120 Membres 1190 Contributions

Open Community

Questions

Non résolue

NAT VPN SSL

Posée par Joffrey B

Bonjour,

Je rencontre quelques difficultés dans la configuration des routes / règles entre mon VPN SSL et le reste de mon LAN.  

Côté configuration, j'ai une interface externe avec une l'IP 192.168.1.10. A cette interface j'ai attaché un modem OVH que j'ai configuré en PPOE. 

Mon but est de permette aux itinérants de se conencter au réseau de l'entreprise.

J'ai donc

1. Activé le VPN SSL avec l'IP public de ma box OVH, renseigné les objets réseaux ...

2. Ajouté une route de retour pour la passerelle firewall_Ovh-modem_peer (Passerelle correspond au modem PPOE) sur l'interface Ovh-Modem

3. Ajouté une route statique pour joindre mon réseau SSL : Passerelle = firewall_Ovh-modem_peer pour l'interface Ovh-Modem

4. Ajouté les règles de filtrage

Mon VPN monte bien avec le client SSL stormshield en version 2.7, mais je n'arrive pas à joindre mon lan. 

De plus, avec l'outil Real Time monitor pour chaque ping, test d'accès sur un équipement de mon LAN, j'ai le message...

Voir la suite
Non résolue

SN300 - Problème de règles pour un modem

Posée par Joffrey B dans Administration

Bonjour, 

J'ai un modem OVH technicolor actuellement configuré en mode routeur sur une interface de mon SN300. Cet accès est fonctionnelle.

Je souhaite passer ce modem en mode bridge pour faire pointer l'IP public directement sur le stormshield. Mai j'ai quelques problèmes de configuration du fait que je n'ai aucun accès internet en bridge.

La démarche que j'ai adoptée est la suivante : 

J'ai modifié l'interface en spécifiant l'adresse IP public de mon modem OVH et j'ai créé un modem PPOE avec les informations de connexion rattachées à cette interface.

J'ai ensuite créé une règle NAT qui dit : 

Trafic original : Network_Internals / Internet sur interface WAN3 (Interface sur laquelle mon modem est branché) / Any 

Trafic après translation : Firewall_Wan3 (ip public soit l'ip de mon interface ) / ephemeral_fw / Any

 

Je ne vois pas trop ce que j'ai raté. Pourriez-vous m'aiguiller un peu s'il vous plaît ? 

Je vous remercie d'avance et vous souhaite une bonne fin...

Voir la suite
Non résolue

perte de connexion wifi android

Posée par Fighter 777 dans Securité

Bonjour, j'ai un petit soucis que je n'arrive pas à solutionner.

 

j'ai un parefeu sn510, une box en mode routeur sur le port 1, et sur le port 2 j'ai un point d'accès wifi (version allégé)

Les deux sont sur le même bridge et lorsque je connecte mon telephone, celui-ci passe son temps à se connecter et se déconnecter.

 

j'ai deux SSID (vlan1 et un autre), quand je me connecte sur le deuxieme, je n'ai pas de problème.

 

La configuration du nat renvoi les connexions pour internet sur le routeur.
Les interfaces du pare-feu servant de passerelles.

je n'ai pas de problèmes si j'autorise le filtre :

Telephone vers internet [toutes les destination] [tous les ports]

Ducoup je sèche un peu...

J'ai mis une alerte mineur sur la règles en question et à part des requètes dns, je n'ai rien d'autres :S

Résolue

Virtual appliance ARKOON

Posée par Lionel Billia dans Appliances virtuelles

Bonjour,

 

Nous possédons actuellement une appliance virtuelle Arkoon qui se trouve sur un matériel (ESX) obsolète.

Nous désirons migrer cette appliance sur un nouvel hôte de virtualisation.

Je voudrais savoir comment se comporte la licence suite à la migration ?

Pour information j'ai déjà effectué un test de migration, visiblement la licence se comporte comme possédant des jetons d'accès auprès des serveurs de licence Arkoon (visiblement 5 jetons d'accès).

Quels sont les moyens de contourner ce phénomène (fixer les adresses mac sur l hote ESX par exemple?) afin de ne pas avoir recours au support Arkoon?

Merci.

 

 

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Résolue

PROXY Interne et NAT

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je dispose d'un arkoon en version 5.0-120703_0024. J'utilise l'arkoon en tant que proxy http sur mes postes clients internes.

