56 Membres 1311 Contributions

Open Community

Questions

Non résolue

Stromshield

Posée par Enzo Rovelli dans Appliances virtuelles

Bonjour,

Pour mon projet de fin d'année je dois concevoir un réseau multisite avec des appliances stormshield et je voulais savoir si je devais mettre en place un routage inter-vlan sur le routeur R1 ou est-ce-que tout se fait avec le firewall Stormshield. Sachant que il y a deux réseaux de ce type , site principal et site distant. Merci à vous,

Non résolue

The GreenBow avec Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je recherche 1 coup de main sur 1 problème que je n'arrive pas à comprendre.

Je veux administrer 1 Netasq v9 et les serveurs placés derrière depuis 1 PC d'admin, via un Tunnel VPN. Pour cela j'ai The GreenBow. J'arrive à monter le Tunnel, mais je n'arrive à rien.

Je ne peux pas administrer mon NetAsq depuis le PC via le Tunnel. l'IP du PC est bien autorisé pour le Webadmin. Les flux passent bien dans le Tunnel. L'écoute réalisé sur le Netasq (tcpdump enc0) montre bien le SYN, le SYN/ACK, mais jamais le ACK. Pourtant le Ping de fonctionne.

Lorsque je coupe le Tunnel, tout fonctionne.

Un autre comportement que je ne comprend pas. En activant le slot "Pass All" j'arrive à joindre les serveurs (Bureau à distance) situés derrière le NetAsq, avec le Tunnel ouvert.

Si j'active le slot ou se trouve mes règles de flux, toujours avec le Tunnel ouvert, j'ai le même fonctionnement qu'avec le WebAdmin (SYN, SYN/ACK, mais pas de ACK)

Quelqu'un aurait-il 1 idée pour m'aider...

Voir la suite
Non résolue

Mise en place d'une solution de convergence

Posée par Nicolas P dans Matériels et performances

Bonjour,

 

pour des raisons de cybersécurité, je suis en train de mettre en place 2 SN910 en coupure de 2 LAN. Les interconnexions entre ces 2 LAN sont des liens optiques avec chacun 2 VLAN taggés.

Ma 1ère et principale contrainte est de ne pas toucher aux confs des équipements réseaux du LAN2, et j'ai toute liberté sur les équipements du LAN1.

Dans un premier temps j'avais configuré les 2 SN910 en mode bridge et tout fonctionnait nominalement. Hors lors de la perte d'un équipement réseau d'une part ou d'autre du FW les flux ne sont pas reroutés. en effet je me suis aperçu que les SN910 ne font pas de remontée d'état des ports. Autrement dit, vu du LAN1, pour les flux qui transitent via le premier FW (celui de gauche); si il y a coupure de l'interco coté LAN2 de ce FW, mon LAN enverra toujours vers ce FW et le trafic n'arrivera pas à destination.

J'ai ensuite mis en place du routage entre mes 2 FW via un lien en parallèle du lien HA.

Là tout fonctionne en cas de...

Voir la suite
Non résolue

Logs qui ne remontent pas dans SVC

Posée par Fabien Tessier dans Appliances virtuelles

Bonjour à tous,

 

Je suis l'heureux possesseur d'un SN2100 auquel viendra surement s'y ajouter un 2ème sous peu. J'ai donc installé SVC et j'ai voulu le configurer afin de faire remonter mes logs du firewall.

Après avoir configuré la partie Syslog en TCP TLS comme indiqué dans la doc Stormshield et également configué le svc-configurator afin de lui spécifier que c'était du TLS je n'ai malheureusement rien qui remonte dans SVC.
Pourtnant le SN2100 et le SVC se pinguent mutuellement et je n'ai aucune règle pouvant m'interdire un quelconque accès entre les 2 !


Ce qui paraissait somme toute assez simple me pose du coup problème et je ne vois pas où voir en SSH sur mon SVC si des logs remontent bien et ne seraient pas interprétés.

Si quelqu'un avait une réponse ce serait extrêmement sympathique

 

Merci à tous et bonne fin de journée

1 fichier joint - En cours, merci de recharger la page dans quelques secondes.

