-353 Membres 1367 Contributions

Open Community

Questions

Non résolue

Stormshield SN510 Création d'un certificat avec Let's encrypt pour le portail Captif.

Posée par Jason.p dans Securité

Bonjour à tous. 

 

Depuis quelques temps déjà, nous rencontrons un problème de certificat sur notre portail d'authentification des utilisateurs sur Stormshield. En effet, le certificat par défaut utilise un algorithme de signature et un algorithme de hachage des signatures en SHA1. Cela signifie que sur la plupart des navigateurs il est impossible d'accéder au portail d'authentification, ou du moins de manière simple pour les utilisateurs de notre service informatique. Avec l'arrivée du petit dernier de chez Microsoft (Microsoft Edge), les utilisateurs rencontrent encore plus de problèmes qu'avant pour accéder à la page d'authentification des utilisateurs. Dans une optique de nous rendre la vie plus simple autant pour moi que pour les utilisateurs j'aimerai changer de certificat en utilisant Let's Encrypt pour avoir une certificat vérifié et de ne pas passer par une méthode d'auto signature. Je mets une capture d'écran de notre portail d'authentification à votre...

Voir la suite
Non résolue

Ping -l supérieur à 68octets bloqué

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonjour, 

Voulais tester la fragmentation suite à la mise en place du boitier chez un client. Je suis pour le coup étonné du résultat, lorsque je fais un 

ping 8.8.8.8. -f -l 1200

J’ai en réponse:

Envoi d’une requête 'Ping' 8.8.8.8 avec 1200 octets de données :
Délai d’attente de la demande dépassé.

Il faut que je descende à 68  pour avoir une réponse. 

ping 8.8.8.8 -f -l 68

Envoi d’une requête 'Ping' 8.8.8.8 avec 68 octets de données :
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=27 ms TTL=116

Statistiques Ping pour 8.8.8.8:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 26ms, Maximum = 27ms, Moyenne = 26ms

si ça peut aider, j'ai réglé la valeur mss à 1300 sur les profils 00 et 01. 

Vous avez une explication ?

Je suis...

Voir la suite
Non résolue

Création d'un webhook firewall stormshield

Posée par Hunter Fi dans Trucs et Astuces

Bonjour,

Actuellement j'utilise le SIEM ELK et je voudrais envoyer des requêtes à partit de mon SIEM vers le firewall pour créer de nouvelle règles pour pouvoir faire de la réponse automatique une fois une attaque est détectée. Pour cela, j'ai besoin d'utiliser un webhook mais je n'ai aucune idée de comment le mettre en place et comment l'utiliser.

Pouvez-vous me donner quelques informations sur ce sujet s'il vous plaît !

 

Merci à vous!

Bonne journée :)

Non résolue

résolution de nom entre réseau wifi et réseau IN

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonsoir, 

j'ai mis en place un SN160W, comme son nom l'indique, il fait wifi. tout marche nickel sauf la résolution de nom entre le wifi et le reseau IN. j'ai pourtant créé deux règles pour autoriser le traffic entre ces deux réseaux. j'ai laisser le protocol à any pour l'instant. ci joint la configuration DHCP. tout marche bien, je peux attaquer mon serveur en tse ou naviger sur internet mais je ne peux pas mapper un lecteur réseau avec le nom de mon serveur. sa marche avec son IP. si vous avez une idée je suis reneur car je suis sur que c'est une connerie.

Merci 

Nico

Non résolue

Accès sites internes via VPN

Posée par Max Vht dans Administration

Bonjour,

Travaillant avec un équipement Stormshield dans mon entreprise actuelle, je sollicite votre aide sur un problème où je pêche un peu. 

Pour vous expliquer, nous avons un site web placé dans la DMZ. Celui-ci est accessible depuis internet. Lorsque nous sommes dans le réseau d'entreprise, celui-ci est également fonctionnel. 

Cependant, depuis quelques jours, nous sommes contraints de travailler via le VPN SSL mis en place. Tout fonctionne très bien, hormis le fait que nous ne pouvons pas accéder au site lorsque nous sommes connectés en VPN.  

Il suffirait de se déconnecter du VPN pour l'atteindre vous pourriez me dire, et oui, c'est le cas. Mais le fait de ne pas trouver la solution pour aller sur le site directement via le VPN me dérange.

J'ai regardé au niveau des filtrages, pour que le réseau VPN soit bien autorisé à aller jusqu'au serveur, j'ai testé avec quelques règles plutôt permissives juste pour vérifier, mais je bloque.

Auriez-vous des pistes...

Voir la suite
Non résolue

Stormshield EVA2 Radius

Posée par Jean Pierre dans Trucs et Astuces

Bonjour,

J'avais un FW Fortinet avec authentification Radius qui fonctionnait très bien pour du VPN SSL.
Je souhaiterai reconduire ce mode d'authentification sur le FW Stormshield EVA2 que je trouvai simple et sécur car les noms des users ne se retrouve pas à l'extérieur mais ça ne marche pas.
Dans l'urgence, j'utilise l'authentification LDAP mais qui ne me plait pas car toute l'AD est dans le FW !!!
Est-ce que l'authentification radius est seulement réservée en mode web ou peut-elle être utilisée avec un client installé sur le poste client ? 

Y-a-t-il une documentation détaillée pour la mise ne place d'une authentification Radius chez Stormshield ?

