82 Membres 1232 Contributions

Open Community

Questions

Non résolue

AMCV6 Suppression cert

Posée par Marc Affinito dans Administration

Bonjour,

J'ai une base de donnée assez conséquente de certificat. Elle doit mettre environ 5min à se charger quand je vais voir l'autorité de certification, une fois dans mon instance.

Comment faire le ménage dans les certificats ? Comment supprimer les certificats révoqués et expirés ? Pas besoin de garder un historique.

 

D'avance merci pour votre aide

Non résolue

IPV6 et configuration d'interface dialup (PPPoe)

Posée par Laurent H dans Fonctionnalités et système

Bonjour,

J'ai un Stormshield SN300 en version 3.7.1 que j'ai recemment basculé en IPV6.

 

Cependant j'ai une question concernant l'interface wan, qui est montée en pppoe.

En ipv4 elle obtient bien son ip, en revanche en ipv6 non, mais c'est normal, je dois la configurer manuellement (j'ai un préfixe entre mon routeur opérateur et les equipements d'extremités (le tunnel pppoe est entre ces deux éléments).

Je route ensuite un /64 comme étant derriere l'equipement (qui sera le prefixe sur le lan sn).

Cette configuration fonctionne en v4+v6 si j'utilise un autre routeur que le sn.

Ma question est donc :

Puis-je paramétrer l'interface firewall_out_ppoe afin de lui assigner une ipv6 ?

J'ai vu que ce n'était pas possible via l'interface web, l'est-ce en cli ?

 

Merci d'avance,

Laurent.

Résolue

Rapport système - stormshield sn910

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaite télécharger un rapport système de mon stormshield.

Je suis connecté en administrateur, je vais dans "Système > Maintenance > Configuration"

Lorsque j'essaye de le récupérer, j'obtiens le message suivant :

" Erreur serverd ret=205 code=06200a00 msg=Droit d'accès restreint requis Commande : SYSTEM INFORMATION "

 

Avez-vous une idée du problème?

Cordialement,

MP

 

Résolue

Empecher l'accès sur une url interne particulière

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai un serveur Web derrriere un sn510 sur lequel des utilisateurs peuvent se connecter en http via l'adresse http://blabla.nomdedomaine.com

Par contre je souhaiterai empêcher qu'ils puissent accéder à la page http://blabla.nomdedomaine.com/config

est ce possible et comment voyez vous la chose ?

Bonne journée et merci d'avance

Non résolue

Demande d'information pour la configuration d'une double liaison

Posée par Antony J. dans Fonctionnalités et système

Bonjour,

J'ai actuellement un problème avec un boitier Stormshield SN310 qui viens en remplacement d'un netask vieillissant.

Actuellement ce netask, dispose de deux liaisons WAN, une via un boitier SDSL et disponible via son IP publique et une liaison ADSL qui fonctionne avec un dialup pour enregistrer les informations de connexion.

J'ai entré pour configuration dans le boitier Stormshield pour la liaison SDSL son IP publique pour configuration du port, et pour la liaison ADSL le port en DHCP et j'ai ajouté une interface Modem pour configuré en complément les informations de connexion.

Pour ce qui est du chemin que dois prendre les données j'ai configuré cela dans mes règles de filtrage et NAT.

Pour votre information c'est la première fois que je configure deux liaisons sur un Stormshield habituellement le client ne dispose que d'une liaison et je ne rencontre donc aucun soucis.

Le problème est que rien ne fonctionne sur les deux liaisons. Avez-vous une idées du problème...

Voir la suite
Résolue

HA MAC adresse

Posée par Fat Dam dans Fonctionnalités et système

Bonjour,

afin d'implémenter une pair de SN510 en HA, je voudrais savoir si IP et MAC adresses restent identiques ou pas en cas de basculement active > passive FW.

Quelq'un pourrait confirmer? Meri d'avance.

 

Non résolue

deconnection vpn ssl

Posée par Mickael Bieque dans Matériels et performances

bonjour 

je possede un v50 en v3.5

le vpn ssl fonctionne en tcp/udp .

Parfois des utilsateurs se font deconnecter (via open vpn ) et ne peuvent pas se reconnecter quelque soit le credential utilisé

a part les log sur le client qui sont light (AUTH_FAILED ) ,ou puis je voir et activer le mode verbose sur le stormshield . ça semble étre aleatoire .

Ensuite parfois ,parfois des utilsateur obtiennent en vpn une ip correspondant a l objet udp et parfois tcp . pourquoi n est ce pas toujours une ip en udp ? 

Cordialement 

Non résolue

Migration pare-feu

Posée par Jean Emam dans Administration

Bonjour,

Je dois migrer le pare-feu stormshield NG1000 en version 2.8 vers SN910 est que je peux restaurer le sauvegarde de NG1000 sur SN910.

Merci

Résolue

Pb changement mot de passe par portail captif SN700

Posée par Fragobar dans Fonctionnalités et système

Bonjour,

Je possède un SN700 en Firmware 3.3.2 en place depuis longtemps.

Tout fonctionne correctement, IPSec, VPN SSL, FW, portail captif, etc.

