je cherche à configurer sur un SN510 deux connexions vers internet

Sur mon SN j'ai donc la borne 1 vers Orange , la borne 2 vers mon reseau interne et la borne 3 vers SFR.

J'ai paramétré les liens Orange et SFR de la meme façon , je ne fait pas de commutation en automatique je fais simplement un basculement à la main mais le lien SFR ne focntionne pas.

Savez vous si il existe des tutos pour ce type de paramétrage ?

 

Merci

 
Résolue

VPN SSL et client Openvpn sous Linux

Posée par Isonic dans Administration

Bonjour , je viens de faire quelques essais de connexions avec le client openvpn sous Linux

et j'ai une déconnexion au bout de 30 secondes.

Le PC est sosu Ubuntu 18.04 et la connexion ne fonctionne pas lorsque j'utilise le network manager de Ubuntu par contre si je fais une connexion en ligne de commande cela fonctionne bien.

Si vous avez une solution ou une idée

Merci

 
Non résolue

SNMP v3

Posée par Fred Watson dans Appliances virtuelles

Bonjour à tous, 

J'aimerai configurer du snmpv3 sur mon Netasq U70s mais il y a une rubrique où je ne sais pas quoi remplir car je ne sais pas à quoi ça correspond.  

C'est dans Notifications -> Agent SNMP -> onglet SNMPV3 et dans le tableau de droite "Serveur". À quoi correspond "identifiant (engine ID) ? S'il vous plaît ! 

 

 

Merci d'avance. 

Fred

Non résolue

Stormshield 4g et accès distant

Posée par Ajowan Lechien dans Securité

Bonjour,

Je suis a la recherche d'information permettant de me connecter a distance a mon lan via une wonnexion 4G
Pour rappel une connexion 4G ne permet pas un access direct à Intenet. On est ds un LAN operateur et il faut passer par une passerelle de l'operateur.
L'adresse IP attribuée au routeur privé n'est pas la meme que l'adresse IP publique.

J'aimerai donc configurer un VPN entre mon stormshield et un serveur distant qui lui aurai une adresse publique fixe.
J'ai un VPS chez OVH qui me propose une installation d'OpenVPN serveur. Mais je ne parvient pas a comprendre comment configurer mon stormshield pour que celui-ci opère comme un client sur mon serveur OpenVPN.

Si vous avez une idee ou d'autres suggestions, je suis preneur.

Merci d'avance

 

Résolue

Problème SIP SN 710

Posée par Pascal Le Bihan dans Fonctionnalités et système

Bonjour à toutes, bonjour à tous.

J'ai actuellement un problème de voip avec mes SN710. J'utilise des téléphones en Centrex chez OVH. Lorsque je regarde le register des téléphones chez OVH, ils sont tous enregistré avec MonAdresseIpPublic:5060 en source.

De ce fait je me suis apercu avec WireShark que les téléphones reçoivent des paquets qui ne leur sont pas destiné.

Je pense avoir désactiver toute la partie SIP dans les profil d'inspection et ma règle autorisant le traffic des téléphone est en FW et non IPS

Comment se fait il que le handshake se fasse sur le 5060 et non pas sur un port aléatoire ? 

En vous remerciant pour votre aide

Pascal

 

 

Non résolue

[STORMSHIELD] Détection DOS / DDOS

Posée par Bartounet Bartounet dans Securité

Bonjour à tous.

J'ai un cluster de Firewall Stromshield SN2100 en entreprise.

J'aimerai savoir si il existe des indicateurs simples à superviser afin de détecter d'éventuelles attaques DOS / DDOS ?

 

J'ai aussi le syslog svc installé qui collecte les traces.

 

 

Non résolue

Problème Exchange SN200

Posée par John Doe

Bonjour,

Je viens de mettre en place un SN200 et je rencontre un problème.

Tout fonctionne correctement en interne, les postes ont accès au serveur Exchange et aucun problème d'envoi et réception.

