123 Membres 1206 Contributions

Open Community

Questions

Non résolue

ipsec site à site

Posée par Fighter 777 dans Administration

Bonjour,

 

je tente tant bien que mal d'établir une connexion ipsec d'un site A a un site B

 

j'ai bien paramétré les configurations ipsec mais je n'ai strictement aucun trafic qui active la connexion...

j'ai essayer de suivre la doc :
https://documentation.stormshield.eu/SNS_v1/fr/default.htm?turl=Documents%2Fconfigurationdusiteprincipal.htm

Cela parle uniquement de la configuration de la connexion ipsec et des règles de filtrages
et aucunement d'eventuelles règles de routage ou de NAT.

 

Ducoup est-ce normal ou le fais d'ajouter une connexion ipsec ajoute par défaut les règles de routage ?

 

Cordialement

Non résolue

QOS Update Windows 10

Posée par Karl dans Trucs et Astuces

Bonjour à tous,

Est ce que l'un de vous à déjà mis en place une QOS spécifique aux updates windows sans que cela ne puisse freiner des accès office 365 ?

Coté IP Reputation, pas de possibilité de s'éxecuter. Reste peut être à passer par l'application and protection en appliquant une QOS sur Système : Mise à jour Windows ?

Merci

Non résolue

Chrome 67 NET::ERR_CERT_COMMON_NAME_INVALID

Posée par Siegfried M. dans Administration

Bonjour,

 

Avec le filtrage SSL (authentification transparente SPNEGO) je recontre un problème sur Chrome 67:

NET::ERR_CERT_COMMON_NAME_INVALID

Savez vous comment solutionner le problème?

Je recontre également un souci sur IE 11 sur mes serveurs Citrix en 2012 R2, il doit y avoir un problème de cookie. Si quelqu'un a une piste?

Merci beaucoup.

Siegfried.

Non résolue

Problèmes pour paramétrer un pare-feu StormShield SN210

Posée par Elodie Keusseyan dans Administration

Bonjour à tous, 

Etant stagiaire dans un service informatique, j'ai pas mal de notions dans le domaine, mais parfois la mise en pratique s'avère toutefois complexe pour une débutant dans la pratique comme moi... c'est pourquoi je débarque sur ce forum, et fais appel à vous.

Je dois paramétrer un pare-feu StormShield SN210, et ce sans marche à suivre ni manuel d'utilisation.

J'en ai déjà paramétré dans le passé, via port série. Hors là, il n'y en a pas, j'ai un port console (mais ne sais pas trop si c'est comparable, à vrai dire je n'y ai pas encore touché), ainsi qu'un port RJ WAN, et 7 ports LAN. 

J'ai l'adresse IP du pare-feu à changer et les identifiants PPPoE à préconfigurer. 

J'ai donc suivi la procédure habituelle, le port LAN branché à mon PC, le WAN sur le réseau,  me connectant sur l'IP du pare-feu via mon navigateur, etc.. 

J'ai réussi à tout configurer me semble-t-il, mais déjà quelque chose me taraude : tous les ports se sont mis...

Voir la suite
Non résolue

spoofing ip sur une ip multicast autorisé dans les filtres

Posée par Fighter 777 dans Securité

Bonjour, j'ai un soucis concernant l'accès à une ip multicast sur le port ssdp.

 

J'ai autorisé internal_network à avoir accès à cette plage ip.
Toutefois, le pare-feu semble tout de même bloquer l'accès pour raison d'usurpation d'ip.

 

comment autoriser le multicast sans devoir désactiver le filtrage des tentatives de spoof ?

 

 

Cordialement.

Non résolue

VPN sur IP privée - difficultés de mise en oeuvre

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Ayant des difficultées a reprendre le sujet ci-après (https://open.arkoon.net/aoc/vpn-sur-ip-privee), je me permets de vous reposer la question et vous demander de l'aide :

J'ai un arkoon en version 6.0/3 XD.

J'ai un tunnel IPSEC qui fonctionne bien quand l'adressage IP entre mon opérateur et mon pare-feu est public.
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 90.90.90.0/24

Je passe l'adressage IP entre mon opérateur et moi en adressage privée, modifie le routage en conséquence et ajoute 90.90.90.90 dans l'anglet "avancé" de mon accès INTERNET (image jointe).
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 10.20.30.0/24 (IP ARKOON = 10.20.30.40, IP ROUTEUR INTERNET = 10.20.30.50)

Les flux sont traitées correctement par le pare-feu (flux entrant et sortant sur IP publique).