Merci pour votre retour,

Jean.

 

Non résolue

compte particulier mystormshield

Posée par Michel Merle dans Administration

Bonjour,

 J’ai acheté récemment un SN160 neuf pour sécuriser mon réseau et aussi me permettre de me former sur les produits stormshield (formation prochaine sur CSNA).

Le problème est que pour créer mon compte sur mystormshield, on me demande un numéro siret que je ne peux fournir étant donné que je suis un particulier.

Comment dois-je faire.

D’avance merci pour votre réponse

Cordialement

Résolue

script Stormshield VPN SLL

Posée par Jean Pierre dans Trucs et Astuces

Bonjour,

Novice dans le paramétrage d'un tunnel VPN SLL, Stormshield Network SSL VPN Client permet également d’exécuter des scripts.

Question : Où doit-on les enregistrer (sur le poste client ou sur le serveur et où?).
avec quel chemin d'accès ?

Je n'ai pas trouver de réponse à ce jour.

Merci à vous

Jean

Non résolue

Tunnel IPSEC avec NAT

Posée par Frederic Bourgeois dans Fonctionnalités et système

Bonjour,

Je cherche deseperement à faire fonctionner un tunnel avec un boitier stormshield qui est derriere une NAT (il ne porte que des adresses internes)
La NAT (qui est faite par un autre parefeu sur le chemin du flux) fonctionne bien et le boitier en face reçoit les paquets en 500 et 4500 et je vois aussi les retours, toutefois la phase 2 du tunnel refuse de monter avec le message suivant.

msg="IPSEC SA establishment failed: received TS_UNACCEPTABLE notify error" msg="Negotiation failed" logtype="vpn"

Je précise qu'Il n'y a que le stormshield qui est derriere une NAT

Dans ce cas de figure, il y a une configuration spécifique à faire ?

Résolue

Création tunnel IPSec

Posée par Philippe T dans Fonctionnalités et système

Bonjour à tous,

Je viens vers vous pour un soucis de création de tunnel VPN IPSec.

Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.

Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.

Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?

Merci,

AMicalement,

Résolue

Mon sn210W temperature de 70c°!

Posée par Achraf Kamal

Bonjour les amis;

je voulais juste savoir est ce que c normal si les SN210W travail avec une temperature de 70c° (j'ai lû sur le manuel 40c°). 

j'ai 4 sn210w repartie dans differentes villes; et tous ont la temperature elevée et merci.

Résolue

SN210 : VLAN Traversant Configuration

Posée par Cyril Kerrec dans Administration

Bonjour,
J'ai configuré un SN210. (licence OK, upgrade 3.10 OK)
Je souhaite configurer de nouvelles interfaces (en dehors de l'interface d'administration) afin de pouvoir côté LAN brancher un switch (Cisco) (port VLAN ou TRUNK ?) et de l'autre (port WAN) brancher un automate (config IP).
J'ai essayé de nombreuses manipulations sans succes.
Si je débranche ce SN210, et branche l'automate directement sur mon LAN aucun probleme.

Cdlt,

Résolue

Routage sous Stormsheild

Posée par Fabrice B. dans Administration

Bonjour à tous,

Je me retourne vers vous car, j'ai un souci que je n'arrive pas à régler.

La configuration dont je dispose se trouve dans l'image en pièce jointe.


- Le tunel IPSec est monté entre le "Lan A" et le "Lan B" qui communiquent bien ensemble.
- Il n'y a pas de tunel VPN entre "Lan B" et la "DMZ"
- Le "Lan A"qui est connecté sur le Stormsheild FW1 communique sans problème avec la "DMZ"
- Par contre, le Lan B n'arrive pas à communiquer avec la "DMZ" !

Voilà, je me doute que pour que le "Lan B" accède à la "DMZ", il faudrait une route sur le Stormsheild FW2 qui lui indique qu'il faut interroger le FW1 pour trouver la "DMZ".

Hors, toutes mes tentatives de configuration ont échoué dans la partie "Réseau->Routage" du FW2:
net dest: 192.168.60.2
interface: In
Passerelle: Je nes sais pas quelle passerelle mettre: la 192.168.61.254 ou l'adresse IP Publique 1

De plus, j'ai l'impression que FW2 n'arrive pas à communique lui-même avec le "Lan A", FW1 et "DMZ" alors que le "Lan...

Voir la suite
Non résolue

mot de passe LDAP expiré connexion ssl

Posée par Antoine C dans Securité

Bonjour,

Nous mettons en place une politique de mot de passe AD avec renouvellement du mot de passe tous les 60 jours.

Au bout du 61 eme jour, si l'utilisateur se connecte a distance via le vpn ssl la connexion ne fonctionne pas.

quel parametre modifier pour que l'utilisateur puisse se connecter ?

Résolue

Problème réécriture certificat stormshield

Posée par Dimitri Mestdag dans Securité

Bonjour,

Je viens d'arriver dans ma nouvelle entreprise et je recontre un problème à cause de ce qui semble être une mauvaise conf dans le stormshield au niveau de la réécriture de certificat.

En temps normal j'irais voir dans le stormshield mais là je n'ai pas les accès : ma question est tout simplement pour ma culture générale.

Je vous explique : 

Il y a de nombreux blocage lorsque des logiciels tente d'accèder à internet comme les logiciels d'installation de pilotes.