Actuellement, le plan d'adressage entre mon opérateur et mon firewall est public.

A l'occasion d'un changement d'opérateur (et donc de plan d'adressage IP public), je souhaite passer sur un adressage privé entre mon opérateur et moi (avec routage de la plage publique vers mon firewall par l'opérateur).

Comment faire en sorte que le proxy interne à l'arkoon utilise toujours une IP publique pour aller sur internet alor que l'interface externe est en adressage privé ?

Suffit il de tout simplement réaliser une règle d'accès avec l'objet arkoon en source et any en destination et NAT source sur une IP publique ?

Merci d'avance pour votre aide.

Non résolue

SN 300 Bloquer réseau TOR

Posée par Matlox dans Securité

Bonjour,

J'ai un SN300 en V2.7.2.

Je m'aperçois que certains de mes users utilisent Tor Browser... Est-ce qu'il est possible de bloquer les connexions au réseau Tor ?

Vous l'avez deja fait ?

Merci,
Matlox

Non résolue

Portail d'authentification du VPN SSL sur Stormshield SN200

Posée par Paul H. dans Securité

Bonjour,

 

J'aimerais setup un serveur web avec différents services sur mon réseau local. Le soucis est que, quand je tape sur mon ip publique en https, je suis directement redirigé vers le portail d'auth du VPN, ce qui est problématique étant donné que mes services sont censé être sur le port 443 (via un proxy nginx, selon les sous-domaines).

Existe-t-il un moyen de faire en sorte que le portail d'authentification ne soit pas sur le port 443 ? (mon VPN est sur le port 9443 pourtant).

Non résolue

Problème de configuration NETASQ U70

Posée par Easys dans Administration

Bonjour,

Je me déméne depuis pret de 3 semaines pour configurer un NETASQ U70, je n'arrive pas à bien le configurer. 

Quelqu'un pourai m'aidait SVP please.

Je m'explique j’ai un NETASQ relié à deux ABO un ADSL et l'autre 4G et j'ai deux formes WIFI connecter. 

J'ai suivi un tuto NETASQ qui est expliqué comment faire un load Balancing entre deux connexions. 

https:/www.youtubecom/watch? v=clayprqse_s 

J'ai configuré le NAT et le filtrage avec comme test tous passe sans bloquer quel ou tels ports. Là j'arrive à faire des pings d'Ip, et sur un navigateur web je voie un site par son Ip. 

Mais quand je veux taper google.com ou même fair un ping de domaine là rien ne fonctionne, je comprends pas pour quoi. 

Pouvez-vous m'aider SVP.

Non résolue

Flux à travers Vpn Ipsec ou SSL

Posée par Lgrain25

Bonjour.

J'ai un client qui dispose d'un sn510 en version 3.4.1.Il avait un pfsense avant

Nous avons monté le vpn ssl pour une personne qui se connecte à distance pour ouvrir une session RDP. Tout fonctionne normalement. Par contre il utilise un logiciel Proginov dans lequel on doit renseigner les imprimantes que l'on souhaite utiliser dans le logiciel. Je ne peux utiliser la redirection des imprimantes du RDP car le nom de celle-ci change à chaque connexion, du coup il faudrait déclarer l'imprimante à chaque connexion, donc impossible à faire.

Sur le poste , nous avions configurer le service de routage et dans le pfsense, nous avions indiqué une route lui disant que pour aller vers l'imprimante, il passait par le vpn SSL. L'imprimante a le poste comme passerelle. depuis le serveur nous pouvions imprimer sur l'équipement à partir du moment ou le vpn ssl était monté  biensur.

Pouvons nous faire la même chose avec un stormshield, ou quelque chose de ressemblant?

Bonne...

Voir la suite
Non résolue

SNMP Nb de sessions actives

Posée par Fredj21 dans Matériels et performances

Bonjour,

Comment peut on récupérer, en Snmp, le nombre de sessions actives d'un boitier SN2000 ?

D'allieur, comment connaitre le nombre de sessions en CLI (console ssh) ?la commande  "sfctl –s stat" propose des cumuls sur une période donnée, mais pas à un instant T .

Quel Oid requéter ? 

Cdt

 

 

 

Non résolue

Dépassement de capacité dans un attribut HTML

Posée par Joffrey B dans Administration

Bonjour,

Je suis actuellement en train de mettre en place des règles de filtrage permettant de filtrer le traffic https. Toutefois je rencontre quelques problèmes notamment au niveau du twitter sur la page de login où l'alarme "Dépassement de capacité dans un attribut HTML" remonte. Il m'est impossible de siasir le mot de passe de mon compte twitter. 