Malheureusement, chaque tentative de connexion depuis mon client de test (100.100.100.100) vers l'IP publique du VPN...

Voir la suite
Non résolue

Mise a jour U30

Posée par Fabien Gas dans Fonctionnalités et système

Bonjour,

j'ai acheter un netasq u30 d'occasion et plus sous maintenance. du coup impossible d'enregistrer mon produit et donc d'avoir un espace client.

 

quelqu'un pourrais me fournir les fichier maj pour mon u30 actuellement en version 9.0.7

 

Merci d'avance

Non résolue

Client VPN Stormshield (ou The greenbow) derrirere un Proxy

Posée par Gilles Salanie dans Administration

Bonjour à tous,

J'utilise une appliance Stormshield SN300 pour implementer un VPN IPSEC. Je souhaite m'y connecter via un client Windows Stormshield derriere le Proxy de ma boite, mais impossible de trouver dans la doc ou dans les menus du client où saisir les parametres de proxy (IP, Port, user, pass). J'ai testé le client The green bow (la source du client Stormshield) mais sans plus de succes. Le dossier d'install du client contient un fichier tgbvpn.conf mais celui-ci est chiffré... Auriez vous une idée ?

Merci d'avance pour votre aide

Gilles

Résolue

modif ip via edit config-card

Posée par Francois Netherlands dans Administration

bonjour,

j'edit la config-card d'une de mes appliance ARKOON

suite au REBOOT, ainsi que de l'ARRET - MARCHE mon IFCONFIG n' a pas ete mise à jour

j' ai essayé la commande : etc/init.d/Firewall restart sans succes  !!

je crois savoir qu' une commande : restart configcard /network existe mais je ne la trouve pas !!

merci d'avance

Résolue

Stormshield IPsec nomade clés partagées

Posée par Fighter 777 dans Administration

Bonjour j'ai un petit soucis pour connecter mon client à un serveur sn510 en utilisant les clés partagées.

 

je n'ai pas de problème avec le certificat et j'arrive à me connecter (partage de connexion internet, accès réseau interne).

 

Dans le tableau de bord, j'ai "utilisateur refusé dans la négociation ipsec", donc il trouve bien l'email de la clé partagée mais pour une raison quelconque, refuse de l'autoriser :S

 

Quelqu'un aurait-il une solution ?

 

Au passage, je n'arrive pas à faire passer le flux ipsec dans le proxy ssl, j'ai systématiquement un site injoignable.

 

Version sn510 : 3.5.1
Version client : 6.4

 

Merci d'avance

Résolue

Arkoon - Cluster HA P1206 v6.0/3

Posée par Jpperget dans Administration

Bonjour,

Je rencontre un soucis sur un cluster AK P1206, depuis quelques temps, j'ai remarqué que sur le manager (via un AMC) l'AK2 apparaissait déconnecté.
Sur le monitoring, les 2 AK sont vus sur toutes les interfaces

J'ai effectué différents tests basics (ping, tcpdump...) qui n'ont rien donné

AK2 (eth0) ne joint pas l'AK1
AMC ne joint pas l'AK2 (eth0)

nous avons redémarré AK2, puis on s'apercoit que l'heure était revenu en défaut (Aout 2011) et d'autres problèmes (résolution DNS, ping ko...)
l'heure a été corrigé via minarconf

AMC vers AK2 : test ICMP ko mais visible au niveau ARP

J'ai l'impression qu'il ne communique pas correctement sur l'interface avec l'AMC et l'AK1, pourtant il y a du trafic sur cette interface sur l'AK2
Il est également impossible de s'y connecter en SSH, j'ai pu m'y connecter via une autre interface

Actuellement sur l'AK2, j'ai ces logs

Jun 27 12:31:38 ak2 ntpd[16108]: kernel time sync status 0040
Jun 27 12:31:41 ak2 MGT[16035]: cannot join peer:...