Non résolue

ssl server rejected the connection

Posée par Palma Alexandre dans Administration

Bonjour , 

Le proxy ssl de mon stormshield semble bloquer la connexion à un site malgré que celui ci ne soit pas dans une classification interdite , j'ai aussi essayé de modifier les paramètres ssl > proxy en étant le plus permissif possible mais toujour pas d'accès au site , j'ai l'erreur : ssl server rejected the connection dans les logs . Avez vous une idée sur le paramètrage a effectuer pour autoriser ce site. Merci.

Non résolue

Configuration NAT

Posée par Jean Korn dans Administration

Bonjour, j'aurai besoin d'un peu d'aide.

Il faudrait que j'ajoute une règle à notre stormshield pour permettre l'accès à partir d'un internet à un serveur.

Je souhaite que le visiteur qui accède à  "mon-ip-public:8083" soit dirigé vers "monserveurlocal:443" pourriez-vous m'éclairer sur la manière de paramétrer le stormshield ?

Merci

Résolue

Ping aléatoire en outside

Posée par T H dans Administration

Bonjour, je suis administrateur réseau dans une entreprise et nous avons récemment achetés deux stormshield SN510, sur l'un d'entre eux j'ai configuré :

-une interface outside (qui va vers un autre routeur interne qui renvoie vers internet)

-une interface inside (qui va vers le réseau 192.168.95.X/24)

J'ai configuré les routes et les règles de filtrage d'interface à interface.

J'ai un pc en 192.168.95.100 dans inside qui arrive a ping 8.8.8.8 google.fr par exemple

mais celui-ci ne ping pas psg.fr (exemple), il ping un site sur deux ce que je ne comprends absolument pas ! exemple :

Aucun proxy n'est présent sur le réseau.

le nslookup arrive a tout résoudre.

le traceroute m'indique le bon chemin et part bien sur l'autre routeur interne qui lui n'a aucun problème.

Une fois arrivé sur un navigateur même les ip que j'arrive à ping, je n'arrive pas à les atteindres sur le navigateur.

Pouvez-vous m'aider a comprendre pourquoi ce stormshield bloque la connection ?

 

Non résolue

[STORMSHIELD] Détection DOS / DDOS

Posée par Bartounet Bartounet dans Securité

Bonjour à tous.

J'ai un cluster de Firewall Stromshield SN2100 en entreprise.

J'aimerai savoir si il existe des indicateurs simples à superviser afin de détecter d'éventuelles attaques DOS / DDOS ?

 

J'ai aussi le syslog svc installé qui collecte les traces.

 

 

Résolue

Problème Exchange SN200

Posée par John Doe

Bonjour,

Je viens de mettre en place un SN200 et je rencontre un problème.

Tout fonctionne correctement en interne, les postes ont accès au serveur Exchange et aucun problème d'envoi et réception.

Le problème que je rencontre se trouve au niveau des téléphones mobiles, qui eux n'arrivent plus à se synchroniser.

Avez vous une idée d'ou peut venir le problème.

Merci d'avance pour votre aide.

Non résolue

Probleme haute disponibilite

Posée par Harry Elmaleh dans Appliances virtuelles

Bonjour,

 

Je dispose de 2 pare feu stormshield (virtuelles), j'ai bien reusis a faire la haute dispo sur le 1er mais sur le 1eme au moment de rejoindre la haute dispo j'ai le message d'erreur ci joint

 

pour info : j'ai bien verifier le mot de passe et adresse ip c'est les bon

Non résolue

Problème stormshield SN310

Posée par Célia Marty dans Securité

Bonjour à tous,

Nous avons mis en place sur un réseau un sn310, dès le départ beaucoup d'alertes "mauvais numéros de séquence TCP" sont remontées.

Cette alerte serait présente à partir du moment ou il y aurait un problème sur le lien fibre. Mais ce qui m'étonne c'est que les alertes remontées sont sur l'IPS01 donc sur le flux sortant. Cela ne viendrait donc pas du lien fibre mais du LAN?

Est-ce que quelqu'un à déjà rencontré ce problème? Ces blocages peuvent-il générer des coupures sur des connexion?