Selon-vous, est-il nécéssaire d'autoriser la règle "Dépassement de capacité dans un attribut HTML (Contexte:id --> HTTP:303)" ou est-ce qu'il y a quelque chose que j'ai loupé ? 

Je vous remercie d'avance et vous souhaite une bonne journée.

Cordialement.

Non résolue

Portail Admin Web planté

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

Je rencontre un petit souci sur un cluster SN700 en firmware 3.1.2

Lorsque je me log au portail d'administration, le tableau de bord ne charge pas et j'obtiens une bannière qui me dit que l'application de répond plus avec deux options :

Patienter 15s ou retour au tableau de bord

seulement aucune des 2 options n'aboutie et je ne peux donc plus avoir accès au portail d'aministration de mon clutster ce qui est très embetant.

j'ai toujours accès en SSH mais je ne connais pas les lignes de commandes pour basculer d'un firewall vers un autre.

en espérant que l'un d'entre vous pourra m'aider et sans provoquer une interruption de service

merci par avance

Stephane

Non résolue

Vlan traversant BGP session

Posée par Loic Verriez

Bonjour à tous,

une petite question me traverse l'esprit .

Une session bgp entre deux equipements peut elle traverser par le biais d'un vlan traversant un firewall SN300. ?

Par avance, merci.

 

NB:Equipement1 Session BGP ------------||||FW|||-------BGP Equipement2

 

Non résolue

Exclusion SPNEGO portail

Posée par Maxime Berlioz dans Securité

Bonjour,

 

j'aurai besoin d'un petit coup de pouce au sujet du Spngeo.

Nous l'avons activé pour certains utilisateurs, et ils arrivent depuis peu de temps un comportemet étrange.

L'utilisateur se retrouve bannie du portail d'authentification (j'ai une alarme par mail)

L'utilisateur n'a donc plus accès à internet car l'authentification est pour la sortie sur le web.

Auriez-vous une idée d'où peut venir le souci ?

merci d'avance

 

Non résolue

Problème de config NETASQ U70.

Posée par Easys dans Matériels et performances

Bonjour tout le monde,

J'ai un problème je possède un NETASQ U70 qui fonctionne très bien,
après une modification de mon réseau ou j'ai deux connexions internet j'ai voulu faire du load balancing sur une connexion ADSL et une GSM.

J'ai voulu réinitialiser le NETASQ mais je tous ces effacer.

Quand je me connecte en mode console j'arrive sur un prompt Linux, si je veux me connecter à l'interface web 10.0.0.254 ça mouline et après j'ai sur une page web 'NOT FOUND'".

Que faire je n'ai pas de cdrom ou autres, je suis bloqué.

Merci de votre aide SVP.

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

NAT VPN SSL

Posée par Joffrey B

Bonjour,

Je rencontre quelques difficultés dans la configuration des routes / règles entre mon VPN SSL et le reste de mon LAN.  

Côté configuration, j'ai une interface externe avec une l'IP 192.168.1.10. A cette interface j'ai attaché un modem OVH que j'ai configuré en PPOE. 

Mon but est de permette aux itinérants de se conencter au réseau de l'entreprise.

J'ai donc

1. Activé le VPN SSL avec l'IP public de ma box OVH, renseigné les objets réseaux ...

2. Ajouté une route de retour pour la passerelle firewall_Ovh-modem_peer (Passerelle correspond au modem PPOE) sur l'interface Ovh-Modem

3. Ajouté une route statique pour joindre mon réseau SSL : Passerelle = firewall_Ovh-modem_peer pour l'interface Ovh-Modem

4. Ajouté les règles de filtrage

Mon VPN monte bien avec le client SSL stormshield en version 2.7, mais je n'arrive pas à joindre mon lan. 

De plus, avec l'outil Real Time monitor pour chaque ping, test d'accès sur un équipement de mon LAN, j'ai le message...

Voir la suite
Non résolue

SN300 - Problème de règles pour un modem

Posée par Joffrey B dans Administration

Bonjour, 

J'ai un modem OVH technicolor actuellement configuré en mode routeur sur une interface de mon SN300. Cet accès est fonctionnelle.