Le problème que je rencontre se trouve au niveau des téléphones mobiles, qui eux n'arrivent plus à se synchroniser.

Avez vous une idée d'ou peut venir le problème.

Merci d'avance pour votre aide.

Non résolue

Probleme haute disponibilite

Posée par Harry Elmaleh dans Appliances virtuelles

Bonjour,

 

Je dispose de 2 pare feu stormshield (virtuelles), j'ai bien reusis a faire la haute dispo sur le 1er mais sur le 1eme au moment de rejoindre la haute dispo j'ai le message d'erreur ci joint

 

pour info : j'ai bien verifier le mot de passe et adresse ip c'est les bon

Non résolue

Problème stormshield SN310

Posée par Célia Marty dans Securité

Bonjour à tous,

Nous avons mis en place sur un réseau un sn310, dès le départ beaucoup d'alertes "mauvais numéros de séquence TCP" sont remontées.

Cette alerte serait présente à partir du moment ou il y aurait un problème sur le lien fibre. Mais ce qui m'étonne c'est que les alertes remontées sont sur l'IPS01 donc sur le flux sortant. Cela ne viendrait donc pas du lien fibre mais du LAN?

Est-ce que quelqu'un à déjà rencontré ce problème? Ces blocages peuvent-il générer des coupures sur des connexion?

 

 

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

réseau ipsec considéré comme faisant parti du groupe "internet"

Posée par Fighter 777 dans Securité

Bonjour,

j'ai configuré un pont ipsec entre 2 réseaux, ça marchais bien, mes règles étaient bien utilisées, seul les utilisateurs d'une groupe pouvaient communiquer sur l'autre réseau.

 

 

mais je ne sais pas pourquoi, maintenant la plage ip configuré et considéré comme faisant parti du groupe internet...

ducoup les règles d'accès à internet permettent de communiquer avec le réseau distant.. sans que je puisse restreindre l'accès.

 

une idée de quoi ça pourrais venir ? j'ai l'impression que c'est depuis la version 3.9.0 (version d'origine 1.7.9)

 

Merci d'avance.

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Non résolue

Problème Stormshield SN310

Posée par Arnaud Pontier dans Fonctionnalités et système

Bonjour à tous,

Nouvel utilisateur des parefeu stormshield me voila confronté à un soucis.

mon stormshield est connecté à internet de la manière suivante :

 

@IP Poste : 192.168.10.5/24

 

@IP tormshield :

Out : 172.16.50.226/30 (WAN)

In : 192.168.10.252/24 (LAN)

 

@IP BOX SFR :

172.16.50.225/30

 

j'ai ouvert toutes les règles afin de tous laisser passer, la passerelle par defaut (routeur) : 172.16.50.225/30

 

depuis un poste sur mon LAN je ping la passerelle LAN, la patte WAN du stormshield, mais je n'arrive pas à aller plus loin, impossible de joindre le 172.16.50.225/30

je suppose un oublie de ma part, si quelqu'un peut m'aider.

 

Cordialement

 

arnaud

 

Non résolue

Documentation matrice de flux

Posée par Boby Black dans Trucs et Astuces

Bonjour,

Actuellement en pleine monté en compétence sur la technologie StormShield je cherche à vulgariser la matrice de flux (Filtrage & Nat) pour mes collègues via une documentation intuitif et évolutif. Principalement sous forme de schémas mais n'excluant pas d'autres solutions.

 

Je n'ai pas trouvé d'exemple à mon goût en cherchant sur la toile. J'ai trouvé cet article qui se rapproche de ma problématique, ne voulant pas resortir un vieux poste je vous demande quel documentation vous utilisez dans vos infrastructures contenant plus de 200 règles pour travailler en équipe et favoriser d'éventuels transferts de compétences  ?

Merci d'avance pour votre aide.