Un autre exemple concrès : lorsque je lance un wget sur ma machine, j'ai le resultat suivant :

Avertissement : impossible de vérifier l’attribut github.com du certificat, émis par «CN=SSL Proxy Trusted CA,OU=SSL traffic analyzing,O=Stormshield,ST=Default state,C=US» :
Récupération d’un certificat autosigné.

 

Cela vient du fait que le Stormshield réécrit le certificat avec un autre autosigné. Comment ce certificat a été créé ? Est il possible de le signé proprement ?

 

Merci d'avance...

Voir la suite
Résolue

Stormshield SN510 SSH/SFTP Software caused connection abort/Connection reset by peer

Posée par Tom P.

Bonjour à tous !

 

Je suis actuellement en stage dans une entreprise, et j'ai pour mission de gérer le parc informatique de la société.

 

Depuis ce matin, nous rencontrons des problèmes pour se connecter à distance sur le Firewall via SSH, ou encore d'utiliser notre serveur SFTP. Ces problèmes sont survenus après un redémarrage du Firewall vendredi dernier.  Le message qui apparait lors des tentatives de connexions et le suivant : "Software caused connection abort"

 

La connexion à distance sur le Firewall ainsi que l'utilisation du serveur SFTP fonctionnaient tous les deux parfaitement sans problèmes avant le redémarrage de vendredi.

 

Ce que j'ai fait :

Dans "OBJETS RÉSEAU", j'ai créé un nouvel objet afin de spécifier un nouveau numéro de port, dans mon cas j'ai pris le port 19967. J'ai ensuite appliqué la redirection dans mes règles de filtrage et tout fonctionne correctement, j'ai bien accès au serveur SFTP de l'exterieur du réseau de l'entreprise. J'ai...

Voir la suite
Résolue

perte du superadmin password sur SN3100

Posée par Alain Diet

Bonjour messieurs,

Me demande quoi faire suite à une perte de superadmin password sur SN3100

- faut-il faire un restore complet d'une conf ? impact sur le mdp superadmin?

- faut-il faire un retour usine sur un des firewalls puis jongler avec les mises en service et jeux de configurations?

- meilleure idée bienvenue !

 

thx for help

Non résolue

CLI ET CIPHER LIST

Posée par Marc Chevalier dans Securité

Bonjour, j'ai une lègère incompréhension lorsque je modifie les cipherlist via le CLI.

Grâce à la commande "conf auth https cipherlist= cipherlist choisie" , je configure la suite cryptographique je veux. Cependant quand j'effectue la commande "conf auth show". Toutes les suites restent en "undefined" cependant mon équipement à bien en compte ma commande.

 

Le problème est donc ou trouvé l'information de la bonne configuration de la suite?Est-ce un bug d'affichage? 

Cordialement

Non résolue

Stormshield SN510 Création d'un certificat avec Let's encrypt pour le portail Captif.

Posée par Jason.p dans Securité

Bonjour à tous. 

 

Depuis quelques temps déjà, nous rencontrons un problème de certificat sur notre portail d'authentification des utilisateurs sur Stormshield. En effet, le certificat par défaut utilise un algorithme de signature et un algorithme de hachage des signatures en SHA1. Cela signifie que sur la plupart des navigateurs il est impossible d'accéder au portail d'authentification, ou du moins de manière simple pour les utilisateurs de notre service informatique. Avec l'arrivée du petit dernier de chez Microsoft (Microsoft Edge), les utilisateurs rencontrent encore plus de problèmes qu'avant pour accéder à la page d'authentification des utilisateurs. Dans une optique de nous rendre la vie plus simple autant pour moi que pour les utilisateurs j'aimerai changer de certificat en utilisant Let's Encrypt pour avoir une certificat vérifié et de ne pas passer par une méthode d'auto signature. Je mets une capture d'écran de notre portail d'authentification à votre...

Voir la suite
Non résolue

Ping -l supérieur à 68octets bloqué

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonjour, 

Voulais tester la fragmentation suite à la mise en place du boitier chez un client. Je suis pour le coup étonné du résultat, lorsque je fais un 

ping 8.8.8.8. -f -l 1200

J’ai en réponse:

Envoi d’une requête 'Ping' 8.8.8.8 avec 1200 octets de données :
Délai d’attente de la demande dépassé.

Il faut que je descende à 68  pour avoir une réponse. 

ping 8.8.8.8 -f -l 68

Envoi d’une requête 'Ping' 8.8.8.8 avec 68 octets de données :
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=27 ms TTL=116

Statistiques Ping pour 8.8.8.8:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 26ms, Maximum = 27ms, Moyenne = 26ms

si ça peut aider, j'ai réglé la valeur mss à 1300 sur les profils 00 et 01. 

Vous avez une explication ?

Je suis...

Voir la suite
Non résolue

Création d'un webhook firewall stormshield

Posée par Hunter Fi dans Trucs et Astuces

Bonjour,

Actuellement j'utilise le SIEM ELK et je voudrais envoyer des requêtes à partit de mon SIEM vers le firewall pour créer de nouvelle règles pour pouvoir faire de la réponse automatique une fois une attaque est détectée. Pour cela, j'ai besoin d'utiliser un webhook mais je n'ai aucune idée de comment le mettre en place et comment l'utiliser.

Pouvez-vous me donner quelques informations sur ce sujet s'il vous plaît !

 

Merci à vous!