Depuis peu on a voulu autoriser les clients a changer leur mot de passe depuis le portal captif.

dans Utilisateurs > authentification > profils du portail captif:

- j'ai activé "Les utilisateurs peuvent changer leur mot de passe"

- j'ai laissé "Ne pas permettre l'enrôlement des utilisateurs"

Dans cette configuration l'option pour changer de mot de passe apparait mais je recois un message d'erreur par la suite lorsque je change le mot de passe. (rien dans mes audit logs sur les DC)

 

j'ai donc décoché l'option "L'annuaire est en lecture seule" dans l'onglet "structure" de "configuration des annuaires" mais cela ne change rien.

Je tourne en rond depuis ce moment la.

Auriez-vous une idée ?

Merci.

Non résolue

LDAP de secours inopérant

Posée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

J'ai 2 LDAP, l'un en maitre (provider) sur le réseau local, l'autre en esclave (consumer) accéssible via IPsec.

L'esclave accède au master via l'IPsec et le réplique sans soucis et donc les utilisateurs sont les mêmes sur les deux et en temps réêl.

 

J'ai fais le test sur un LDAP, chaqu'un est accéssible quand il est en serveur par défaut.

Je met donc le LDAP local en principal et le LDAP ipsec en secours.

sauf que si je débranche la prise réseau du LDAP local pour voir si le pare-feu bascule sur le secours, il n'en est rien...

le secours ne sert à rien. Pire, si je rebranche le LDAP local, il n'arrive plus à s'y connecter tant que le serveur de secours est configuré.

je suis obligé de supprimer le secours pour pouvoir de nouveau accéder au LDAP principal.

 

quelqu'un à une idée ?

 

merci d'avance.

Résolue

Perte d'acces à mon SN200

Posée par Richard Bro dans Fonctionnalités et système

Bonjour,

 

Je ne sait pour quel raison j'ai perdu l'acces à mon SN200.

J'ai donc J'ai un reset avec un trombone jusqu'au 2emme bip.

Le routeur a bien redemarré il est bien en 10.0.0.254/8, mais je ne peux toujours pas y accéder. (j'ai evidement configurer mon pc sur la bonne plage ip)

j'ai donc brancher un ecran et un clavier sur le SN200 en CLI j'ai activer le DHCP.

Maintenant mon PC accede au routeur via la webinterface https://10.0.0.254/admin

Quand je rentre les login/mdp, admin/admin, j'ai un message en rouge qui me dit connection error 200 Licence is not yet valid. j'ai recuperé le fichier licence sur le site stormshield.eu mais je ne sait pas comment l'injecter.

Désolé si je ne suis pas clair c'est la 1ere fois que je travail sur stormshield et je suis totalement perdu.

Merci d'avance pour votre aide.

Richard

Non résolue

config radius windows serveur NPS

Posée par Fat Dam dans Securité

Bonjour,

J'ai suivi le document trouvé dans stormshield base de connaissances tous les étapes d'installation du serveur radius NPS; mais ca ne fonctione pas.

Je pense qu'il manquait les attributs à configurer dans le network policy ou autre.

Quelqu'un a des retours d'expériences à partager?

Merci.

 

Résolue

Probleme acces GUI apres montage VPN IPSec

Posée par Pierre-Yves Cognac dans Administration

Bonjour à tous,

Je suis en train de configurer un tunnel VPN IPSec entre deux sites distants sur un StormShield SN310. J'ai donc paramétré mon VPN, ainsi que mes régles de filtrage NAT sans difficulté, par contre, au moment de déclarer mes domaines d'encryption sur le site distant, j'ai perdu l'accès à la GUI et impossible de le récupérer. Je me suis connecté en console et j'ai ajouté la ligne suivante dans /usr/Firewall/ConfigFiles/Filter/05 (qui est le numero de slot de mon filtrage NAT) : pass inspection firewall from any to Firewall_all port https suivi d'un enfilter -u mais cela n'a rien donné.

Pour info, mon réseau local est en 10.142.6.0/28 et un des domaine d'encryption que j'ai déclaré pour mon site distant est 10.0.0.0/8. Cela peut-il poser un problème ? J'ai pourtant toujours accès aux diverses autres interface web sur mon reseau en 10.142.6.0/28 (Freenas, etc...)

Je suppose qu'une régle quelque part m'empéche de me connecter, plus probablement dans...

Voir la suite
Résolue

récupérer liste de filtrage SMTP

Posée par Hubert Hla dans Administration

Bonjour à tous

je dois remplacer un boitier Netasq U150 en V9 par un SN310  en V3 ;

évidemment ,je ne peux pas importer la config exporté..... ok , le souci c'est qu'il y a -entre autre- pas mal de lignes dans le filtrage SMTP entrant (qq centaines).

je me doute qu'il faudra passer par une sortie de fichier en console , puis ré-import. d'ou ma question :

quel est le fichier qu'il faut extraire ?

merci de vos réponses  et bonne reprise

Non résolue

DHCP inaccessible ?

Posée par Fighter 777 dans Administration

Bonjour,

 

J'ai un soucis du coté DHCP.