 

 

Résolue

SVC : déclarer plusieurs appliances

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

je viens de déployer une vm SVC afin de centraliser les logs de toutes mes appliances installées dans chaque pays où nous avons une entité.

Pour le site maison où est installé SVC la discution avec le cluster SN700 fonctionne parfaitement.

j'ai ensuite configuré mes autres appliances qui sont connectées en IPSEC en implantant de la meme manière les certificats pour la discussion en TLS j'ai créé l'objet host de mon SVC avec l'ip de mon site centrale qui est bien joignable depuis les réseaux distants par les tunnels ipsec.

mais visiblement le syslog ne semble pas passer par le tunnel, y a t'il une règle de filtrage+NAT à faire afin de faire transiter les logs des firewalls distants vers le site central où SVC est hosté.

 

merci pour vos commentaires

Résolue

Releases notes LTSB manquantes

Posée par Eandry dans Présentation des dernières fonctionnalités

Bonjour à tous,

Les dernières release notes de la version LTSB s'arrêtent à la version 3.7.5, or nous sommes aujourd'hui à la version 3.7.8.

Est-ce que les releases notes sont publiées ailleurs que sur MyStormshield ?

Je n'aime pas trop installer des mises à jour sans connaitre leur contenu....

 

 

 

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

réseau ipsec considéré comme faisant parti du groupe "internet"

Posée par Fighter 777 dans Securité

Bonjour,

j'ai configuré un pont ipsec entre 2 réseaux, ça marchais bien, mes règles étaient bien utilisées, seul les utilisateurs d'une groupe pouvaient communiquer sur l'autre réseau.

 

 

mais je ne sais pas pourquoi, maintenant la plage ip configuré et considéré comme faisant parti du groupe internet...

ducoup les règles d'accès à internet permettent de communiquer avec le réseau distant.. sans que je puisse restreindre l'accès.

 

une idée de quoi ça pourrais venir ? j'ai l'impression que c'est depuis la version 3.9.0 (version d'origine 1.7.9)

 

Merci d'avance.

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Non résolue

Stromshield

Posée par Enzo Rovelli dans Appliances virtuelles

Bonjour,

Pour mon projet de fin d'année je dois concevoir un réseau multisite avec des appliances stormshield et je voulais savoir si je devais mettre en place un routage inter-vlan sur le routeur R1 ou est-ce-que tout se fait avec le firewall Stormshield. Sachant que il y a deux réseaux de ce type , site principal et site distant. Merci à vous,

Non résolue

The GreenBow avec Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je recherche 1 coup de main sur 1 problème que je n'arrive pas à comprendre.

Je veux administrer 1 Netasq v9 et les serveurs placés derrière depuis 1 PC d'admin, via un Tunnel VPN. Pour cela j'ai The GreenBow. J'arrive à monter le Tunnel, mais je n'arrive à rien.

Je ne peux pas administrer mon NetAsq depuis le PC via le Tunnel. l'IP du PC est bien autorisé pour le Webadmin. Les flux passent bien dans le Tunnel. L'écoute réalisé sur le Netasq (tcpdump enc0) montre bien le SYN, le SYN/ACK, mais jamais le ACK. Pourtant le Ping de fonctionne.

Lorsque je coupe le Tunnel, tout fonctionne.

Un autre comportement que je ne comprend pas. En activant le slot "Pass All" j'arrive à joindre les serveurs (Bureau à distance) situés derrière le NetAsq, avec le Tunnel ouvert.

Si j'active le slot ou se trouve mes règles de flux, toujours avec le Tunnel ouvert, j'ai le même fonctionnement qu'avec le WebAdmin (SYN, SYN/ACK, mais pas de ACK)

Quelqu'un aurait-il 1 idée pour m'aider...

Voir la suite
Non résolue

Mise en place d'une solution de convergence

Posée par Nicolas P dans Matériels et performances

Bonjour,

 

pour des raisons de cybersécurité, je suis en train de mettre en place 2 SN910 en coupure de 2 LAN. Les interconnexions entre ces 2 LAN sont des liens optiques avec chacun 2 VLAN taggés.