Je souhaite passer ce modem en mode bridge pour faire pointer l'IP public directement sur le stormshield. Mai j'ai quelques problèmes de configuration du fait que je n'ai aucun accès internet en bridge.

La démarche que j'ai adoptée est la suivante : 

J'ai modifié l'interface en spécifiant l'adresse IP public de mon modem OVH et j'ai créé un modem PPOE avec les informations de connexion rattachées à cette interface.

J'ai ensuite créé une règle NAT qui dit : 

Trafic original : Network_Internals / Internet sur interface WAN3 (Interface sur laquelle mon modem est branché) / Any 

Trafic après translation : Firewall_Wan3 (ip public soit l'ip de mon interface ) / ephemeral_fw / Any

 

Je ne vois pas trop ce que j'ai raté. Pourriez-vous m'aiguiller un peu s'il vous plaît ? 

Je vous remercie d'avance et vous souhaite une bonne fin...

Voir la suite
Non résolue

perte de connexion wifi android

Posée par Fighter 777 dans Securité

Bonjour, j'ai un petit soucis que je n'arrive pas à solutionner.

 

j'ai un parefeu sn510, une box en mode routeur sur le port 1, et sur le port 2 j'ai un point d'accès wifi (version allégé)

Les deux sont sur le même bridge et lorsque je connecte mon telephone, celui-ci passe son temps à se connecter et se déconnecter.

 

j'ai deux SSID (vlan1 et un autre), quand je me connecte sur le deuxieme, je n'ai pas de problème.

 

La configuration du nat renvoi les connexions pour internet sur le routeur.
Les interfaces du pare-feu servant de passerelles.

je n'ai pas de problèmes si j'autorise le filtre :

Telephone vers internet [toutes les destination] [tous les ports]

Ducoup je sèche un peu...

J'ai mis une alerte mineur sur la règles en question et à part des requètes dns, je n'ai rien d'autres :S

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Non résolue

SN 300 Bloquer réseau TOR

Posée par Matlox dans Securité

Bonjour,

J'ai un SN300 en V2.7.2.

Je m'aperçois que certains de mes users utilisent Tor Browser... Est-ce qu'il est possible de bloquer les connexions au réseau Tor ?

Vous l'avez deja fait ?

Merci,
Matlox

Non résolue

Portail d'authentification du VPN SSL sur Stormshield SN200

Posée par Paul H. dans Securité

Bonjour,

 

J'aimerais setup un serveur web avec différents services sur mon réseau local. Le soucis est que, quand je tape sur mon ip publique en https, je suis directement redirigé vers le portail d'auth du VPN, ce qui est problématique étant donné que mes services sont censé être sur le port 443 (via un proxy nginx, selon les sous-domaines).

Existe-t-il un moyen de faire en sorte que le portail d'authentification ne soit pas sur le port 443 ? (mon VPN est sur le port 9443 pourtant).

Non résolue

Problème de configuration NETASQ U70

Posée par Easys dans Administration

Bonjour,

Je me déméne depuis pret de 3 semaines pour configurer un NETASQ U70, je n'arrive pas à bien le configurer. 

Quelqu'un pourai m'aidait SVP please.

Je m'explique j’ai un NETASQ relié à deux ABO un ADSL et l'autre 4G et j'ai deux formes WIFI connecter. 

J'ai suivi un tuto NETASQ qui est expliqué comment faire un load Balancing entre deux connexions. 

https:/www.youtubecom/watch? v=clayprqse_s 

J'ai configuré le NAT et le filtrage avec comme test tous passe sans bloquer quel ou tels ports. Là j'arrive à faire des pings d'Ip, et sur un navigateur web je voie un site par son Ip. 

Mais quand je veux taper google.com ou même fair un ping de domaine là rien ne fonctionne, je comprends pas pour quoi. 

Pouvez-vous m'aider SVP.

Non résolue

Flux à travers Vpn Ipsec ou SSL

Posée par Lgrain25

Bonjour.

J'ai un client qui dispose d'un sn510 en version 3.4.1.Il avait un pfsense avant

Nous avons monté le vpn ssl pour une personne qui se connecte à distance pour ouvrir une session RDP. Tout fonctionne normalement. Par contre il utilise un logiciel Proginov dans lequel on doit renseigner les imprimantes que l'on souhaite utiliser dans le logiciel. Je ne peux utiliser la redirection des imprimantes du RDP car le nom de celle-ci change à chaque connexion, du coup il faudrait déclarer l'imprimante à chaque connexion, donc impossible à faire.