Voir la suite
Non résolue

sur SN510 equivalence entre igbXX et ethernetXX

Posée par Laurent Grube dans Administration

bonjour j'ai une question concernant le nommage de chacun des ports.

sur la console d'administration les interfaces sont nommées : EthernetXX et en SNMP elles sont nommées igbXX

 

je voudrais savoir la correspondance.

 

merci pour votre aide.

Résolue

NAT VPN SSL

Posée par Joffrey B

Bonjour,

Je rencontre quelques difficultés dans la configuration des routes / règles entre mon VPN SSL et le reste de mon LAN.  

Côté configuration, j'ai une interface externe avec une l'IP 192.168.1.10. A cette interface j'ai attaché un modem OVH que j'ai configuré en PPOE. 

Mon but est de permette aux itinérants de se conencter au réseau de l'entreprise.

J'ai donc

1. Activé le VPN SSL avec l'IP public de ma box OVH, renseigné les objets réseaux ...

2. Ajouté une route de retour pour la passerelle firewall_Ovh-modem_peer (Passerelle correspond au modem PPOE) sur l'interface Ovh-Modem

3. Ajouté une route statique pour joindre mon réseau SSL : Passerelle = firewall_Ovh-modem_peer pour l'interface Ovh-Modem

4. Ajouté les règles de filtrage

Mon VPN monte bien avec le client SSL stormshield en version 2.7, mais je n'arrive pas à joindre mon lan. 

De plus, avec l'outil Real Time monitor pour chaque ping, test d'accès sur un équipement de mon LAN, j'ai le message...

Voir la suite
Résolue

SN300 - Problème de règles pour un modem

Posée par Joffrey B dans Administration

Bonjour, 

J'ai un modem OVH technicolor actuellement configuré en mode routeur sur une interface de mon SN300. Cet accès est fonctionnelle.

Je souhaite passer ce modem en mode bridge pour faire pointer l'IP public directement sur le stormshield. Mai j'ai quelques problèmes de configuration du fait que je n'ai aucun accès internet en bridge.

La démarche que j'ai adoptée est la suivante : 

J'ai modifié l'interface en spécifiant l'adresse IP public de mon modem OVH et j'ai créé un modem PPOE avec les informations de connexion rattachées à cette interface.

J'ai ensuite créé une règle NAT qui dit : 

Trafic original : Network_Internals / Internet sur interface WAN3 (Interface sur laquelle mon modem est branché) / Any 

Trafic après translation : Firewall_Wan3 (ip public soit l'ip de mon interface ) / ephemeral_fw / Any

 

Je ne vois pas trop ce que j'ai raté. Pourriez-vous m'aiguiller un peu s'il vous plaît ? 

Je vous remercie d'avance et vous souhaite une bonne fin...

Voir la suite
Non résolue

perte de connexion wifi android

Posée par Fighter 777 dans Securité

Bonjour, j'ai un petit soucis que je n'arrive pas à solutionner.

 

j'ai un parefeu sn510, une box en mode routeur sur le port 1, et sur le port 2 j'ai un point d'accès wifi (version allégé)

Les deux sont sur le même bridge et lorsque je connecte mon telephone, celui-ci passe son temps à se connecter et se déconnecter.

 

j'ai deux SSID (vlan1 et un autre), quand je me connecte sur le deuxieme, je n'ai pas de problème.

 

La configuration du nat renvoi les connexions pour internet sur le routeur.
Les interfaces du pare-feu servant de passerelles.

je n'ai pas de problèmes si j'autorise le filtre :

Telephone vers internet [toutes les destination] [tous les ports]

Ducoup je sèche un peu...

J'ai mis une alerte mineur sur la règles en question et à part des requètes dns, je n'ai rien d'autres :S

Résolue

Virtual appliance ARKOON

Posée par Lionel Billia dans Appliances virtuelles

Bonjour,

 

Nous possédons actuellement une appliance virtuelle Arkoon qui se trouve sur un matériel (ESX) obsolète.

Nous désirons migrer cette appliance sur un nouvel hôte de virtualisation.

Je voudrais savoir comment se comporte la licence suite à la migration ?

Pour information j'ai déjà effectué un test de migration, visiblement la licence se comporte comme possédant des jetons d'accès auprès des serveurs de licence Arkoon (visiblement 5 jetons d'accès).