Ma 1ère et principale contrainte est de ne pas toucher aux confs des équipements réseaux du LAN2, et j'ai toute liberté sur les équipements du LAN1.

Dans un premier temps j'avais configuré les 2 SN910 en mode bridge et tout fonctionnait nominalement. Hors lors de la perte d'un équipement réseau d'une part ou d'autre du FW les flux ne sont pas reroutés. en effet je me suis aperçu que les SN910 ne font pas de remontée d'état des ports. Autrement dit, vu du LAN1, pour les flux qui transitent via le premier FW (celui de gauche); si il y a coupure de l'interco coté LAN2 de ce FW, mon LAN enverra toujours vers ce FW et le trafic n'arrivera pas à destination.

J'ai ensuite mis en place du routage entre mes 2 FW via un lien en parallèle du lien HA.

Là tout fonctionne en cas de...

Voir la suite
Non résolue

Logs qui ne remontent pas dans SVC

Posée par Fabien Tessier dans Appliances virtuelles

Bonjour à tous,

 

Je suis l'heureux possesseur d'un SN2100 auquel viendra surement s'y ajouter un 2ème sous peu. J'ai donc installé SVC et j'ai voulu le configurer afin de faire remonter mes logs du firewall.

Après avoir configuré la partie Syslog en TCP TLS comme indiqué dans la doc Stormshield et également configué le svc-configurator afin de lui spécifier que c'était du TLS je n'ai malheureusement rien qui remonte dans SVC.
Pourtnant le SN2100 et le SVC se pinguent mutuellement et je n'ai aucune règle pouvant m'interdire un quelconque accès entre les 2 !


Ce qui paraissait somme toute assez simple me pose du coup problème et je ne vois pas où voir en SSH sur mon SVC si des logs remontent bien et ne seraient pas interprétés.

Si quelqu'un avait une réponse ce serait extrêmement sympathique

 

Merci à tous et bonne fin de journée

1 fichier joint - En cours, merci de recharger la page dans quelques secondes.

Non résolue

ssl server rejected the connection

Posée par Palma Alexandre dans Administration

Bonjour , 

Le proxy ssl de mon stormshield semble bloquer la connexion à un site malgré que celui ci ne soit pas dans une classification interdite , j'ai aussi essayé de modifier les paramètres ssl > proxy en étant le plus permissif possible mais toujour pas d'accès au site , j'ai l'erreur : ssl server rejected the connection dans les logs . Avez vous une idée sur le paramètrage a effectuer pour autoriser ce site. Merci.

Non résolue

Configuration NAT

Posée par Jean Korn dans Administration

Bonjour, j'aurai besoin d'un peu d'aide.

Il faudrait que j'ajoute une règle à notre stormshield pour permettre l'accès à partir d'un internet à un serveur.

Je souhaite que le visiteur qui accède à  "mon-ip-public:8083" soit dirigé vers "monserveurlocal:443" pourriez-vous m'éclairer sur la manière de paramétrer le stormshield ?

Merci

Non résolue

[STORMSHIELD] Détection DOS / DDOS

Posée par Bartounet Bartounet dans Securité

Bonjour à tous.

J'ai un cluster de Firewall Stromshield SN2100 en entreprise.

J'aimerai savoir si il existe des indicateurs simples à superviser afin de détecter d'éventuelles attaques DOS / DDOS ?

 

J'ai aussi le syslog svc installé qui collecte les traces.

 

 

Non résolue

Probleme haute disponibilite

Posée par Harry Elmaleh dans Appliances virtuelles

Bonjour,

 

Je dispose de 2 pare feu stormshield (virtuelles), j'ai bien reusis a faire la haute dispo sur le 1er mais sur le 1eme au moment de rejoindre la haute dispo j'ai le message d'erreur ci joint

 

pour info : j'ai bien verifier le mot de passe et adresse ip c'est les bon

Non résolue

Problème stormshield SN310

Posée par Célia Marty dans Securité

Bonjour à tous,

Nous avons mis en place sur un réseau un sn310, dès le départ beaucoup d'alertes "mauvais numéros de séquence TCP" sont remontées.