 

j'ai un point d'accès qui partage un réseau sur un vlan invité

le vlan transit à travers 2 switchs manageable puis arrive sur le pare-feu

jusque là tout va bien ..

 

j'ai fais une translation NAT du vlan vers internet, configuré le vlan sur l'interface qui va bien et pour 2 pcs différents, j'ai l'un des deux qui n'arrive pas à avoir une ip.


pourtant l'ip a l'air d'être bien envoyé d'après Stormshield RTM qui m'affiche d'ailleurs un mauvais Vlan mais la bonne plage ip du vlan en question

 

j'ai un NAT pour les multicast mais pas sure qu'il serve à quelque chose voir même passe avant la règle de filtrage ?

car j'ai des blocage de RFC 3330 dont je ne comprend pas la provenance (je suis censer l'avoir autorisé ...)

 

Merci d'avance,

Cordialement

Non résolue

regle qos pour mes dns

Posée par Mickael Bieque dans Administration

bonjour 

je possede un stomshield virtuel depuis peu.

Nous avons un tres bon debit , mais nous eprouvons des "latence" sur la resolution dns .

les dns sont bien configurés dans le stormshield .nenamoisn j ai vue sur la document qu il pouvait etre benefique de creer une qos pour les dns . mais cetta qos est a aplliquer a quoi , aux regle de nat que l on a creer ,a toute les regles ou a une regle specifique ? 

auriez vous un exemple de regle ? 

 

Non résolue

Règle vers un domaine *.windowsazure.fr

Posée par Rastar0Cket dans Securité

Bonjour à tous,

J'ai quelques VMs hébergées chez Micosoft (Azure), le problème c'est que je vais en avoir d'avantage or actuellement,; L'ouverture des flux vers ce cloud se fait via une règle basique à destination de ce groupe de VMs .. Autrement dit, à chaque création de nouvelle VM, je dois ajouter cette dernière au groupe..

Toutes mes VMs sont du style nommachin.azuremicrosoft.com.. je voulais savoir s'il était possible de créer un objet? *.azuremicrosoft.com ?

J'ai réessi à récupérer les ranges d'IP de Micorosoft pour la partie Azure mais il y en tellement..

Merci bien,
Cordialement.

 

Résolue

Real-Time Monitor Stormshield

Posée par Henri Erre dans Administration

Bonjour,

J'ai récupéré un réseau avec un StormShield SN510 en production.

Mon premier reflex étant de connecter le RTM dessus et voici le message que j'ai :

J'ai beau être en local, VPN SSL ou même taper depuis l'adresse WAN rien à faire, j'ai essayé plusieurs comptes, admin ou pas, même chose ...

Les ports 443 et 1300 sont ouverts, j'avoue sécher ...

Merci de votre aide.

PS : Pour info le firmware est version 3.4.0

Résolue

MAJ Firmware SN710 de 1.x à 3.x

Posée par Fat Dam dans Administration

Bonjour,

J'envisage à maj la version firmware de nos SN710 à partir du 1.5.0 à 3.x

Je procéderai comme suivant:

1/ vers v2.11.0

2/ ensuite vers v3.5.2

Pourriez-vous me confirmer que ces versions sont stables et que le passage aboutira?

car Je n'ai pas de retour d'expériences sur ces versions.

Merci.

 

Non résolue

AMCV6 Suppression cert

Posée par Marc Affinito dans Administration

Bonjour,

J'ai une base de donnée assez conséquente de certificat. Elle doit mettre environ 5min à se charger quand je vais voir l'autorité de certification, une fois dans mon instance.

Comment faire le ménage dans les certificats ? Comment supprimer les certificats révoqués et expirés ? Pas besoin de garder un historique.

 

D'avance merci pour votre aide

Non résolue

IPV6 et configuration d'interface dialup (PPPoe)

Posée par Laurent H dans Fonctionnalités et système

Bonjour,

J'ai un Stormshield SN300 en version 3.7.1 que j'ai recemment basculé en IPV6.

 

Cependant j'ai une question concernant l'interface wan, qui est montée en pppoe.

En ipv4 elle obtient bien son ip, en revanche en ipv6 non, mais c'est normal, je dois la configurer manuellement (j'ai un préfixe entre mon routeur opérateur et les equipements d'extremités (le tunnel pppoe est entre ces deux éléments).

Je route ensuite un /64 comme étant derriere l'equipement (qui sera le prefixe sur le lan sn).

Cette configuration fonctionne en v4+v6 si j'utilise un autre routeur que le sn.

Ma question est donc :

Puis-je paramétrer l'interface firewall_out_ppoe afin de lui assigner une ipv6 ?

J'ai vu que ce n'était pas possible via l'interface web, l'est-ce en cli ?

 

Merci d'avance,

Laurent.

Non résolue

Demande d'information pour la configuration d'une double liaison

Posée par Antony J. dans Fonctionnalités et système

Bonjour,

J'ai actuellement un problème avec un boitier Stormshield SN310 qui viens en remplacement d'un netask vieillissant.