Quels sont les moyens de contourner ce phénomène (fixer les adresses mac sur l hote ESX par exemple?) afin de ne pas avoir recours au support Arkoon?

Merci.

 

 

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Non résolue

ipsec site à site

Posée par Fighter 777 dans Administration

Bonjour,

 

je tente tant bien que mal d'établir une connexion ipsec d'un site A a un site B

 

j'ai bien paramétré les configurations ipsec mais je n'ai strictement aucun trafic qui active la connexion...

j'ai essayer de suivre la doc :
https://documentation.stormshield.eu/SNS_v1/fr/default.htm?turl=Documents%2Fconfigurationdusiteprincipal.htm

Cela parle uniquement de la configuration de la connexion ipsec et des règles de filtrages
et aucunement d'eventuelles règles de routage ou de NAT.

 

Ducoup est-ce normal ou le fais d'ajouter une connexion ipsec ajoute par défaut les règles de routage ?

 

Cordialement

Non résolue

QOS Update Windows 10

Posée par Karl dans Trucs et Astuces

Bonjour à tous,

Est ce que l'un de vous à déjà mis en place une QOS spécifique aux updates windows sans que cela ne puisse freiner des accès office 365 ?

Coté IP Reputation, pas de possibilité de s'éxecuter. Reste peut être à passer par l'application and protection en appliquant une QOS sur Système : Mise à jour Windows ?

Merci

Non résolue

Chrome 67 NET::ERR_CERT_COMMON_NAME_INVALID

Posée par Siegfried M. dans Administration

Bonjour,

 

Avec le filtrage SSL (authentification transparente SPNEGO) je recontre un problème sur Chrome 67:

NET::ERR_CERT_COMMON_NAME_INVALID

Savez vous comment solutionner le problème?

Je recontre également un souci sur IE 11 sur mes serveurs Citrix en 2012 R2, il doit y avoir un problème de cookie. Si quelqu'un a une piste?

Merci beaucoup.

Siegfried.

Non résolue

Problèmes pour paramétrer un pare-feu StormShield SN210

Posée par Elodie Keusseyan dans Administration

Bonjour à tous, 

Etant stagiaire dans un service informatique, j'ai pas mal de notions dans le domaine, mais parfois la mise en pratique s'avère toutefois complexe pour une débutant dans la pratique comme moi... c'est pourquoi je débarque sur ce forum, et fais appel à vous.

Je dois paramétrer un pare-feu StormShield SN210, et ce sans marche à suivre ni manuel d'utilisation.

J'en ai déjà paramétré dans le passé, via port série. Hors là, il n'y en a pas, j'ai un port console (mais ne sais pas trop si c'est comparable, à vrai dire je n'y ai pas encore touché), ainsi qu'un port RJ WAN, et 7 ports LAN. 

J'ai l'adresse IP du pare-feu à changer et les identifiants PPPoE à préconfigurer. 

J'ai donc suivi la procédure habituelle, le port LAN branché à mon PC, le WAN sur le réseau,  me connectant sur l'IP du pare-feu via mon navigateur, etc.. 

J'ai réussi à tout configurer me semble-t-il, mais déjà quelque chose me taraude : tous les ports se sont mis...

Voir la suite
Non résolue

spoofing ip sur une ip multicast autorisé dans les filtres

Posée par Fighter 777 dans Securité

Bonjour, j'ai un soucis concernant l'accès à une ip multicast sur le port ssdp.

 

J'ai autorisé internal_network à avoir accès à cette plage ip.
Toutefois, le pare-feu semble tout de même bloquer l'accès pour raison d'usurpation d'ip.

 

comment autoriser le multicast sans devoir désactiver le filtrage des tentatives de spoof ?

 

 

Cordialement.

Non résolue

VPN sur IP privée - difficultés de mise en oeuvre

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Ayant des difficultées a reprendre le sujet ci-après (https://open.arkoon.net/aoc/vpn-sur-ip-privee), je me permets de vous reposer la question et vous demander de l'aide :

J'ai un arkoon en version 6.0/3 XD.