Cordialement,

bb

Non résolue

Firewall SN510 avec deux liens internet

Posée par Isonic dans Administration

Bonjour je cherche à configurer sur un SN510 deux connexions vers internet

Sur mon SN j'ai donc la borne 1 vers Orange , la borne 2 vers mon reseau interne et la borne 3 vers SFR.

J'ai paramétré les liens Orange et SFR de la meme façon , je ne fait pas de commutation en automatique je fais simplement un basculement à la main mais le lien SFR ne focntionne pas.

Savez vous si il existe des tutos pour ce type de paramétrage ?

 

Merci

 
Non résolue

SNMP v3

Posée par Fred Watson dans Appliances virtuelles

Bonjour à tous, 

J'aimerai configurer du snmpv3 sur mon Netasq U70s mais il y a une rubrique où je ne sais pas quoi remplir car je ne sais pas à quoi ça correspond.  

C'est dans Notifications -> Agent SNMP -> onglet SNMPV3 et dans le tableau de droite "Serveur". À quoi correspond "identifiant (engine ID) ? S'il vous plaît ! 

 

 

Merci d'avance. 

Fred

Non résolue

Stormshield 4g et accès distant

Posée par Ajowan Lechien dans Securité

Bonjour,

Je suis a la recherche d'information permettant de me connecter a distance a mon lan via une wonnexion 4G
Pour rappel une connexion 4G ne permet pas un access direct à Intenet. On est ds un LAN operateur et il faut passer par une passerelle de l'operateur.
L'adresse IP attribuée au routeur privé n'est pas la meme que l'adresse IP publique.

J'aimerai donc configurer un VPN entre mon stormshield et un serveur distant qui lui aurai une adresse publique fixe.
J'ai un VPS chez OVH qui me propose une installation d'OpenVPN serveur. Mais je ne parvient pas a comprendre comment configurer mon stormshield pour que celui-ci opère comme un client sur mon serveur OpenVPN.

Si vous avez une idee ou d'autres suggestions, je suis preneur.

Merci d'avance

 

Non résolue

Besoin d'aide

Posée par Max Patard dans Fonctionnalités et système

Bonjour à tous,

je souhaite supprimer une URL spécifique dans les logs qui revient de trop nombreuses fois, mais pas en totalité, seulement avant une certaine date. Il s'agit d'un stormshiel SN710.

Est-ce possible? Si oui comment et y aura-t-il une trace de ces suppressions?

Par avance, je vous remercie beaucoup

 

Non résolue

Pourtentage d'interruption CPU

Posée par Gael J. dans Matériels et performances

Bonjour,

J'utilise une SN910 et je constate avec la commande top que je tourne entre 10% et 15% d'interruption CPU.

Ca me parait beaucoup, est-ce normal ? Je n'ai pas trop d'ordre de granteur pour ce type de matériel.

Merci d'avance pour votre aide.

Cordialement,

Gael J.

Non résolue

stormshield filtrage avec Agent SSO

Posée par Damien Richard dans Securité

Bonjour,

je viens de mettre en place l'agent SSO sur un stormshield.
L'annuaire AD remonte bien, la détection des déconnexions des postes aussi.
L'ensemble fonctionne bien avec le filtrage des drois d'accès au serveur par application et internet. J'ai laissé le serveur controleur de domaine , dc et exchange par vlan.
Je rencontre aléatoirement des problèmes d'accès aux serveurs, des coupures et je comprends pas d'ou ca peut venir.
il peut avoir par exemple accès aux répertoires de partage mais pas à une application ou internet. Le pc n'indique qu'il n'y a pas d'internet or oui,  de ce que j'ai compris à priori internet explorer essaye d'ouvrir une page en font de tache.

Pouvez-vous me dire comment vous avez configurer ce mode de fonctionnement et faut-il laisser des choses par des filtrages de vlan et non par utilisateurs.

J'ai aussi un problème redirection vers le portail captif par example quand on veut ouvrir google.fr et pas de souci pour google.com pour les utilisateurs...