Sur le poste , nous avions configurer le service de routage et dans le pfsense, nous avions indiqué une route lui disant que pour aller vers l'imprimante, il passait par le vpn SSL. L'imprimante a le poste comme passerelle. depuis le serveur nous pouvions imprimer sur l'équipement à partir du moment ou le vpn ssl était monté  biensur.

Pouvons nous faire la même chose avec un stormshield, ou quelque chose de ressemblant?

Bonne...

Voir la suite
Non résolue

SNMP Nb de sessions actives

Posée par Fredj21 dans Matériels et performances

Bonjour,

Comment peut on récupérer, en Snmp, le nombre de sessions actives d'un boitier SN2000 ?

D'allieur, comment connaitre le nombre de sessions en CLI (console ssh) ?la commande  "sfctl –s stat" propose des cumuls sur une période donnée, mais pas à un instant T .

Quel Oid requéter ? 

Cdt

 

 

 

Non résolue

Dépassement de capacité dans un attribut HTML

Posée par Joffrey B dans Administration

Bonjour,

Je suis actuellement en train de mettre en place des règles de filtrage permettant de filtrer le traffic https. Toutefois je rencontre quelques problèmes notamment au niveau du twitter sur la page de login où l'alarme "Dépassement de capacité dans un attribut HTML" remonte. Il m'est impossible de siasir le mot de passe de mon compte twitter. 

Selon-vous, est-il nécéssaire d'autoriser la règle "Dépassement de capacité dans un attribut HTML (Contexte:id --> HTTP:303)" ou est-ce qu'il y a quelque chose que j'ai loupé ? 

Je vous remercie d'avance et vous souhaite une bonne journée.

Cordialement.

Non résolue

Portail Admin Web planté

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

Je rencontre un petit souci sur un cluster SN700 en firmware 3.1.2

Lorsque je me log au portail d'administration, le tableau de bord ne charge pas et j'obtiens une bannière qui me dit que l'application de répond plus avec deux options :

Patienter 15s ou retour au tableau de bord

seulement aucune des 2 options n'aboutie et je ne peux donc plus avoir accès au portail d'aministration de mon clutster ce qui est très embetant.

j'ai toujours accès en SSH mais je ne connais pas les lignes de commandes pour basculer d'un firewall vers un autre.

en espérant que l'un d'entre vous pourra m'aider et sans provoquer une interruption de service

merci par avance

Stephane

Non résolue

Vlan traversant BGP session

Posée par Loic Verriez

Bonjour à tous,

une petite question me traverse l'esprit .

Une session bgp entre deux equipements peut elle traverser par le biais d'un vlan traversant un firewall SN300. ?

Par avance, merci.

 

NB:Equipement1 Session BGP ------------||||FW|||-------BGP Equipement2

 

Non résolue

Exclusion SPNEGO portail

Posée par Maxime Berlioz dans Securité

Bonjour,

 

j'aurai besoin d'un petit coup de pouce au sujet du Spngeo.

Nous l'avons activé pour certains utilisateurs, et ils arrivent depuis peu de temps un comportemet étrange.

L'utilisateur se retrouve bannie du portail d'authentification (j'ai une alarme par mail)

L'utilisateur n'a donc plus accès à internet car l'authentification est pour la sortie sur le web.

Auriez-vous une idée d'où peut venir le souci ?

merci d'avance

 

Non résolue

Problème de config NETASQ U70.

Posée par Easys dans Matériels et performances

Bonjour tout le monde,

J'ai un problème je possède un NETASQ U70 qui fonctionne très bien,
après une modification de mon réseau ou j'ai deux connexions internet j'ai voulu faire du load balancing sur une connexion ADSL et une GSM.

J'ai voulu réinitialiser le NETASQ mais je tous ces effacer.

Quand je me connecte en mode console j'arrive sur un prompt Linux, si je veux me connecter à l'interface web 10.0.0.254 ça mouline et après j'ai sur une page web 'NOT FOUND'".

Que faire je n'ai pas de cdrom ou autres, je suis bloqué.

Merci de votre aide SVP.

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Non résolue

VPN IPsec vers SRX Juniper

Posée par Dzirii Djahir dans Fonctionnalités et système

Bonsoir à tous!

Cela fait maintenant depuis 1 semaine que j'essaie d'établir un tunnel VPN IPSec fonctionnel de bout en bout avec mon hébergeur.