Cette alerte serait présente à partir du moment ou il y aurait un problème sur le lien fibre. Mais ce qui m'étonne c'est que les alertes remontées sont sur l'IPS01 donc sur le flux sortant. Cela ne viendrait donc pas du lien fibre mais du LAN?

Est-ce que quelqu'un à déjà rencontré ce problème? Ces blocages peuvent-il générer des coupures sur des connexion?

 

 

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

réseau ipsec considéré comme faisant parti du groupe "internet"

Posée par Fighter 777 dans Securité

Bonjour,

j'ai configuré un pont ipsec entre 2 réseaux, ça marchais bien, mes règles étaient bien utilisées, seul les utilisateurs d'une groupe pouvaient communiquer sur l'autre réseau.

 

 

mais je ne sais pas pourquoi, maintenant la plage ip configuré et considéré comme faisant parti du groupe internet...

ducoup les règles d'accès à internet permettent de communiquer avec le réseau distant.. sans que je puisse restreindre l'accès.

 

une idée de quoi ça pourrais venir ? j'ai l'impression que c'est depuis la version 3.9.0 (version d'origine 1.7.9)

 

Merci d'avance.

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Non résolue

Problème Stormshield SN310

Posée par Arnaud Pontier dans Fonctionnalités et système

Bonjour à tous,

Nouvel utilisateur des parefeu stormshield me voila confronté à un soucis.

mon stormshield est connecté à internet de la manière suivante :

 

@IP Poste : 192.168.10.5/24

 

@IP tormshield :

Out : 172.16.50.226/30 (WAN)

In : 192.168.10.252/24 (LAN)

 

@IP BOX SFR :

172.16.50.225/30

 

j'ai ouvert toutes les règles afin de tous laisser passer, la passerelle par defaut (routeur) : 172.16.50.225/30

 

depuis un poste sur mon LAN je ping la passerelle LAN, la patte WAN du stormshield, mais je n'arrive pas à aller plus loin, impossible de joindre le 172.16.50.225/30

je suppose un oublie de ma part, si quelqu'un peut m'aider.

 

Cordialement

 

arnaud

 

Non résolue

Documentation matrice de flux

Posée par Boby Black dans Trucs et Astuces

Bonjour,

Actuellement en pleine monté en compétence sur la technologie StormShield je cherche à vulgariser la matrice de flux (Filtrage & Nat) pour mes collègues via une documentation intuitif et évolutif. Principalement sous forme de schémas mais n'excluant pas d'autres solutions.

 

Je n'ai pas trouvé d'exemple à mon goût en cherchant sur la toile. J'ai trouvé cet article qui se rapproche de ma problématique, ne voulant pas resortir un vieux poste je vous demande quel documentation vous utilisez dans vos infrastructures contenant plus de 200 règles pour travailler en équipe et favoriser d'éventuels transferts de compétences  ?

Merci d'avance pour votre aide.

Cordialement,

bb

Non résolue

Firewall SN510 avec deux liens internet

Posée par Isonic dans Administration

Bonjour je cherche à configurer sur un SN510 deux connexions vers internet

Sur mon SN j'ai donc la borne 1 vers Orange , la borne 2 vers mon reseau interne et la borne 3 vers SFR.

J'ai paramétré les liens Orange et SFR de la meme façon , je ne fait pas de commutation en automatique je fais simplement un basculement à la main mais le lien SFR ne focntionne pas.

Savez vous si il existe des tutos pour ce type de paramétrage ?

 

Merci

 
Non résolue

SNMP v3

Posée par Fred Watson dans Appliances virtuelles

Bonjour à tous, 

J'aimerai configurer du snmpv3 sur mon Netasq U70s mais il y a une rubrique où je ne sais pas quoi remplir car je ne sais pas à quoi ça correspond.  

C'est dans Notifications -> Agent SNMP -> onglet SNMPV3 et dans le tableau de droite "Serveur". À quoi correspond "identifiant (engine ID) ? S'il vous plaît ! 

 

 

Merci d'avance. 