Bonne journée :)

Non résolue

résolution de nom entre réseau wifi et réseau IN

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonsoir, 

j'ai mis en place un SN160W, comme son nom l'indique, il fait wifi. tout marche nickel sauf la résolution de nom entre le wifi et le reseau IN. j'ai pourtant créé deux règles pour autoriser le traffic entre ces deux réseaux. j'ai laisser le protocol à any pour l'instant. ci joint la configuration DHCP. tout marche bien, je peux attaquer mon serveur en tse ou naviger sur internet mais je ne peux pas mapper un lecteur réseau avec le nom de mon serveur. sa marche avec son IP. si vous avez une idée je suis reneur car je suis sur que c'est une connerie.

Merci 

Nico

Non résolue

Accès sites internes via VPN

Posée par Max Vht dans Administration

Bonjour,

Travaillant avec un équipement Stormshield dans mon entreprise actuelle, je sollicite votre aide sur un problème où je pêche un peu. 

Pour vous expliquer, nous avons un site web placé dans la DMZ. Celui-ci est accessible depuis internet. Lorsque nous sommes dans le réseau d'entreprise, celui-ci est également fonctionnel. 

Cependant, depuis quelques jours, nous sommes contraints de travailler via le VPN SSL mis en place. Tout fonctionne très bien, hormis le fait que nous ne pouvons pas accéder au site lorsque nous sommes connectés en VPN.  

Il suffirait de se déconnecter du VPN pour l'atteindre vous pourriez me dire, et oui, c'est le cas. Mais le fait de ne pas trouver la solution pour aller sur le site directement via le VPN me dérange.

J'ai regardé au niveau des filtrages, pour que le réseau VPN soit bien autorisé à aller jusqu'au serveur, j'ai testé avec quelques règles plutôt permissives juste pour vérifier, mais je bloque.

Auriez-vous des pistes...

Voir la suite
Non résolue

Stormshield EVA2 Radius

Posée par Jean Pierre dans Trucs et Astuces

Bonjour,

J'avais un FW Fortinet avec authentification Radius qui fonctionnait très bien pour du VPN SSL.
Je souhaiterai reconduire ce mode d'authentification sur le FW Stormshield EVA2 que je trouvai simple et sécur car les noms des users ne se retrouve pas à l'extérieur mais ça ne marche pas.
Dans l'urgence, j'utilise l'authentification LDAP mais qui ne me plait pas car toute l'AD est dans le FW !!!
Est-ce que l'authentification radius est seulement réservée en mode web ou peut-elle être utilisée avec un client installé sur le poste client ? 

Y-a-t-il une documentation détaillée pour la mise ne place d'une authentification Radius chez Stormshield ?

Merci pour votre retour,

Jean.

 

Non résolue

compte particulier mystormshield

Posée par Michel Merle dans Administration

Bonjour,

 J’ai acheté récemment un SN160 neuf pour sécuriser mon réseau et aussi me permettre de me former sur les produits stormshield (formation prochaine sur CSNA).

Le problème est que pour créer mon compte sur mystormshield, on me demande un numéro siret que je ne peux fournir étant donné que je suis un particulier.

Comment dois-je faire.

D’avance merci pour votre réponse

Cordialement

Non résolue

Tunnel IPSEC avec NAT

Posée par Frederic Bourgeois dans Fonctionnalités et système

Bonjour,

Je cherche deseperement à faire fonctionner un tunnel avec un boitier stormshield qui est derriere une NAT (il ne porte que des adresses internes)
La NAT (qui est faite par un autre parefeu sur le chemin du flux) fonctionne bien et le boitier en face reçoit les paquets en 500 et 4500 et je vois aussi les retours, toutefois la phase 2 du tunnel refuse de monter avec le message suivant.

msg="IPSEC SA establishment failed: received TS_UNACCEPTABLE notify error" msg="Negotiation failed" logtype="vpn"

Je précise qu'Il n'y a que le stormshield qui est derriere une NAT

Dans ce cas de figure, il y a une configuration spécifique à faire ?

Non résolue

mot de passe LDAP expiré connexion ssl

Posée par Antoine C dans Securité

Bonjour,

Nous mettons en place une politique de mot de passe AD avec renouvellement du mot de passe tous les 60 jours.

Au bout du 61 eme jour, si l'utilisateur se connecte a distance via le vpn ssl la connexion ne fonctionne pas.

quel parametre modifier pour que l'utilisateur puisse se connecter ?

Non résolue

CLI ET CIPHER LIST

Posée par Marc Chevalier dans Securité

Bonjour, j'ai une lègère incompréhension lorsque je modifie les cipherlist via le CLI.

Grâce à la commande "conf auth https cipherlist= cipherlist choisie" , je configure la suite cryptographique je veux. Cependant quand j'effectue la commande "conf auth show". Toutes les suites restent en "undefined" cependant mon équipement à bien en compte ma commande.

 

Le problème est donc ou trouvé l'information de la bonne configuration de la suite?Est-ce un bug d'affichage? 

Cordialement

Non résolue

Débogage du trajet d'un paquet traversant un Stormshield

Posée par Bruno Tréguier dans Trucs et Astuces

Bonjour,

Je souhaiterais savoir quelles techniques vous utilisez pour arriver à tracer le trajet d'un paquet au travers d'une appliance, de l'nterface d'entrée, à l'interface de sortie (en passant par les étapes de filtrage/NAT et les décisions de routage).