De mon coté, j'ai un Stormshield U800 en version 2.5, mon adressage est en 10.78.0.0/14.

Coté hébergeur, il possède un SRX Juniper et son adressage est en 192.168.300.0/24.

Le tunnel s'établit correctement, j'arrive à pigner sa passerelle mais depuis cette dernière impossible de pigner mon réseau.

Les flux sont évidemment ouvert de mon coté.

Lors de mes diagnostiques :

Depuis mon firewall, un tcpdump je constate que je reçois bien les paquets ESP portant le bon SIP correspondant au tunnel.

En traçant les flux depuis mon firewall j'ai constaté que les paquets arrivaient avec une IP qui n'a rien à voir avec le tunnel IPSec, l'IP est en 10.10.qqcho qui ccorespond en réalité à une une IP Virtuelle configurée sur son Juniper.

En autorisant cette IP et à l'aide de Wireshark sur un de mes postes clients, le poste reçoit bien...

Voir la suite
Non résolue

Creation d'un CRON

Posée par Olivier Eveno dans Administration

Bonjour,

Je souhaite purger les log de ma base de donnée de mon ARKOON FAST 360 - P1206

Quand j'execute cette commande manuellment tout se pase corretement :

  • root /etc/rc.d/init.d/mysqld flush >/dev/null 2>&1

Je voulais que cette tache s'excute dans un CRON j'ai suivi cette documentataion relevée sur ce Forum :

  • Pour créer une entrée privée, il faut créer (ou modifier) le fichier /config_card/etc/local.cron et insérer une ligne par entrée :
    • [min] [hour] [day of month] [month] [day of week] [cmd line]
    • Exemple pour lancer /etc/rc.d/init.d/mysqld flush tous les jours à 5h00 :

0 5 * * * root /etc/rc.d/init.d/mysqld flush >/dev/null 2>&1

  • Il faut ensuite changer les droits du fichier via la commande :

chmod 600 /config_card/etc/local.cron

  • Pour que cette entrée soit prise en compte, relancez le service :

/etc/rc.d/init.d/crond restart

 L'exécution du cron devrait ensuite ajouter une entrée lors de son exécution dans le fichier de journaux ...

Voir la suite
Résolue

Virtual appliance ARKOON

Posée par Lionel Billia dans Appliances virtuelles

Bonjour,

 

Nous possédons actuellement une appliance virtuelle Arkoon qui se trouve sur un matériel (ESX) obsolète.

Nous désirons migrer cette appliance sur un nouvel hôte de virtualisation.

Je voudrais savoir comment se comporte la licence suite à la migration ?

Pour information j'ai déjà effectué un test de migration, visiblement la licence se comporte comme possédant des jetons d'accès auprès des serveurs de licence Arkoon (visiblement 5 jetons d'accès).

Quels sont les moyens de contourner ce phénomène (fixer les adresses mac sur l hote ESX par exemple?) afin de ne pas avoir recours au support Arkoon?

Merci.

 

 

Résolue

PROXY Interne et NAT

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je dispose d'un arkoon en version 5.0-120703_0024. J'utilise l'arkoon en tant que proxy http sur mes postes clients internes.

Actuellement, le plan d'adressage entre mon opérateur et mon firewall est public.

A l'occasion d'un changement d'opérateur (et donc de plan d'adressage IP public), je souhaite passer sur un adressage privé entre mon opérateur et moi (avec routage de la plage publique vers mon firewall par l'opérateur).

Comment faire en sorte que le proxy interne à l'arkoon utilise toujours une IP publique pour aller sur internet alor que l'interface externe est en adressage privé ?

Suffit il de tout simplement réaliser une règle d'accès avec l'objet arkoon en source et any en destination et NAT source sur une IP publique ?

Merci d'avance pour votre aide.

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Résolue

Proxy SSL

Posée par Maxime Berlioz dans Securité

Bonjour à tous,

Nos médecins souhaiteraient passer sur de l'authentication par CPS (Carte professionnel de santé) pour ce site : https://sic.certdc.inserm.fr/login.php

Hélas ils recoivent une erreur (voir PJ) avant d'avoir l'applet leur demandant de choisir le certificat sur la carte et de taper leur code. Ce problème ce présente uniquement sur ce site.