Fred

Non résolue

Stormshield 4g et accès distant

Posée par Ajowan Lechien dans Securité

Bonjour,

Je suis a la recherche d'information permettant de me connecter a distance a mon lan via une wonnexion 4G
Pour rappel une connexion 4G ne permet pas un access direct à Intenet. On est ds un LAN operateur et il faut passer par une passerelle de l'operateur.
L'adresse IP attribuée au routeur privé n'est pas la meme que l'adresse IP publique.

J'aimerai donc configurer un VPN entre mon stormshield et un serveur distant qui lui aurai une adresse publique fixe.
J'ai un VPS chez OVH qui me propose une installation d'OpenVPN serveur. Mais je ne parvient pas a comprendre comment configurer mon stormshield pour que celui-ci opère comme un client sur mon serveur OpenVPN.

Si vous avez une idee ou d'autres suggestions, je suis preneur.

Merci d'avance

 

Résolue

Ping aléatoire en outside

Posée par T H dans Administration

Bonjour, je suis administrateur réseau dans une entreprise et nous avons récemment achetés deux stormshield SN510, sur l'un d'entre eux j'ai configuré :

-une interface outside (qui va vers un autre routeur interne qui renvoie vers internet)

-une interface inside (qui va vers le réseau 192.168.95.X/24)

J'ai configuré les routes et les règles de filtrage d'interface à interface.

J'ai un pc en 192.168.95.100 dans inside qui arrive a ping 8.8.8.8 google.fr par exemple

mais celui-ci ne ping pas psg.fr (exemple), il ping un site sur deux ce que je ne comprends absolument pas ! exemple :

Aucun proxy n'est présent sur le réseau.

le nslookup arrive a tout résoudre.

le traceroute m'indique le bon chemin et part bien sur l'autre routeur interne qui lui n'a aucun problème.

Une fois arrivé sur un navigateur même les ip que j'arrive à ping, je n'arrive pas à les atteindres sur le navigateur.

Pouvez-vous m'aider a comprendre pourquoi ce stormshield bloque la connection ?

 

Résolue

Problème Exchange SN200

Posée par John Doe

Bonjour,

Je viens de mettre en place un SN200 et je rencontre un problème.

Tout fonctionne correctement en interne, les postes ont accès au serveur Exchange et aucun problème d'envoi et réception.

Le problème que je rencontre se trouve au niveau des téléphones mobiles, qui eux n'arrivent plus à se synchroniser.

Avez vous une idée d'ou peut venir le problème.

Merci d'avance pour votre aide.

Résolue

SVC : déclarer plusieurs appliances

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

je viens de déployer une vm SVC afin de centraliser les logs de toutes mes appliances installées dans chaque pays où nous avons une entité.

Pour le site maison où est installé SVC la discution avec le cluster SN700 fonctionne parfaitement.

j'ai ensuite configuré mes autres appliances qui sont connectées en IPSEC en implantant de la meme manière les certificats pour la discussion en TLS j'ai créé l'objet host de mon SVC avec l'ip de mon site centrale qui est bien joignable depuis les réseaux distants par les tunnels ipsec.

mais visiblement le syslog ne semble pas passer par le tunnel, y a t'il une règle de filtrage+NAT à faire afin de faire transiter les logs des firewalls distants vers le site central où SVC est hosté.

 

merci pour vos commentaires

Résolue

Releases notes LTSB manquantes

Posée par Eandry dans Présentation des dernières fonctionnalités

Bonjour à tous,

Les dernières release notes de la version LTSB s'arrêtent à la version 3.7.5, or nous sommes aujourd'hui à la version 3.7.8.

Est-ce que les releases notes sont publiées ailleurs que sur MyStormshield ?

Je n'aime pas trop installer des mises à jour sans connaitre leur contenu....

 

 

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Résolue

Communiquer deux interfaces SN510

Posée par Bd 41 dans Administration

Bonjour,

A l'heure actuelle, ma société n'utilise pas de VLAN.

Par conséquent, je dispose sur mon SN 510 : 

  • 1x Patte WAN
  • 1x Patte LAN (avec multipes @IP, le FW fait passerelle de chaque sous réseau). 