Actuellement ce netask, dispose de deux liaisons WAN, une via un boitier SDSL et disponible via son IP publique et une liaison ADSL qui fonctionne avec un dialup pour enregistrer les informations de connexion.

J'ai entré pour configuration dans le boitier Stormshield pour la liaison SDSL son IP publique pour configuration du port, et pour la liaison ADSL le port en DHCP et j'ai ajouté une interface Modem pour configuré en complément les informations de connexion.

Pour ce qui est du chemin que dois prendre les données j'ai configuré cela dans mes règles de filtrage et NAT.

Pour votre information c'est la première fois que je configure deux liaisons sur un Stormshield habituellement le client ne dispose que d'une liaison et je ne rencontre donc aucun soucis.

Le problème est que rien ne fonctionne sur les deux liaisons. Avez-vous une idées du problème...

Voir la suite
Non résolue

deconnection vpn ssl

Posée par Mickael Bieque dans Matériels et performances

bonjour 

je possede un v50 en v3.5

le vpn ssl fonctionne en tcp/udp .

Parfois des utilsateurs se font deconnecter (via open vpn ) et ne peuvent pas se reconnecter quelque soit le credential utilisé

a part les log sur le client qui sont light (AUTH_FAILED ) ,ou puis je voir et activer le mode verbose sur le stormshield . ça semble étre aleatoire .

Ensuite parfois ,parfois des utilsateur obtiennent en vpn une ip correspondant a l objet udp et parfois tcp . pourquoi n est ce pas toujours une ip en udp ? 

Cordialement 

Non résolue

Migration pare-feu

Posée par Jean Emam dans Administration

Bonjour,

Je dois migrer le pare-feu stormshield NG1000 en version 2.8 vers SN910 est que je peux restaurer le sauvegarde de NG1000 sur SN910.

Merci

Non résolue

LDAP de secours inopérant

Posée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

J'ai 2 LDAP, l'un en maitre (provider) sur le réseau local, l'autre en esclave (consumer) accéssible via IPsec.

L'esclave accède au master via l'IPsec et le réplique sans soucis et donc les utilisateurs sont les mêmes sur les deux et en temps réêl.

 

J'ai fais le test sur un LDAP, chaqu'un est accéssible quand il est en serveur par défaut.

Je met donc le LDAP local en principal et le LDAP ipsec en secours.

sauf que si je débranche la prise réseau du LDAP local pour voir si le pare-feu bascule sur le secours, il n'en est rien...

le secours ne sert à rien. Pire, si je rebranche le LDAP local, il n'arrive plus à s'y connecter tant que le serveur de secours est configuré.

je suis obligé de supprimer le secours pour pouvoir de nouveau accéder au LDAP principal.

 

quelqu'un à une idée ?

 

merci d'avance.

Non résolue

config radius windows serveur NPS

Posée par Fat Dam dans Securité

Bonjour,

J'ai suivi le document trouvé dans stormshield base de connaissances tous les étapes d'installation du serveur radius NPS; mais ca ne fonctione pas.

Je pense qu'il manquait les attributs à configurer dans le network policy ou autre.

Quelqu'un a des retours d'expériences à partager?

Merci.

 

Non résolue

DHCP inaccessible ?

Posée par Fighter 777 dans Administration

Bonjour,

 

J'ai un soucis du coté DHCP.

 

j'ai un point d'accès qui partage un réseau sur un vlan invité

le vlan transit à travers 2 switchs manageable puis arrive sur le pare-feu

jusque là tout va bien ..

 

j'ai fais une translation NAT du vlan vers internet, configuré le vlan sur l'interface qui va bien et pour 2 pcs différents, j'ai l'un des deux qui n'arrive pas à avoir une ip.


pourtant l'ip a l'air d'être bien envoyé d'après Stormshield RTM qui m'affiche d'ailleurs un mauvais Vlan mais la bonne plage ip du vlan en question

 

j'ai un NAT pour les multicast mais pas sure qu'il serve à quelque chose voir même passe avant la règle de filtrage ?

car j'ai des blocage de RFC 3330 dont je ne comprend pas la provenance (je suis censer l'avoir autorisé ...)

 

Merci d'avance,

Cordialement

Non résolue

regle qos pour mes dns

Posée par Mickael Bieque dans Administration

bonjour 

je possede un stomshield virtuel depuis peu.

Nous avons un tres bon debit , mais nous eprouvons des "latence" sur la resolution dns .

les dns sont bien configurés dans le stormshield .nenamoisn j ai vue sur la document qu il pouvait etre benefique de creer une qos pour les dns . mais cetta qos est a aplliquer a quoi , aux regle de nat que l on a creer ,a toute les regles ou a une regle specifique ? 

auriez vous un exemple de regle ? 

 

Non résolue

Règle vers un domaine *.windowsazure.fr

Posée par Rastar0Cket dans Securité

Bonjour à tous,

J'ai quelques VMs hébergées chez Micosoft (Azure), le problème c'est que je vais en avoir d'avantage or actuellement,; L'ouverture des flux vers ce cloud se fait via une règle basique à destination de ce groupe de VMs .. Autrement dit, à chaque création de nouvelle VM, je dois ajouter cette dernière au groupe..