Je n'ai aucune trace dans les logs du stormshield, dans le proxy SSL je vois juste les requêtes vers le site "https://sic.certdc.inserm.fr/login.php" en pass mais rien d'autres

Pour tester, j'ai fais une règle pass all pour ce poste et tout passe correctement mais ça reste difficile à dépanner surtout quand on a pas de trace...

Auriez-vous une idée d'où peut venir cette erreur ?

Merci d'avance

 

 

Résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Résolue

SNS 3.X : Hostcheck sur objet routeur.

Posée par Dgo

 Bonjour

Je suis en train de tester les objet routeur avec des passerelles de secours.

J'ai visionné la video Youtube sur la chaine Netasq concernant les objets routeur et il est spécifié que le "hoscheck" ne fonctionne pas sur des accès DHCP ...

Or mon lien principal ainsi que mon lien secours sont en DHCP ... et il etait écrit à l'époque (la video date de 2015) " DHCP availability is not checked, this beahaviour may change in future versions ..".

Qu'en est-t-il aujourd'hui ?  Est-ce toujours le cas ?

Résolue

SPNEGO.BAT ??????????

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je souhaiterai faire un labo pour tester l'authentification transparente SPNEGO.

J'ai bien trouvé la documentation Stomshield sipulant : "Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?")."

Depuis mon espace : MyStormshield.eu, je ne trouve pas cette documentation ni le script.

Est-ce que quelqu'un pourrait m'aider ????

Merci d'avance.

Malcolm

Résolue

Certificat admin via une IGC

Posée par Guillaume V dans Administration

Bonjour, je possède un parc de plusieurs d'Arkoon. Actuellement un de mes Arkoon et configuré comme AC et m'a permi de générer les certificats firewall et le certificat admin des tous mes Appliances. Est il possible d'utiliser une IGC pour générer les certificats admin et FireWall ? Et ainsi eviter d'avoir un Arkoon comme AC ? Merci

Résolue

[SMC] rattachement sn700 distant impossible

Posée par Francois Netherlands dans Administration

bonjour,

j' ai su ajouter une appliance locale dans SMC avec la methode du paquet de deploiement.

pour une appliance distante( derriere VPN ipsec) en utilisant la meme methode je rencontre des diffcultées

en mettant un pc à la place du SMC j' administre à distance donc cette appliance en HTTPS

j' ai ajouté le port SMC dans mes regles d' admin distant

 

Help me !!

Résolue

FAST 360 6.0/12 "An undefined error related to the SSL connecion occured"

Posée par Nicolas Gregoire dans Administration

Bonjour,

L'authentification à Arkoon Manager renvoie le message d'erreur suivant : "An undefined error related to the SSL connecion occured".

Les connexions via Arkoon Monitoring et en SSH fonctionnent sans problème.

Je n'ai pas trouvé de solution applicable dans https://support-https.arkoon.net/downloads/internal_tools/Procedure_Diagnostic_FAST360-Flux_d_Administration.pdf et dans le forum.

La réponse du support au thread http://open.arkoon.net/aoc/arkoon-manager-6-0-9-pour-linux semble être une piste, mais l'arborescence de Java semble avoir changé (nous utilisons Java 8 Update 161) en rendant cette solution non applicable en l'état.

Merci d'avance !

Résolue

notification mail sur alarme

Posée par Hubert Hla dans Administration

Bonjour à tous

cela fait qq jours que j'essai de mettre en place la notification  par mail sur déclenchement d'alarmes (je voudrais tester la fonctionnalité ...)  sur un SN210  en V3.4

mon souci est que sur le mail destinataire (DST), je ne reçois rien !



-j'ai configuré l'onglet Alerte E-mail  avec un compte mail Orange Authentifié (FW)

 j'ai créé sur Outlook le compte mail (FW) en question pour tester mes paramètres de connexion (ident+password   smtp.orange.fr  port 465  user identifié   cnx sécurisé SSL) tout cela est ok: ==> Avec Outlook j'envoie et reçois bien depuis FW  vers l' email  DST.

-j'ai déclaré un email destinataire   DST
-sur le profil utilisé /protection,aplication/avancé   j'ai modifié les alarmes ciblées (+mail)
-je vois passer les alarmes ciblées au tableau de bord
-pas de mails reçu de FW  sur DST

Sur out du SN210 je vois (tcpdump) le trafic smtps(465) avec smtp.orange.fr  toutes les minutes (comme demandé). La lecture des...