Ce que j'ai fait, j'ai paramétré un switch avec 2 VLANS :

  • LAN 192.168.95.0/24 - VLAN 95
  • MGMT 192.168.90.0/24 - VLAN 90.
  • Côté switch (192.168.90.10), je suis connecté au p3 de mon SN510 en trunk.
  • Côté SN510, j'ai créé une interface en p3 (192.168.91.100) et deux interfaces VLANS dessus (192.168.90.100 & 95.100 avec les bons ID VLANS correspondants à mon switch). 

Mon SN510 communique sans souci avec mon switch. 

Malheureusement, impossible de ping le switch depuis mon PC (connecté sur le LAN classique). Est-il possible de faire communiquer deux interfaces de mon SN510 sans faire de bridge ? J'ai beau avoir ouvert certains flux, rien ne passe.. 

Merci par avance pour votre aide,

Cordialement,

BD.

Résolue

VPN SSL et client Openvpn sous Linux

Posée par Isonic dans Administration

Bonjour , je viens de faire quelques essais de connexions avec le client openvpn sous Linux

et j'ai une déconnexion au bout de 30 secondes.

Le PC est sosu Ubuntu 18.04 et la connexion ne fonctionne pas lorsque j'utilise le network manager de Ubuntu par contre si je fais une connexion en ligne de commande cela fonctionne bien.

Si vous avez une solution ou une idée

Merci

 
Résolue

Problème SIP SN 710

Posée par Pascal Le Bihan dans Fonctionnalités et système

Bonjour à toutes, bonjour à tous.

J'ai actuellement un problème de voip avec mes SN710. J'utilise des téléphones en Centrex chez OVH. Lorsque je regarde le register des téléphones chez OVH, ils sont tous enregistré avec MonAdresseIpPublic:5060 en source.

De ce fait je me suis apercu avec WireShark que les téléphones reçoivent des paquets qui ne leur sont pas destiné.

Je pense avoir désactiver toute la partie SIP dans les profil d'inspection et ma règle autorisant le traffic des téléphone est en FW et non IPS

Comment se fait il que le handshake se fasse sur le 5060 et non pas sur un port aléatoire ? 

En vous remerciant pour votre aide

Pascal

 

 

Résolue

Stomrshield - Comment atteindre son ip publique depuis son lan ?

Posée par Adrien Dasnel dans Trucs et Astuces

Bonjour,

 

J'espère avoir posté au bon endroit. J'ai un SN310 et je souhaite atteindre mon ip publique depuis mon LAN. L'idée c'est de pouvoir monter un cloud en interne ou les utilisateurs pourront partager les liens vers l'extérieur (sinon si je laisse en local ils auront une URL du type 192.168.0...:8015/cloud et ça ne fonctionnera pas. Demander de leur remplacer l'url c'est pas pratique non plus. 

En fait je ne sais pas comment ça marche/fonctionne car depuis son domicile, avec une box on peut "sortir et rentrer" en tapant son ip publique depuis son poste. Mais avec un Stormshield y'a quelque-chose de spécifique à faire ? Je sais pas si c'est clair... si il vous faut des infos en plus, n'hésitez pas, merci !

Résolue

Compatibilité client SSL 32b SNS 3.7 ?

Posée par Julien Auger dans Administration

Bonjour,

Est-ce que la version 3.7 LTSB est compatible avec le client SSL en version 2.4 (le dernier à être compatible 32b me semble) ?

 

J'avais trouvé la liste des compatibilité sur la base documentaire mais impossible de remettre la main dessus...

 

Merci.

 

Bonne journée

Résolue

Perte d'accés à un SN300 ( Plus de ping, plus d'accés à l'interface)

Posée par Manoël Perignon dans Fonctionnalités et système

Bonjour !

Je cherche désespérement une solution, ou une idée,  mais je n'en trouve pas dans la documentation !

Je suis intervenu sur un SN300 sur lequel il y avait une grosse perte de débit inexpliquée ... 40 M en entrée, 1 en sortie ...