Voir la suite
Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Non résolue

LAN sur SN200

Posée par John Doe dans Administration

Bonjour,

Nous utilisons actuellement un Stormshield SN200 configuré en mode bridge (ou mode transparent), hors nous avons constater que nous pouvions le configuré en mode translaté.

Nous aimerions connaitre les différences (avantages et inconvénients) de ces 2 modes.

Merci d'avance.

JD

Résolue

SVC : déclarer plusieurs appliances

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

je viens de déployer une vm SVC afin de centraliser les logs de toutes mes appliances installées dans chaque pays où nous avons une entité.

Pour le site maison où est installé SVC la discution avec le cluster SN700 fonctionne parfaitement.

j'ai ensuite configuré mes autres appliances qui sont connectées en IPSEC en implantant de la meme manière les certificats pour la discussion en TLS j'ai créé l'objet host de mon SVC avec l'ip de mon site centrale qui est bien joignable depuis les réseaux distants par les tunnels ipsec.

mais visiblement le syslog ne semble pas passer par le tunnel, y a t'il une règle de filtrage+NAT à faire afin de faire transiter les logs des firewalls distants vers le site central où SVC est hosté.

 

merci pour vos commentaires

Résolue

Releases notes LTSB manquantes

Posée par Eandry dans Présentation des dernières fonctionnalités

Bonjour à tous,

Les dernières release notes de la version LTSB s'arrêtent à la version 3.7.5, or nous sommes aujourd'hui à la version 3.7.8.

Est-ce que les releases notes sont publiées ailleurs que sur MyStormshield ?

Je n'aime pas trop installer des mises à jour sans connaitre leur contenu....

 

 

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Résolue

Communiquer deux interfaces SN510

Posée par Bd 41 dans Administration

Bonjour,

A l'heure actuelle, ma société n'utilise pas de VLAN.

Par conséquent, je dispose sur mon SN 510 : 

  • 1x Patte WAN
  • 1x Patte LAN (avec multipes @IP, le FW fait passerelle de chaque sous réseau). 

Ce que j'ai fait, j'ai paramétré un switch avec 2 VLANS :

  • LAN 192.168.95.0/24 - VLAN 95
  • MGMT 192.168.90.0/24 - VLAN 90.
  • Côté switch (192.168.90.10), je suis connecté au p3 de mon SN510 en trunk.
  • Côté SN510, j'ai créé une interface en p3 (192.168.91.100) et deux interfaces VLANS dessus (192.168.90.100 & 95.100 avec les bons ID VLANS correspondants à mon switch). 

Mon SN510 communique sans souci avec mon switch. 

Malheureusement, impossible de ping le switch depuis mon PC (connecté sur le LAN classique). Est-il possible de faire communiquer deux interfaces de mon SN510 sans faire de bridge ? J'ai beau avoir ouvert certains flux, rien ne passe.. 

Merci par avance pour votre aide,

Cordialement,

BD.

Résolue

VPN SSL et client Openvpn sous Linux

Posée par Isonic dans Administration

Bonjour , je viens de faire quelques essais de connexions avec le client openvpn sous Linux

et j'ai une déconnexion au bout de 30 secondes.

Le PC est sosu Ubuntu 18.04 et la connexion ne fonctionne pas lorsque j'utilise le network manager de Ubuntu par contre si je fais une connexion en ligne de commande cela fonctionne bien.

Si vous avez une solution ou une idée

Merci

 
Résolue

Problème SIP SN 710

Posée par Pascal Le Bihan dans Fonctionnalités et système

Bonjour à toutes, bonjour à tous.

J'ai actuellement un problème de voip avec mes SN710. J'utilise des téléphones en Centrex chez OVH. Lorsque je regarde le register des téléphones chez OVH, ils sont tous enregistré avec MonAdresseIpPublic:5060 en source.

De ce fait je me suis apercu avec WireShark que les téléphones reçoivent des paquets qui ne leur sont pas destiné.