Voir la suite
Résolue

Configuration DHCP pour VLAN AVAYA

Posée par Olivier Eveno dans Administration

Bonjour,

 

Je souhaiterais dans mon ARKOON FAST 360 P1206 configurer un DHCP pour mon VLAN Voix

Mais je ne sias pas ou et comment parametrer cette configuration

Je l'ai déjà en place sur un PFSENSE ce qui donne quelque chose comme cela :

Port Number : 242

Format : Text

Value : HTTPSRVR=WWW.XXX.YYY.ZZZ,MCIPADD=WWW.XXX.YYY.ZZZ

 

Dans la'ttente de vous lire ...

 

Cordialement

 

Résolue

Problème d'objet sur SN710

Posée par Franck Ivaldi dans Administration

Bonsoir.

Je m'occupe depuis peu de l'administration d'un StormShield SN710.

J'ai mis en place les différents sous-réseaux ainsi que les règles de filtrage/NAT et la création d'environ 200 objets/IP. Tout fonctionne bien.

Le Firewall m'a été livré par Orange sous son Firmware Original

Depuis la dernière mise à jour, dans les LOGS, tous les objets portent le même nom (Nom de la source = anonymized) alors qu'avant je distinguais les biens des machines.

Les objets existent toujours dans la liste.

Que faut-il faire pour retrouver l'affichage initiale ? 

 

Merci de vos lumières.

Résolue

NAT source dans un vpn

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je sollicite votre aide pour un configuration vpn un peu tirée par les cheveux. Sur le site source, j'ai un d'arkoon 1808 en version 6.09. Le lan local est dans un réseau en 10.10.105.0/24

Je dois monter un vpn sur un site en 10.224.0.0 /12. Le problème est que le site de destination en 10.224.0.0 est lui-même connecté à un réseau en 10.10.105.0.

Je n'ai pas la main sur le réseau de destination. Donc je me suis dis que je vais faire du nat à la source afin de cacher mes IP local au réseau de destination.

J'ai configuré un vpn entre le réseau de destination en 10.224.0.0 et un lan local (bidon) en 100.64.2.0/24 (Cette adressage m'a été communiqué par les personnes gérants le réseau de destination). Le vpn monte bien , là pas de problème.

Maintenant je me dis que je vais natter mon lan local en 10.10.105.0 via une ip en 100.64.2.0.

J'ai configuré une interface avec l'adresse 100.64.2.254 et j'ai créé un règle de flux qui autorise le flux depuis mon...

Voir la suite
Résolue

Stormshiel Real Time Monitor et remontées d'info depuis firmware 3.4 SN710 ?

Posée par Didier Fourt dans Fonctionnalités et système

Bonjour,

Suite à la mise à jour du firmware en 3.4 de mon SN710, je n'ai plus d'infos qui remonte au niveau de l'application "Real Time Monitor" c'est à dire les connexions et évènements aux niveau des machines.

J'ai entendu dire que ce firmware activait une focntion "Anonymization" mais j'aimerais bien pouvoir voir ce que font mes machines.

Auriez-vous une piste ?

Merci
Didier

Résolue

tentative de bruteforce détectée

Posée par Siegfried M. dans Administration

Bonjour,

Je suis en SNS 3.4 et j'ai eu ce message ce matin:

Major 2018-01-29 10:46:49 xa4.xxxxxx.xxx Firewall_bridge  Cette adresse est bannie de l'accès au portail d'authentification : tentative de bruteforce détectée

Je ne sais pas quoi faire. Surtout que sur le Real time monitor je n'ai plus accès ni aux machines en quarantaine ni aux utilisateurs.

Merci pour votre aide.

PS: va t-il y avoir un real time monitor pour la version 3.4?

Cordialement.

Résolue

Problème Arkoon Monitoring 6.0-12

Posée par Boom Basstic dans Administration

Bonjour,

 

depuis ce matin quand je lance Arkoon Monitoring 6.0-12, sur mon ordinateur (windows10), le logiciel se lance, j'ai la fenetre bleue de lancement  qui apparait pendant une fraction de secondes, et puis plus rien. Le logiciel semble lancé, l'icone est dans ma barre des tâches, mais impossible d'avoir une fenetre qui s'affiche. Hier tout fonctionnait bien, je n'ai pas changé quoique ce soit sur mon OS. Le manager lui fonctionne correctement.

Y a t'il quelque part un log pour voir d'ou vient le probleme? ou si vous avez une solution, je vous en remercie d'avance.

Messages d'alerte