Toutes mes VMs sont du style nommachin.azuremicrosoft.com.. je voulais savoir s'il était possible de créer un objet? *.azuremicrosoft.com ?

J'ai réessi à récupérer les ranges d'IP de Micorosoft pour la partie Azure mais il y en tellement..

Merci bien,
Cordialement.

 

Non résolue

QOS Domaine

Posée par Karl

Bonjour

J'ai besoin de limiter le traffic et donc d'appliquer une QOS pour un domaine et l'ensemble de ses sous domaines (que je ne connais pas forcément), par exemple *.toto.fr :

LAN -> *.toto.fr limité à 100 ko/s

Est-ce possible ?

Merci

Non résolue

Lien MPLS et routage

Posée par Patrice Le Garff dans Administration

Bonjour,

Nous venons de relier nos deux sites distants par une liaison MPLS.
Ces deux sites sont équipés de parefeu Stormshield SNS et ont leur propre sortie Internet.
Je dois configurer sur chaque site une table de routage sur le pare-feu pour diriger les flux en fonction du sous-réseau :

Site A :
routage du sous-réseau local 192.168.0.0/24 vers sous-réseau 192.168.4.0/24 en passant par passerelle "Routeur site A VPN FAI" (192.168.0.XXX)
routage du sous-réseau local 192.168.0.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site A Internet FAI"

Site B :
routage du sous-réseau local 192.168.4.0/24 vers sous-réseau 192.168.0.0/24 en passant par passerelle "Routeur site B VPN FAI" (192.168.4.YYY)
routage du sous-réseau local 192.168.4.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site B Internet FAI"

J'ai essayé d'utiliser les routes statiques (avec ou sans routes de retour) et le routage par régle de filtrage.
La dernière solution me permet de voir du trafic mais le lien MPLS...

Voir la suite
Non résolue

Stormshield et les MTU

Posée par Fighter 777 dans Matériels et performances

Bonjour,

j'utilise un tunnel VPN ipsec entre deux sites, en plus des connexions openVPN

ducoup, j'aurais voulu savoir si il était possible de modifier le MTU des différentes connexions

 

j'ai de la latence sur les accès depuis l'exterieur et de toute manière 1500 de MTU de base, ça fragmente toujours !!

 

 

 

au passage pour les petites commandes :

 

pour connaitre les valeurs des MTU (cmd en mode admin) : netsh interface ipv4 show interfaces

la commande pour changer la valeur : netsh interface ipv4 set interface 16 mtu=1458

16 c'est l'index de l'interface en question qui est donné avec la premiere commande (a changer en fonction de sa propre connexion

 

pour trouver la bonne valeur :
ping -f -l 1472 [adresse_ip]

si cette valeur ne passe pas, il seuffit de réduire la valeur

Non résolue

QOS Update Windows 10

Posée par Karl dans Trucs et Astuces

Bonjour à tous,

Est ce que l'un de vous à déjà mis en place une QOS spécifique aux updates windows sans que cela ne puisse freiner des accès office 365 ?

Coté IP Reputation, pas de possibilité de s'éxecuter. Reste peut être à passer par l'application and protection en appliquant une QOS sur Système : Mise à jour Windows ?

Merci

Non résolue

Chrome 67 NET::ERR_CERT_COMMON_NAME_INVALID

Posée par Siegfried M. dans Administration

Bonjour,

 

Avec le filtrage SSL (authentification transparente SPNEGO) je recontre un problème sur Chrome 67:

NET::ERR_CERT_COMMON_NAME_INVALID

Savez vous comment solutionner le problème?

Je recontre également un souci sur IE 11 sur mes serveurs Citrix en 2012 R2, il doit y avoir un problème de cookie. Si quelqu'un a une piste?

Merci beaucoup.

Siegfried.

Non résolue

Problèmes pour paramétrer un pare-feu StormShield SN210

Posée par Elodie Keusseyan dans Administration

Bonjour à tous, 

Etant stagiaire dans un service informatique, j'ai pas mal de notions dans le domaine, mais parfois la mise en pratique s'avère toutefois complexe pour une débutant dans la pratique comme moi... c'est pourquoi je débarque sur ce forum, et fais appel à vous.

Je dois paramétrer un pare-feu StormShield SN210, et ce sans marche à suivre ni manuel d'utilisation.

J'en ai déjà paramétré dans le passé, via port série. Hors là, il n'y en a pas, j'ai un port console (mais ne sais pas trop si c'est comparable, à vrai dire je n'y ai pas encore touché), ainsi qu'un port RJ WAN, et 7 ports LAN. 

J'ai l'adresse IP du pare-feu à changer et les identifiants PPPoE à préconfigurer. 

J'ai donc suivi la procédure habituelle, le port LAN branché à mon PC, le WAN sur le réseau,  me connectant sur l'IP du pare-feu via mon navigateur, etc.. 

J'ai réussi à tout configurer me semble-t-il, mais déjà quelque chose me taraude : tous les ports se sont mis...