J'ai un tunnel IPSEC qui fonctionne bien quand l'adressage IP entre mon opérateur et mon pare-feu est public.
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 90.90.90.0/24

Je passe l'adressage IP entre mon opérateur et moi en adressage privée, modifie le routage en conséquence et ajoute 90.90.90.90 dans l'anglet "avancé" de mon accès INTERNET (image jointe).
IP client = 100.100.100.100
IP tunnel IPSEC sur ARKOON = 90.90.90.90
Network INTERCO = 10.20.30.0/24 (IP ARKOON = 10.20.30.40, IP ROUTEUR INTERNET = 10.20.30.50)

Les flux sont traitées correctement par le pare-feu (flux entrant et sortant sur IP publique).

Malheureusement, chaque tentative de connexion depuis mon client de test (100.100.100.100) vers l'IP publique du VPN...

Voir la suite
Non résolue

Mise a jour U30

Posée par Fabien Gas dans Fonctionnalités et système

Bonjour,

j'ai acheter un netasq u30 d'occasion et plus sous maintenance. du coup impossible d'enregistrer mon produit et donc d'avoir un espace client.

 

quelqu'un pourrais me fournir les fichier maj pour mon u30 actuellement en version 9.0.7

 

Merci d'avance

Non résolue

Client VPN Stormshield (ou The greenbow) derrirere un Proxy

Posée par Gilles Salanie dans Administration

Bonjour à tous,

J'utilise une appliance Stormshield SN300 pour implementer un VPN IPSEC. Je souhaite m'y connecter via un client Windows Stormshield derriere le Proxy de ma boite, mais impossible de trouver dans la doc ou dans les menus du client où saisir les parametres de proxy (IP, Port, user, pass). J'ai testé le client The green bow (la source du client Stormshield) mais sans plus de succes. Le dossier d'install du client contient un fichier tgbvpn.conf mais celui-ci est chiffré... Auriez vous une idée ?

Merci d'avance pour votre aide

Gilles

Non résolue

sur SN510 equivalence entre igbXX et ethernetXX

Posée par Laurent Grube dans Administration

bonjour j'ai une question concernant le nommage de chacun des ports.

sur la console d'administration les interfaces sont nommées : EthernetXX et en SNMP elles sont nommées igbXX

 

je voudrais savoir la correspondance.

 

merci pour votre aide.

Non résolue

perte de connexion wifi android

Posée par Fighter 777 dans Securité

Bonjour, j'ai un petit soucis que je n'arrive pas à solutionner.

 

j'ai un parefeu sn510, une box en mode routeur sur le port 1, et sur le port 2 j'ai un point d'accès wifi (version allégé)

Les deux sont sur le même bridge et lorsque je connecte mon telephone, celui-ci passe son temps à se connecter et se déconnecter.

 

j'ai deux SSID (vlan1 et un autre), quand je me connecte sur le deuxieme, je n'ai pas de problème.

 

La configuration du nat renvoi les connexions pour internet sur le routeur.
Les interfaces du pare-feu servant de passerelles.

je n'ai pas de problèmes si j'autorise le filtre :

Telephone vers internet [toutes les destination] [tous les ports]

Ducoup je sèche un peu...

J'ai mis une alerte mineur sur la règles en question et à part des requètes dns, je n'ai rien d'autres :S

Non résolue

Créér sa propre liste d' IP réputation

Posée par Dgo dans Fonctionnalités et système

Bonjour

J'ai une liste de 16000 @ IP à bloquer ce qui est presque impossible avec mon boitier U500S.

  1. lors de l'import graphique des 16000 IP le processus plante ( Ticket ouvert auprès du support).
  2. lors de l'import le boitier arrive à ses limites vers les 10000 IP ( il refuse de créer de nouveaus hotes) ..
  3. les règles de flux n'acceptent pas plus de 3000 objets il me semble..  obligé de créer plusieurs règles de fulx avec des tranches de 3000 objets ..

Est-ce qu'il serait posible de créer sa propre liste d'ip réputation avec ces 16000 @ IP afin de contourner tous ces problèmes ?

Comme par exemple le groupe "bad" qui bloque des adresses ip connues pour etre malsaines ..

Mon désir es tdonc de me créer mon groupe d'indésirables

Cela résoudrait tout ce qui est listé plus haut ....