La raison de ma question est la suivante: j'ai un paquet (un SYN/ACK en réponse à un SYN) que je vois entrer (via un tcpdump), mais pas ressortir par l'interface vers laquelle il aurait dû être envoyé. Pour autant, les logs de filtrage montrent bien une action "pass"...

Donc pour l'instant, à ma disposition j'ai:

- tcpdump

- les logs

Et puis c'est tout. ;-)

Je suis preneur d'autres idées qui pourraient me permettre d'arriver à tracer ce paquet récalcitrant...

L'appliance est un Stormshield SN910, pour info.

Merci ! :-)

Bruno

Non résolue

Déclaration d'un VLAN au travers de plusieurs switchs

Posée par Cyril Kerrec dans Administration

Bonjour,
J'ai déployé plusieurs switchs Cisco (3850 et 2960-X) et interconnecté ces switchs via fibres optiques et ports trunk.
Dans ces trunk, j'ai autorisé une liste de VLAN.
L'un d'entre eux, par exemple VLAN 5, déclaré sur chaque swich comme port Admin, fonctionne parfaitement avec chaque switch; les pc connectés y fonctionne parfaitement sur le port 23 chaque switch. (ou 11 avec gbic RJ45 sur 3850).
Mes PC Admin sont sur un réseau 10.0.10.x/24. (GW : 10.0.10.254) (les IP ne représentent pas la réalité).
 
J'ai ensuite déclaré un nouveau VLAN pour mes utilisateurs, disons VLAN 100, sur chaque switch.
Via SSH :
conf t
vlan 100
name USERS
exit
do wr mem
end
show vlan
... et ce , sur chaque switch.
 
et sur au moins 2 switchs, j'ai testé avec des PC utilisateurs, via le port 1, avec ajout du vlan (switchport access vlan 100), mais la communication ne passe pas.
Mes PC utilisateurs sont sur un réseau 10.0.49.x/24 .(GW : 10.0.49.254)
 
Derrière ces swichs, il ya des serveurs dont les...

Voir la suite
Non résolue

Wifi Stormshield SN210W - Pas d'accès aux ressources internes

Posée par Yves Rampon dans Securité

Bonjour,

 

Nouveau sur le matériel Stormshield, je n'arrive pas à accèder aux ressources internes du réseau en connexion Wifi.

J'utilise le relai DCHP (un serveur interne) qui renvoi bien les bonnes adresses IP pour se connecter et cela fonctionne très bien.

Mais pas d'accès aux ressources internes, lecteurs mappés etc.

Je ne trouve pas la bonne règle de filtrage à mettre en place. avec la règle PASS ALL, évidement ca fonctionne.

Merci pour vos idées.

 

Non résolue

Ansible et stormshield

Posée par Seb Do dans Securité

Bonjour,

 

j'ai en charge un parc de stormshield et j'ai découvert deux liens pour me faciliter le travail.

J'ai commencé à lire comprendre et mettre en oeuvre mais je bloque et je voudrais savoir si des personnes utilisent ces scripts.

https://github.com/stormshield/ansible-SNS

https://github.com/stormshield/python-SNS-API

 

Je connais bien les stormshield mais je ne connais pas ansible et je ne connais pas python donc j'aurais voulu savoir si des gens utilsent ces outils ?

Car les github ne sont pas assez explicites pour moi je bloque sur les histoires de module library etc ?

Merci beaucoup de votre aide

 

 

 

Non résolue

VPN SSL Stormshield réservation ip client

Posée par Palma Alexandre dans Administration

Bonjour , 

J'ai configuré les accès vpn ssl sur un firewall stormshield sn 510 , j'ai également configuré un réseau pour les clients. Ma question : est il possible de gérer la diffusion des adresses ip du réseau renseigné dans la config VPN SSL ? Je souhaiterais effectivement fixer / réserver une ip à certains users ( actuellement les ips sont distribuées aléatoirement je ne sais pas comment ). Merci d'avance.

Non résolue

VPN-SSL stormshield et user authentifié

Posée par Cédric Guic dans Securité

Bonjour à tous, j’aurais besoin d’aide de la communauté. Je dispose d’un Stormshield SN710 et avec le confinement nous avons dû déployer en urgence la solution VPN SSL à nos users munis de PC portable (client 2.8.0) sous Windows 10 et disposant de la bonne versions des logiciels et antivirus. Après les configuration du parfeu adéquatent pour accepter le accès VPN, nos users se loguent et seulement les utilisateurs du groupes (reliés à l’Active Directory) ont le droit se connecter. Jusque a tout fonctionne à merveille.

Or je viens d’avoir des personnes qui ont oubliés leurs ordinateurs portables au bureau, qui ont récupéré l'exécutable du client Stormshield VPN SSL, l’on installé sur leur PC personnel ou tablette et donc ne disposant pas dans la majorité des cas d’antivirus, de Firewall et autres outils de protection adéquate.

Ma question est la suivante, afin qu’ils ne polluent pas notre réseau interne je souhaiterais pouvoir authentifier les...

Voir la suite
Non résolue

2 liens entrants sur SN510

Posée par Seb Patte dans Administration

Bonjour,

aujourd'hui connecté par un lien d'un FAI, j'ai ajouté un second lien à mon Firewall.