Voir la suite
Non résolue

spoofing ip sur une ip multicast autorisé dans les filtres

Posée par Fighter 777 dans Securité

Bonjour, j'ai un soucis concernant l'accès à une ip multicast sur le port ssdp.

 

J'ai autorisé internal_network à avoir accès à cette plage ip.
Toutefois, le pare-feu semble tout de même bloquer l'accès pour raison d'usurpation d'ip.

 

comment autoriser le multicast sans devoir désactiver le filtrage des tentatives de spoof ?

 

 

Cordialement.

Non résolue

VPN sur IP privée - difficultés de mise en oeuvre

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Ayant des difficultées a reprendre le sujet ci-après (https://open.arkoon.net/aoc/vpn-sur-ip-privee), je me permets de vous reposer la question et vous demander de l'aide :

J'ai un arkoon en version 6.0/3 XD.

J'ai un tunnel IPSEC qui fonctionne bien quand l'adressage IP entre mon opérateur et mon pare-feu est public.
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 90.90.90.0/24

Je passe l'adressage IP entre mon opérateur et moi en adressage privée, modifie le routage en conséquence et ajoute 90.90.90.90 dans l'anglet "avancé" de mon accès INTERNET (image jointe).
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 10.20.30.0/24 (IP ARKOON = 10.20.30.40, IP ROUTEUR INTERNET = 10.20.30.50)

Les flux sont traitées correctement par le pare-feu (flux entrant et sortant sur IP publique).

Malheureusement, chaque tentative de connexion depuis mon client de test (100.100.100.100) vers l'IP publique du VPN...

Voir la suite
Résolue

Rapport système - stormshield sn910

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaite télécharger un rapport système de mon stormshield.

Je suis connecté en administrateur, je vais dans "Système > Maintenance > Configuration"

Lorsque j'essaye de le récupérer, j'obtiens le message suivant :

" Erreur serverd ret=205 code=06200a00 msg=Droit d'accès restreint requis Commande : SYSTEM INFORMATION "

 

Avez-vous une idée du problème?

Cordialement,

MP

 

Résolue

Empecher l'accès sur une url interne particulière

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai un serveur Web derrriere un sn510 sur lequel des utilisateurs peuvent se connecter en http via l'adresse http://blabla.nomdedomaine.com

Par contre je souhaiterai empêcher qu'ils puissent accéder à la page http://blabla.nomdedomaine.com/config

est ce possible et comment voyez vous la chose ?

Bonne journée et merci d'avance

Résolue

HA MAC adresse

Posée par Fat Dam dans Fonctionnalités et système

Bonjour,

afin d'implémenter une pair de SN510 en HA, je voudrais savoir si IP et MAC adresses restent identiques ou pas en cas de basculement active > passive FW.

Quelq'un pourrait confirmer? Meri d'avance.

 

Résolue

Pb changement mot de passe par portail captif SN700

Posée par Fragobar dans Fonctionnalités et système

Bonjour,

Je possède un SN700 en Firmware 3.3.2 en place depuis longtemps.

Tout fonctionne correctement, IPSec, VPN SSL, FW, portail captif, etc.

Depuis peu on a voulu autoriser les clients a changer leur mot de passe depuis le portal captif.

dans Utilisateurs > authentification > profils du portail captif:

- j'ai activé "Les utilisateurs peuvent changer leur mot de passe"

- j'ai laissé "Ne pas permettre l'enrôlement des utilisateurs"

Dans cette configuration l'option pour changer de mot de passe apparait mais je recois un message d'erreur par la suite lorsque je change le mot de passe. (rien dans mes audit logs sur les DC)

 

j'ai donc décoché l'option "L'annuaire est en lecture seule" dans l'onglet "structure" de "configuration des annuaires" mais cela ne change rien.

Je tourne en rond depuis ce moment la.

Auriez-vous une idée ?

Merci.

Résolue

Perte d'acces à mon SN200

Posée par Richard Bro dans Fonctionnalités et système

Bonjour,

 

Je ne sait pour quel raison j'ai perdu l'acces à mon SN200.

J'ai donc J'ai un reset avec un trombone jusqu'au 2emme bip.

Le routeur a bien redemarré il est bien en 10.0.0.254/8, mais je ne peux toujours pas y accéder. (j'ai evidement configurer mon pc sur la bonne plage ip)

j'ai donc brancher un ecran et un clavier sur le SN200 en CLI j'ai activer le DHCP.

Maintenant mon PC accede au routeur via la webinterface https://10.0.0.254/admin

Quand je rentre les login/mdp, admin/admin, j'ai un message en rouge qui me dit connection error 200 Licence is not yet valid. j'ai recuperé le fichier licence sur le site stormshield.eu mais je ne sait pas comment l'injecter.

Désolé si je ne suis pas clair c'est la 1ere fois que je travail sur stormshield et je suis totalement perdu.

Merci d'avance pour votre aide.