 

Cordialement,

 

 

Non résolue

Problème de configuration NETASQ U70

Posée par Easys dans Administration

Bonjour,

Je me déméne depuis pret de 3 semaines pour configurer un NETASQ U70, je n'arrive pas à bien le configurer. 

Quelqu'un pourai m'aidait SVP please.

Je m'explique j’ai un NETASQ relié à deux ABO un ADSL et l'autre 4G et j'ai deux formes WIFI connecter. 

J'ai suivi un tuto NETASQ qui est expliqué comment faire un load Balancing entre deux connexions. 

https:/www.youtubecom/watch? v=clayprqse_s 

J'ai configuré le NAT et le filtrage avec comme test tous passe sans bloquer quel ou tels ports. Là j'arrive à faire des pings d'Ip, et sur un navigateur web je voie un site par son Ip. 

Mais quand je veux taper google.com ou même fair un ping de domaine là rien ne fonctionne, je comprends pas pour quoi. 

Pouvez-vous m'aider SVP.

Non résolue

Flux à travers Vpn Ipsec ou SSL

Posée par Lgrain25

Bonjour.

J'ai un client qui dispose d'un sn510 en version 3.4.1.Il avait un pfsense avant

Nous avons monté le vpn ssl pour une personne qui se connecte à distance pour ouvrir une session RDP. Tout fonctionne normalement. Par contre il utilise un logiciel Proginov dans lequel on doit renseigner les imprimantes que l'on souhaite utiliser dans le logiciel. Je ne peux utiliser la redirection des imprimantes du RDP car le nom de celle-ci change à chaque connexion, du coup il faudrait déclarer l'imprimante à chaque connexion, donc impossible à faire.

Sur le poste , nous avions configurer le service de routage et dans le pfsense, nous avions indiqué une route lui disant que pour aller vers l'imprimante, il passait par le vpn SSL. L'imprimante a le poste comme passerelle. depuis le serveur nous pouvions imprimer sur l'équipement à partir du moment ou le vpn ssl était monté  biensur.

Pouvons nous faire la même chose avec un stormshield, ou quelque chose de ressemblant?

Bonne...

Voir la suite
Non résolue

Dépassement de capacité dans un attribut HTML

Posée par Joffrey B dans Administration

Bonjour,

Je suis actuellement en train de mettre en place des règles de filtrage permettant de filtrer le traffic https. Toutefois je rencontre quelques problèmes notamment au niveau du twitter sur la page de login où l'alarme "Dépassement de capacité dans un attribut HTML" remonte. Il m'est impossible de siasir le mot de passe de mon compte twitter. 

Selon-vous, est-il nécéssaire d'autoriser la règle "Dépassement de capacité dans un attribut HTML (Contexte:id --> HTTP:303)" ou est-ce qu'il y a quelque chose que j'ai loupé ? 

Je vous remercie d'avance et vous souhaite une bonne journée.

Cordialement.

Non résolue

Exclusion SPNEGO portail

Posée par Maxime Berlioz dans Securité

Bonjour,

 

j'aurai besoin d'un petit coup de pouce au sujet du Spngeo.

Nous l'avons activé pour certains utilisateurs, et ils arrivent depuis peu de temps un comportemet étrange.

L'utilisateur se retrouve bannie du portail d'authentification (j'ai une alarme par mail)

L'utilisateur n'a donc plus accès à internet car l'authentification est pour la sortie sur le web.

Auriez-vous une idée d'où peut venir le souci ?

merci d'avance

 

Non résolue

Effectuer un blocage par extension de nom de domaine

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour

Un de mes clients dispose d'un sn510, et il souhaite bloquer les accès sur certains sites internet mais par extension de nom de domaine. En gros , il veut bloquer les sites en extension ".ly" ou ".cn" ... par exemple.

Il avait ajouté dans la liste de nom de certificat des lignes du type "*.cn" ou "*.ly" pour interdire la connexion sur des sites dont les certificats étaient pour des sites faisant référence à ces extensions de domaine. Mais cela ne marche pas car si le ndd commence par ces noms ca bloque => LOGIQUE.

Donc auriez vous une idée sur comment bloquer des sites , puisque la géolocalisaiton ne prend pas en compte le nom du site , et les catégories non plus .