ça fonctionne, via une règle mon PC utilise le nouveau lien pour sortir sur internet, le reste de l'entreprise utilise mon premier lien.

Par contre, j'aimerai configurer mon VPN pour utiliser les 2 liens:

chez mon provider j'ai dans mes DNS vpn.xxxx.eu qui a son entrée A sur l'IP du lien 1. En ajoutant vpn.xxxx.eu avec une entrée A sur l'IP du lien 2, je ne vois pas de changements.

En me connectant j'ai l'impression de toujours prendre le lien 1 : je ne vois pas de traffic sur mon lien 2

je teste https://vpn.xxxx.eu/auth ça marche
je teste https://IP_lien1/auth ça marche
je teste https://IP_lien2/auth ça ne fonctionne pas

Une idée ?

Non résolue

cannot reach DNS 192.168.0.248 as it's private network

Posée par Antoine Poussard dans Matériels et performances

Hello everyone,
We have a VPN SSL setup in our office, using StormShield. We have setup 11 connection (windws&mac&linux) with succes. But, in one MacOS things went wrong.We use TunnelBlick. The connection works, but it display "cannot reach DNS 192.168.0.248 as it's private network"But :
- Internet works
- Whatismyip gives the office IP (and not the remote IP)
- ping to LAN equipment (gateway, DNS, and a desktop) DOESNT work (timeout)We tried :
- Refresh DNS cache from macOS
- change the internet connection (using cellphone 4G)

- we can ping another computer from the same sub-network

Non résolue

Accès esxi distant via VPN SSL au travers d'un tunnel IPSEC

Posée par Joffrey B dans Administration

Bonjour à tous,

Depuis vendredi je suis face à un problème que je n'arrive pas à résoudre.

J'ai un monté un tunnel IPSEC entre un SN300 et une pfsense en front sur un ESXI. Ce tunnel fonctionne et j'ai bien accès aux différentes VM de l'ESXI via mon bridge. 

Toutefois en ces temps difficiles, nous recourons au télétravail. J'ai donc des clients qui se connecte via le logiciel ssl stormshield et ça fonctionne. Mes clients ont bien accès au réseau local dans mon bridge, mais je n'arrive pas à accéder aux VMs de mon esxi. 

Côté configuration VPN IPSEC, mon réseau SSL est bien présent dans un objet réseau local (de même que mon réseau interne).

Côté filtrage et NAT, j'ai une règle qui laisse passer tout mon traffic depuis mon réseau SSL vers mon remote (réseau coté esxi).

J'ai une route statique qui indique la passerelle à utilisé pour mon remote (réseau esxi).

La je coince un peu niveau idée.

Auriez vous une piste que je puisse explorer svp ?

Je vous...

Voir la suite
Non résolue

STORMSHIELD VPN

Posée par 1412 Tech dans Securité

Bonjour,

Je souhaiterais utiliser le portail captif de mon Stormshield SN510 pour attaquer une ferme rds mais cela ne fonctionne pas et je ne trouve pas de documentations. Je l'ai fait en serveur Applicatif cela ne fonctionne que si l'on se connecte sur une machine directement mais dans le cas d'une ferme cela ne fonctionne pas....Quant au serveur web rien ne passe.


Merci

Résolue

script Stormshield VPN SLL

Posée par Jean Pierre dans Trucs et Astuces

Bonjour,

Novice dans le paramétrage d'un tunnel VPN SLL, Stormshield Network SSL VPN Client permet également d’exécuter des scripts.

Question : Où doit-on les enregistrer (sur le poste client ou sur le serveur et où?).
avec quel chemin d'accès ?

Je n'ai pas trouver de réponse à ce jour.

Merci à vous

Jean

Résolue

Création tunnel IPSec

Posée par Philippe T dans Fonctionnalités et système

Bonjour à tous,

Je viens vers vous pour un soucis de création de tunnel VPN IPSec.

Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.

Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.

Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?

Merci,

AMicalement,

Résolue

Mon sn210W temperature de 70c°!

Posée par Achraf Kamal

Bonjour les amis;

je voulais juste savoir est ce que c normal si les SN210W travail avec une temperature de 70c° (j'ai lû sur le manuel 40c°). 

j'ai 4 sn210w repartie dans differentes villes; et tous ont la temperature elevée et merci.

Résolue

SN210 : VLAN Traversant Configuration

Posée par Cyril Kerrec dans Administration

Bonjour,
J'ai configuré un SN210. (licence OK, upgrade 3.10 OK)
Je souhaite configurer de nouvelles interfaces (en dehors de l'interface d'administration) afin de pouvoir côté LAN brancher un switch (Cisco) (port VLAN ou TRUNK ?) et de l'autre (port WAN) brancher un automate (config IP).
J'ai essayé de nombreuses manipulations sans succes.
Si je débranche ce SN210, et branche l'automate directement sur mon LAN aucun probleme.

Cdlt,

Résolue

Routage sous Stormsheild

Posée par Fabrice B. dans Administration

Bonjour à tous,

Je me retourne vers vous car, j'ai un souci que je n'arrive pas à régler.

La configuration dont je dispose se trouve dans l'image en pièce jointe.


- Le tunel IPSec est monté entre le "Lan A" et le "Lan B" qui communiquent bien ensemble.
- Il n'y a pas de tunel VPN entre "Lan B" et la "DMZ"
- Le "Lan A"qui est connecté sur le Stormsheild FW1 communique sans problème avec la "DMZ"
- Par contre, le Lan B n'arrive pas à communiquer avec la "DMZ" !