Je pense avoir désactiver toute la partie SIP dans les profil d'inspection et ma règle autorisant le traffic des téléphone est en FW et non IPS

Comment se fait il que le handshake se fasse sur le 5060 et non pas sur un port aléatoire ? 

En vous remerciant pour votre aide

Pascal

 

 

Résolue

Stomrshield - Comment atteindre son ip publique depuis son lan ?

Posée par Adrien Dasnel dans Trucs et Astuces

Bonjour,

 

J'espère avoir posté au bon endroit. J'ai un SN310 et je souhaite atteindre mon ip publique depuis mon LAN. L'idée c'est de pouvoir monter un cloud en interne ou les utilisateurs pourront partager les liens vers l'extérieur (sinon si je laisse en local ils auront une URL du type 192.168.0...:8015/cloud et ça ne fonctionnera pas. Demander de leur remplacer l'url c'est pas pratique non plus. 

En fait je ne sais pas comment ça marche/fonctionne car depuis son domicile, avec une box on peut "sortir et rentrer" en tapant son ip publique depuis son poste. Mais avec un Stormshield y'a quelque-chose de spécifique à faire ? Je sais pas si c'est clair... si il vous faut des infos en plus, n'hésitez pas, merci !

Résolue

Compatibilité client SSL 32b SNS 3.7 ?

Posée par Julien Auger dans Administration

Bonjour,

Est-ce que la version 3.7 LTSB est compatible avec le client SSL en version 2.4 (le dernier à être compatible 32b me semble) ?

 

J'avais trouvé la liste des compatibilité sur la base documentaire mais impossible de remettre la main dessus...

 

Merci.

 

Bonne journée

Résolue

Perte d'accés à un SN300 ( Plus de ping, plus d'accés à l'interface)

Posée par Manoël Perignon dans Fonctionnalités et système

Bonjour !

Je cherche désespérement une solution, ou une idée,  mais je n'en trouve pas dans la documentation !

Je suis intervenu sur un SN300 sur lequel il y avait une grosse perte de débit inexpliquée ... 40 M en entrée, 1 en sortie ...

Je ne connais pas du tout ce modèle, je parcoure l'interface ...je coupe, j'y reviens, et plus rien ?? je le liste bien en faisant un scan réseau, son IP remonte, mais impossible pour autant de le pinger ( Connexion time out) et impossible de me connecter dessus !?

Une idée du souci ? évidemment un reboot ne change rien ...

Dernière solution, un reset usine ? j'ai un backup de la config ( .na), si je restaure ce backup ensuite, je récupère complétement la configuration précédente ?

Merci pour votre aide !

Résolue

gateway différente pour office 365

Posée par Julien Auger dans Trucs et Astuces

Bonjour,

J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.

La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)

J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.

J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams

mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...

Une idée pour améliorer ?

 

Bonne journée

 

Julien

Résolue

Gateway multiples sur le même réseau

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je me renseigne actuellement sur le fonctionnement du l'objet "routeur" sur un SN910. Sur les documentations que je trouve, l'objet routeur utilise deux gateways qui sont sur des réseaux différents en utilisant donc des interfaces de sortie différentes. Ce qui a pour impact de doubler les règles de NAT.

La question que je pose est la suivante. Est-il possible d'utiliser un objet routeur composé de deux gateways mais qui seraient dans le même réseau. Ce qui me permettrait d'avoir de la HA sur mes gateway sans pour autant complexifier les régles de NAT.

L'alernative pourrait être d'utiliser une VIP entre mes deux gateway et j'utilise ma VIP comme gateway par defaut. C'est peu etre préférable ? Qu'en pensez vous ?

Merci d'avance pour votre aide,

Cordialement,

GJ

Résolue

Probleme de DNS

Posée par Isonic dans Fonctionnalités et système

Bonjour , j'ai un probleme de DNS sur mon reseau et surtout lorsque nous utilisons google pour effectuer les recherches.