Richard

Résolue

Probleme acces GUI apres montage VPN IPSec

Posée par Pierre-Yves Cognac dans Administration

Bonjour à tous,

Je suis en train de configurer un tunnel VPN IPSec entre deux sites distants sur un StormShield SN310. J'ai donc paramétré mon VPN, ainsi que mes régles de filtrage NAT sans difficulté, par contre, au moment de déclarer mes domaines d'encryption sur le site distant, j'ai perdu l'accès à la GUI et impossible de le récupérer. Je me suis connecté en console et j'ai ajouté la ligne suivante dans /usr/Firewall/ConfigFiles/Filter/05 (qui est le numero de slot de mon filtrage NAT) : pass inspection firewall from any to Firewall_all port https suivi d'un enfilter -u mais cela n'a rien donné.

Pour info, mon réseau local est en 10.142.6.0/28 et un des domaine d'encryption que j'ai déclaré pour mon site distant est 10.0.0.0/8. Cela peut-il poser un problème ? J'ai pourtant toujours accès aux diverses autres interface web sur mon reseau en 10.142.6.0/28 (Freenas, etc...)

Je suppose qu'une régle quelque part m'empéche de me connecter, plus probablement dans...

Voir la suite
Résolue

récupérer liste de filtrage SMTP

Posée par Hubert Hla dans Administration

Bonjour à tous

je dois remplacer un boitier Netasq U150 en V9 par un SN310  en V3 ;

évidemment ,je ne peux pas importer la config exporté..... ok , le souci c'est qu'il y a -entre autre- pas mal de lignes dans le filtrage SMTP entrant (qq centaines).

je me doute qu'il faudra passer par une sortie de fichier en console , puis ré-import. d'ou ma question :

quel est le fichier qu'il faut extraire ?

merci de vos réponses  et bonne reprise

Résolue

Real-Time Monitor Stormshield

Posée par Henri Erre dans Administration

Bonjour,

J'ai récupéré un réseau avec un StormShield SN510 en production.

Mon premier reflex étant de connecter le RTM dessus et voici le message que j'ai :

J'ai beau être en local, VPN SSL ou même taper depuis l'adresse WAN rien à faire, j'ai essayé plusieurs comptes, admin ou pas, même chose ...

Les ports 443 et 1300 sont ouverts, j'avoue sécher ...

Merci de votre aide.

PS : Pour info le firmware est version 3.4.0

Résolue

MAJ Firmware SN710 de 1.x à 3.x

Posée par Fat Dam dans Administration

Bonjour,

J'envisage à maj la version firmware de nos SN710 à partir du 1.5.0 à 3.x

Je procéderai comme suivant:

1/ vers v2.11.0

2/ ensuite vers v3.5.2

Pourriez-vous me confirmer que ces versions sont stables et que le passage aboutira?

car Je n'ai pas de retour d'expériences sur ces versions.

Merci.

 

Résolue

SN710 reset bouton problème

Posée par Fat Dam dans Matériels et performances

Bonjour,

On a acheté des firewalls SN710 pour faire les tests.
Pendant la configuration initiale, j'ai supprimé l'interface bridge par erreur.
Du coup, j'ai perdu la main du FW.
J'ai voulu le mettre en conf usine en appuyant sur le bouton RESET.
Mais je ne connais pas le délais car les voyants sont restés stables.

Je voudrais savoir une procédure si quelqu'un a déjà pratiqué.

Merci.

Résolue

VPN IPSec plusieurs sous-réseaux

Posée par Rastar0Cket

Bonjour,
Actuellement je monte un tunnel par sous-réseau .. j’ai pensé à englober les différents sous-réseaux du correspand en face mais bon, je me demandais s’il était possible de monter un tunnel ipsec avec plusieurs sous-réseaux ? J’ai déjà fait ça sur un openswan mais est il possible sur un SN 800?
Merci bien.
Cordialement.
Résolue

ipsec site à site

Posée par Fighter 777 dans Administration

Bonjour,

 

je tente tant bien que mal d'établir une connexion ipsec d'un site A a un site B

 

j'ai bien paramétré les configurations ipsec mais je n'ai strictement aucun trafic qui active la connexion...

j'ai essayer de suivre la doc :
https://documentation.stormshield.eu/SNS_v1/fr/default.htm?turl=Documents%2Fconfigurationdusiteprincipal.htm

Cela parle uniquement de la configuration de la connexion ipsec et des règles de filtrages
et aucunement d'eventuelles règles de routage ou de NAT.

 

Ducoup est-ce normal ou le fais d'ajouter une connexion ipsec ajoute par défaut les règles de routage ?

 

Cordialement

Résolue

modif ip via edit config-card

Posée par Francois Netherlands dans Administration

bonjour,

j'edit la config-card d'une de mes appliance ARKOON

suite au REBOOT, ainsi que de l'ARRET - MARCHE mon IFCONFIG n' a pas ete mise à jour

j' ai essayé la commande : etc/init.d/Firewall restart sans succes  !!

je crois savoir qu' une commande : restart configcard /network existe mais je ne la trouve pas !!

merci d'avance

Résolue

Stormshield IPsec nomade clés partagées

Posée par Fighter 777 dans Administration

Bonjour j'ai un petit soucis pour connecter mon client à un serveur sn510 en utilisant les clés partagées.