Voilà, je me doute que pour que le "Lan B" accède à la "DMZ", il faudrait une route sur le Stormsheild FW2 qui lui indique qu'il faut interroger le FW1 pour trouver la "DMZ".

Hors, toutes mes tentatives de configuration ont échoué dans la partie "Réseau->Routage" du FW2:
net dest: 192.168.60.2
interface: In
Passerelle: Je nes sais pas quelle passerelle mettre: la 192.168.61.254 ou l'adresse IP Publique 1

De plus, j'ai l'impression que FW2 n'arrive pas à communique lui-même avec le "Lan A", FW1 et "DMZ" alors que le "Lan...

Voir la suite
Résolue

Problème réécriture certificat stormshield

Posée par Dimitri Mestdag dans Securité

Bonjour,

Je viens d'arriver dans ma nouvelle entreprise et je recontre un problème à cause de ce qui semble être une mauvaise conf dans le stormshield au niveau de la réécriture de certificat.

En temps normal j'irais voir dans le stormshield mais là je n'ai pas les accès : ma question est tout simplement pour ma culture générale.

Je vous explique : 

Il y a de nombreux blocage lorsque des logiciels tente d'accèder à internet comme les logiciels d'installation de pilotes.

Un autre exemple concrès : lorsque je lance un wget sur ma machine, j'ai le resultat suivant :

Avertissement : impossible de vérifier l’attribut github.com du certificat, émis par «CN=SSL Proxy Trusted CA,OU=SSL traffic analyzing,O=Stormshield,ST=Default state,C=US» :
Récupération d’un certificat autosigné.

 

Cela vient du fait que le Stormshield réécrit le certificat avec un autre autosigné. Comment ce certificat a été créé ? Est il possible de le signé proprement ?

 

Merci d'avance...

Voir la suite
Résolue

Stormshield SN510 SSH/SFTP Software caused connection abort/Connection reset by peer

Posée par Tom P.

Bonjour à tous !

 

Je suis actuellement en stage dans une entreprise, et j'ai pour mission de gérer le parc informatique de la société.

 

Depuis ce matin, nous rencontrons des problèmes pour se connecter à distance sur le Firewall via SSH, ou encore d'utiliser notre serveur SFTP. Ces problèmes sont survenus après un redémarrage du Firewall vendredi dernier.  Le message qui apparait lors des tentatives de connexions et le suivant : "Software caused connection abort"

 

La connexion à distance sur le Firewall ainsi que l'utilisation du serveur SFTP fonctionnaient tous les deux parfaitement sans problèmes avant le redémarrage de vendredi.

 

Ce que j'ai fait :

Dans "OBJETS RÉSEAU", j'ai créé un nouvel objet afin de spécifier un nouveau numéro de port, dans mon cas j'ai pris le port 19967. J'ai ensuite appliqué la redirection dans mes règles de filtrage et tout fonctionne correctement, j'ai bien accès au serveur SFTP de l'exterieur du réseau de l'entreprise. J'ai...

Voir la suite
Résolue

perte du superadmin password sur SN3100

Posée par Alain Diet

Bonjour messieurs,

Me demande quoi faire suite à une perte de superadmin password sur SN3100

- faut-il faire un restore complet d'une conf ? impact sur le mdp superadmin?

- faut-il faire un retour usine sur un des firewalls puis jongler avec les mises en service et jeux de configurations?

- meilleure idée bienvenue !

 

thx for help

Résolue

Configuration BGP pour exporter tous les réseaux directement connectés

Posée par Ludo Daix dans Administration

Bonjour à tous!

Pouvez vous m'indiquer le meilleur moyen pour configurer bird afin d'exporter les réseaux directement connectés à l'appliance (toutes les interfaces réseaux). 

Pour l'instant je fais ça avec un filtre que j'appelle dans la conf du protocol bgp.

Mon fichier de conf fonctionnel est le suivant:

# The direct protocol automatically generates device routes to
# all network interfaces.
protocol direct {
}

# This pseudo-protocol performs synchronization between BIRD's routing
# tables and the kernel.
protocol kernel {
learn; # Learn all alien routes from the kernel
persist; # Don't remove routes on bird shutdown
scan time 20; # Scan kernel routing table every 20 seconds
import all; # Default is import all
export all; # Default is export none
preference 254; # Protect existing routes
}

# This pseudo-protocol watches all interface up/down events.
protocol device {
scan time 10; # Scan interfaces every 10 seconds
}

filter out_BGP { if net ~ [ 10.2.2.0/24 ] then accept; else ...

Voir la suite
Résolue

Certificat et StormShield

Posée par Jean Korn dans Administration

Bonjour

je souhaiterais acquérir un certificat SSL chez Gandi par exemple pour l'accès mon StormShield (portail captif, interface d'administration).

 

Chez Gandi, on me demande de générer un CSR. 

Dois je le faire sur le Stormshiedl et comment faire ?

Ou je peux le faire à partir de n'importe quelle poste ?

Merci

Résolue

remplacement boitier dans un HA

Posée par Nicolas Julien

Bonjour,

 

Je dois changer un Sn710 présent dans un HA et je voudrais connaitre la meilleur méthode pour intégrer le nouveau boitier dans le cluster ?