Mon Infra :

Box  <> SN Stromshield <> Routeur Cisco <> Switch Cisco <> Vlan 1 (Laptops)

                                                                                     <> Vlan 2 (Laptops)

                                                                                     <> Vlan 3 (Laptops)

                                                                                     <> Vlan 4  (Serveurs)

 

Dans le Vlan 4 celui des serveurs j'ai mon Controleur de domaine AD / DNS / DHCP

Dans le parametrage je pointe les DNS sur mon Controleur de domaine mais la résolution DNS sur les Laptops est...

Voir la suite
Résolue

VPN SSL client

Posée par Isonic dans Trucs et Astuces

Bonjour,

Je cherche un lien  pour télécharger la derniere version du client VPN SSL Stromshield

c'est pas directement dispo sur le site du fabricant ?

 

Merci

 

 

 
Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Résolue

Problems with SSL VPN client

Posée par Vjeran Perinovic dans Fonctionnalités et système

Hi, I see this is French community so sorry because I'm writing in English. Can't find english stormshield community. 

I have U250S-A device with 3.7.3. FW

I have downloaded from MyStormshield.eu latest VPN SSL client v  2.8.0.

I have configured my device to allow SSL connections, LDAP, access rights... All is fine as I can see in documentation, and here on this community. But when I test my connection on a client it almost instant says: Unable to connect to the UTM: User not allowed

But user is allowed in Users>access privileges>detailed access

I don't see anything in my UTM log, no connection attempts. 

On client this connection attempt goes too fast with that error. Am I missing somethnig?

In my client log last line is "Need hold release from management interface, waiting..."

Thank you !

 

 

Résolue

Attribut Radius Filter-id sur SN910

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je cherche à mettre en place une authentification Radius pour le "VPN SSL Portail" de mon stormshield SN910.

Mon serveur Radius fonctionne bien et j'arrive à envoyer un attribut supplémentaire nommé "filter-id" pour retourner également le groupe de l'utilisateur.

Ma question est la suivante. Comment puis-je indiquer au SN910 qu'il doit prendre en compte cette attribut supplémentaire "filter-id" pour s'appuyer dessus dans sa gestion des permissions ?

Merci d'avance pour votre aide.

Cordialement,

Gael J.

 

 

Résolue

Compter le nombre de fois qu'une règle est utilisée

Posée par Guillaume V dans Administration

Bonjour,

Je suis sur le point de remplacer mes arkoons par des stormshield. Avant de commencer à créer mes règles de flux sur mon stormshield je cherche à faire du ménage dans mes règles de flux. Avec le compteur surbles règles de flux de l'arkoon je peux voir celles qui sont utilisées ou non. Nickel pour mes règles de flux concernant des port TCP. Cependant le compteur reste à 0 pour toutes mes règles de flux utilisant des ports UDP. Pourtant j'ai belle et bien du traffic. Aucune autres règle de flux qui pourrait strapper ces règles en UDP n'existe.

Ma question, est il possible de compter le nombre de fois qu'une règle utilisée pour de l'UDP est matchée ?

Merci.

Résolue

Url microsoft pour Windows Update

Posée par Denis Maillard dans Fonctionnalités et système

Bonjour

Nous avons des PC W10 dans la société dont l'accès internet est très limité.

Je bloque tout sauf une liste blanche.

Le soucis est que ces PC ne se mettent plus à jour

J'ai autorisé un certain nombre d'URL pour W Update, les PC détectent lesquelles mises à jour doivent être faites mais refusent de les télécharger

Quelles sont les URL à autoriser?

J'ai autorisé les adresses:

https://social.technet.microsoft.com/Forums/en-US/b3327a8c-88e0-4b7e-a1be-446498f726d8/list-of-update-server-addresses?forum=winserverwsus

 

J'ai le même soucis avec les mises à jour de Firefox, mais ce n'est pas très grave

merci

 

2.8.0.0
Messages d'alerte