 

je n'ai pas de problème avec le certificat et j'arrive à me connecter (partage de connexion internet, accès réseau interne).

 

Dans le tableau de bord, j'ai "utilisateur refusé dans la négociation ipsec", donc il trouve bien l'email de la clé partagée mais pour une raison quelconque, refuse de l'autoriser :S

 

Quelqu'un aurait-il une solution ?

 

Au passage, je n'arrive pas à faire passer le flux ipsec dans le proxy ssl, j'ai systématiquement un site injoignable.

 

Version sn510 : 3.5.1
Version client : 6.4

 

Merci d'avance

Résolue

Arkoon - Cluster HA P1206 v6.0/3

Posée par Jpperget dans Administration

Bonjour,

Je rencontre un soucis sur un cluster AK P1206, depuis quelques temps, j'ai remarqué que sur le manager (via un AMC) l'AK2 apparaissait déconnecté.
Sur le monitoring, les 2 AK sont vus sur toutes les interfaces

J'ai effectué différents tests basics (ping, tcpdump...) qui n'ont rien donné

AK2 (eth0) ne joint pas l'AK1
AMC ne joint pas l'AK2 (eth0)

nous avons redémarré AK2, puis on s'apercoit que l'heure était revenu en défaut (Aout 2011) et d'autres problèmes (résolution DNS, ping ko...)
l'heure a été corrigé via minarconf

AMC vers AK2 : test ICMP ko mais visible au niveau ARP

J'ai l'impression qu'il ne communique pas correctement sur l'interface avec l'AMC et l'AK1, pourtant il y a du trafic sur cette interface sur l'AK2
Il est également impossible de s'y connecter en SSH, j'ai pu m'y connecter via une autre interface

Actuellement sur l'AK2, j'ai ces logs

Jun 27 12:31:38 ak2 ntpd[16108]: kernel time sync status 0040
Jun 27 12:31:41 ak2 MGT[16035]: cannot join peer:...

Voir la suite
Résolue

NAT VPN SSL

Posée par Joffrey B

Bonjour,

Je rencontre quelques difficultés dans la configuration des routes / règles entre mon VPN SSL et le reste de mon LAN.  

Côté configuration, j'ai une interface externe avec une l'IP 192.168.1.10. A cette interface j'ai attaché un modem OVH que j'ai configuré en PPOE. 

Mon but est de permette aux itinérants de se conencter au réseau de l'entreprise.

J'ai donc

1. Activé le VPN SSL avec l'IP public de ma box OVH, renseigné les objets réseaux ...

2. Ajouté une route de retour pour la passerelle firewall_Ovh-modem_peer (Passerelle correspond au modem PPOE) sur l'interface Ovh-Modem

3. Ajouté une route statique pour joindre mon réseau SSL : Passerelle = firewall_Ovh-modem_peer pour l'interface Ovh-Modem

4. Ajouté les règles de filtrage

Mon VPN monte bien avec le client SSL stormshield en version 2.7, mais je n'arrive pas à joindre mon lan. 

De plus, avec l'outil Real Time monitor pour chaque ping, test d'accès sur un équipement de mon LAN, j'ai le message...

Voir la suite
Résolue

SN300 - Problème de règles pour un modem

Posée par Joffrey B dans Administration

Bonjour, 

J'ai un modem OVH technicolor actuellement configuré en mode routeur sur une interface de mon SN300. Cet accès est fonctionnelle.

Je souhaite passer ce modem en mode bridge pour faire pointer l'IP public directement sur le stormshield. Mai j'ai quelques problèmes de configuration du fait que je n'ai aucun accès internet en bridge.

La démarche que j'ai adoptée est la suivante : 

J'ai modifié l'interface en spécifiant l'adresse IP public de mon modem OVH et j'ai créé un modem PPOE avec les informations de connexion rattachées à cette interface.

J'ai ensuite créé une règle NAT qui dit : 

Trafic original : Network_Internals / Internet sur interface WAN3 (Interface sur laquelle mon modem est branché) / Any 

Trafic après translation : Firewall_Wan3 (ip public soit l'ip de mon interface ) / ephemeral_fw / Any

 

Je ne vois pas trop ce que j'ai raté. Pourriez-vous m'aiguiller un peu s'il vous plaît ? 

Je vous remercie d'avance et vous souhaite une bonne fin...

Voir la suite
Résolue

Virtual appliance ARKOON

Posée par Lionel Billia dans Appliances virtuelles

Bonjour,

 

Nous possédons actuellement une appliance virtuelle Arkoon qui se trouve sur un matériel (ESX) obsolète.

Nous désirons migrer cette appliance sur un nouvel hôte de virtualisation.

Je voudrais savoir comment se comporte la licence suite à la migration ?

Pour information j'ai déjà effectué un test de migration, visiblement la licence se comporte comme possédant des jetons d'accès auprès des serveurs de licence Arkoon (visiblement 5 jetons d'accès).

Quels sont les moyens de contourner ce phénomène (fixer les adresses mac sur l hote ESX par exemple?) afin de ne pas avoir recours au support Arkoon?

Merci.

 

 

Messages d'alerte