 

Merci

 

Nicolas

Résolue

DHCP multiples à faire passer dans VTI Stormshield

Posée par Thomas Authier dans Administration

Bonjour à tous.

J'ai un firewall Stormshield sur un site A et un autre sur un site B.

Actuellement un tunnel VPN IPSec est en place sur les deux Storms.

Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.

Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?

Résolue

INFORMATION SIGNATURE IPS

Posée par Marc Chevalier dans Securité

Bonjour,

je suis novice sur les équipements StormShield. Dans la partie Applications et Protections,il y a les profils d'inspection avec les signatures pour les applications, protections et malwares.

Souhaitant modifier ces règles je cherche à accèder à la base d'aide des signatures. En effet lorsque l'on clique sur aide on peux accéder à une description de la signature(détaillés ou non).

J'aimerais accéder à ces aides autre part qu'en passant sur le stormshield directement. Car pour interdire ou autoriser il faut queje comprenne le protocole etc.

 

Merci d'avance

Résolue

Latence openvpn

Posée par Pascal Le Bihan dans Administration

Bonjour à toutes et à tous, 

J'ai activé le service openvpn en TCP sur des stormshield 710 pour permettre à mes collègues de télétravailler. J'observe des latences énormes vers les machines de mon lan

A titre d'exemple j'ai un ping qui tourne vers la pate Lan et un autre vers la pate WAN

je peux monter jusqu'a 375ms sur la pate Lan alors que mon ping WAN est à 40ms environ. Mon ping Wan est un peu pourri car je suis en 4G.

J'ai tenté en IPSec, les latences sur la pate lan sont tres proches des latences WAN

 

Est ce un bug openvpn ? Paramétrage client ? 

J'utilise openvpn en mode TCP , l'accès WAN de mon routeur est une FTTB 100M et mes firewall sont en 3.9.0.

 

Merci pour vos idées et vos conseils

Pascal

Résolue

Active directory et VPN IPSEC

Posée par Gaëtan Lagraviere dans Fonctionnalités et système

Bonjour à tous,

Administrateur système et réseaux au sein d'une entreprise, je souhaite mettre en place un nouveau site distant (site B) avec un controleur de domaine pour mon active directory qui est localisé sur le site A.

J'ai donc monté un VPN IPSEC entre les 2 sites et j'ai autorisé via les règles de filtrage ces machines à parler ensemble.

Jusque là, pas de problème, les machines communiquent bien entre elles, elles se ping, je peux faire des bureaux à distance de l'une sur l'autre etc... La seule chose que je ne peux faire est d'intégrer le serveur site B dans le domaine du site A et le nslookup me renvoie un server unknown aussi.

Sur l'active directory du site A, j'ai bien rajouté le site B dans les sites ainsi que son sous réseau utilisé, et également entré sa plage ip dans la recherche inversée et j'ai mis l'inspection sur la règle de filtrage en IDS afin de ne pas me faire bloquer (je verrais cette inspection par la suite).

J'ai également monté un autre...

Voir la suite
Résolue

NAT Static - Points importants

Posée par Jean-Marie Horel dans Fonctionnalités et système

Bonjour,

Avant toute remaques je précise ma situation, je suis technicien d'amélioration continue en entreprise, j'ai un DUT GEII et une licence pro mécatronique. Mon travail tourne autour de l'automatisme, de l'informatique de la robotique et forcément du réseau.. Bref

Nous avions mis en place un boitier pour Natter plusieurs adresse du réseau OT vers le réseau IT. Nous souhaitons migrer ces translation vers le stormshield. Mais là après multiple essai rien n'y fait.

J'ai installé la plateforme virtuelle de formation EVA1 et refais le LAb sur les translation et plouf.. Je cherche donc depuis 3/4 semaines. Avez-vous une liste de prérequis à vérifier ou de points importants ?

 

Voici la configuration de la virtualisation :

 

Out : 192.168.1.142/24
IN : 10.0.0.254/24
DMZ1 : 172.16.2.1/24

VM debian avec les IP 11/12/... montée

Politique Pass All copiée puis ajout d'une translation statique 172.16.2.11 <> 192.168.1.143 avec publication ARP.

La route par défaut est...

Voir la suite
Résolue

Vlan et bridge, mais un peu en mode tordu

Posée par Lgrain25 dans Administration

Bonjour à tous.

A une heure tardive ( c'est peut être pas le meilleur moment), en réfléchissant à une infra client ou je configure un vlan  pour isoler mon NAS de sauvegarde et ainsi bénéficier de mon firewall pour le protéger un peu plus, je me suis posé la question:

Imaginons un lan en 192.168.1.0/24 par ex avec des pc et un serveur. Dans mes 10 pc , j'ai par exemple 5 de productions et 5 administratifs.

Je crée un vlan ou je mets mes 5 administratifs et un vlan ou je mets mes 5 productions et un vlan ou je mets mon serveur.

Je ne change pas le plan d'adressage IP des équipements. Sur mon switch je configure 3 ports en untag sur chacun des Vlans sur lequel je viens brancher un cable par vlan sur mes interfaces de mon firewall qui sont toutes dans le même bridge.

Si je gère des règles de flux par segment de réseau , est ce que je peux autoriser/bloquer des flux entre mes vlans.

Je ne vois pas ce qui m'empêcherais de le faire, mais on ne sait jamais ;) Y a quand même...

Voir la suite
Messages d'alerte