Je ne connais pas du tout ce modèle, je parcoure l'interface ...je coupe, j'y reviens, et plus rien ?? je le liste bien en faisant un scan réseau, son IP remonte, mais impossible pour autant de le pinger ( Connexion time out) et impossible de me connecter dessus !?

Une idée du souci ? évidemment un reboot ne change rien ...

Dernière solution, un reset usine ? j'ai un backup de la config ( .na), si je restaure ce backup ensuite, je récupère complétement la configuration précédente ?

Merci pour votre aide !

Résolue

gateway différente pour office 365

Posée par Julien Auger dans Trucs et Astuces

Bonjour,

J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.

La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)

J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.

J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams

mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...

Une idée pour améliorer ?

 

Bonne journée

 

Julien

Résolue

Gateway multiples sur le même réseau

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je me renseigne actuellement sur le fonctionnement du l'objet "routeur" sur un SN910. Sur les documentations que je trouve, l'objet routeur utilise deux gateways qui sont sur des réseaux différents en utilisant donc des interfaces de sortie différentes. Ce qui a pour impact de doubler les règles de NAT.

La question que je pose est la suivante. Est-il possible d'utiliser un objet routeur composé de deux gateways mais qui seraient dans le même réseau. Ce qui me permettrait d'avoir de la HA sur mes gateway sans pour autant complexifier les régles de NAT.

L'alernative pourrait être d'utiliser une VIP entre mes deux gateway et j'utilise ma VIP comme gateway par defaut. C'est peu etre préférable ? Qu'en pensez vous ?

Merci d'avance pour votre aide,

Cordialement,

GJ

Résolue

Probleme de DNS

Posée par Isonic dans Fonctionnalités et système

Bonjour , j'ai un probleme de DNS sur mon reseau et surtout lorsque nous utilisons google pour effectuer les recherches.

Mon Infra :

Box  <> SN Stromshield <> Routeur Cisco <> Switch Cisco <> Vlan 1 (Laptops)

                                                                                     <> Vlan 2 (Laptops)

                                                                                     <> Vlan 3 (Laptops)

                                                                                     <> Vlan 4  (Serveurs)

 

Dans le Vlan 4 celui des serveurs j'ai mon Controleur de domaine AD / DNS / DHCP

Dans le parametrage je pointe les DNS sur mon Controleur de domaine mais la résolution DNS sur les Laptops est...

Voir la suite
Résolue

VPN SSL client

Posée par Isonic dans Trucs et Astuces

Bonjour,

Je cherche un lien  pour télécharger la derniere version du client VPN SSL Stromshield

c'est pas directement dispo sur le site du fabricant ?

 

Merci

 

 

 
Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Résolue

Problems with SSL VPN client

Posée par Vjeran Perinovic dans Fonctionnalités et système

Hi, I see this is French community so sorry because I'm writing in English. Can't find english stormshield community. 

I have U250S-A device with 3.7.3. FW

I have downloaded from MyStormshield.eu latest VPN SSL client v  2.8.0.

I have configured my device to allow SSL connections, LDAP, access rights... All is fine as I can see in documentation, and here on this community. But when I test my connection on a client it almost instant says: Unable to connect to the UTM: User not allowed

But user is allowed in Users>access privileges>detailed access

I don't see anything in my UTM log, no connection attempts. 

On client this connection attempt goes too fast with that error. Am I missing somethnig?

In my client log last line is "Need hold release from management interface, waiting..."

Thank you !

 

 

Résolue

Attribut Radius Filter-id sur SN910

Posée par Gael J. dans Fonctionnalités et système

Bonjour,

Je cherche à mettre en place une authentification Radius pour le "VPN SSL Portail" de mon stormshield SN910.

Mon serveur Radius fonctionne bien et j'arrive à envoyer un attribut supplémentaire nommé "filter-id" pour retourner également le groupe de l'utilisateur.

Ma question est la suivante. Comment puis-je indiquer au SN910 qu'il doit prendre en compte cette attribut supplémentaire "filter-id" pour s'appuyer dessus dans sa gestion des permissions ?

Merci d'avance pour votre aide.

Cordialement,

Gael J.

 

 

Messages d'alerte