 

Bonne journée

Non résolue

SNS 2.5.2 probleme ETH0 up / down de facon aleatoire

Posée par Ludovic Lemoine dans Fonctionnalités et système

Bonjour,

 

Je rencontre un bien etrange probleme.

Sur mon U30S en version SNS 2.5.2 je constate depuis le Dashboard que mon interface eth0 ( interface in protégé ) genere trés regulierememt des remonter de type activé/ desactivé (cf piece jointe )

c'est aleatoire mais trés regulier, pour autant la navigation n'en semble pas affecté, j'ai pensé a un probleme physque, cable defectueux ou switch, j'ai remplacer le tout mais le probleme persiste.

 

j'avoue ne plus trop ou regarder.

 

Cordialement

Non résolue

Client VPN Stormshield 2.6

Posée par Axel Robert dans Fonctionnalités et système

Bonjour,

Pourquoi après des Mises à jour Windows le client VPN Stormshield version 2.6 ou 2.4 , ne veut plus fonctionner et je suis obligé de le désinstaller puis réinstaller pour que ma config de connexion fonctionne correctement alors que c'est Toujours la même.  Merci

Résolue

modif ip via edit config-card

Posée par Francois Netherlands dans Administration

bonjour,

j'edit la config-card d'une de mes appliance ARKOON

suite au REBOOT, ainsi que de l'ARRET - MARCHE mon IFCONFIG n' a pas ete mise à jour

j' ai essayé la commande : etc/init.d/Firewall restart sans succes  !!

je crois savoir qu' une commande : restart configcard /network existe mais je ne la trouve pas !!

merci d'avance

Résolue

Stormshield IPsec nomade clés partagées

Posée par Fighter 777 dans Administration

Bonjour j'ai un petit soucis pour connecter mon client à un serveur sn510 en utilisant les clés partagées.

 

je n'ai pas de problème avec le certificat et j'arrive à me connecter (partage de connexion internet, accès réseau interne).

 

Dans le tableau de bord, j'ai "utilisateur refusé dans la négociation ipsec", donc il trouve bien l'email de la clé partagée mais pour une raison quelconque, refuse de l'autoriser :S

 

Quelqu'un aurait-il une solution ?

 

Au passage, je n'arrive pas à faire passer le flux ipsec dans le proxy ssl, j'ai systématiquement un site injoignable.

 

Version sn510 : 3.5.1
Version client : 6.4

 

Merci d'avance

Résolue

Arkoon - Cluster HA P1206 v6.0/3

Posée par Jpperget dans Administration

Bonjour,

Je rencontre un soucis sur un cluster AK P1206, depuis quelques temps, j'ai remarqué que sur le manager (via un AMC) l'AK2 apparaissait déconnecté.
Sur le monitoring, les 2 AK sont vus sur toutes les interfaces

J'ai effectué différents tests basics (ping, tcpdump...) qui n'ont rien donné

AK2 (eth0) ne joint pas l'AK1
AMC ne joint pas l'AK2 (eth0)

nous avons redémarré AK2, puis on s'apercoit que l'heure était revenu en défaut (Aout 2011) et d'autres problèmes (résolution DNS, ping ko...)
l'heure a été corrigé via minarconf

AMC vers AK2 : test ICMP ko mais visible au niveau ARP

J'ai l'impression qu'il ne communique pas correctement sur l'interface avec l'AMC et l'AK1, pourtant il y a du trafic sur cette interface sur l'AK2
Il est également impossible de s'y connecter en SSH, j'ai pu m'y connecter via une autre interface

Actuellement sur l'AK2, j'ai ces logs

Jun 27 12:31:38 ak2 ntpd[16108]: kernel time sync status 0040
Jun 27 12:31:41 ak2 MGT[16035]: cannot join peer:...

Voir la suite
Résolue

NAT VPN SSL

Posée par Joffrey B

Bonjour,

Je rencontre quelques difficultés dans la configuration des routes / règles entre mon VPN SSL et le reste de mon LAN.  

Côté configuration, j'ai une interface externe avec une l'IP 192.168.1.10. A cette interface j'ai attaché un modem OVH que j'ai configuré en PPOE. 

Mon but est de permette aux itinérants de se conencter au réseau de l'entreprise.

J'ai donc

1. Activé le VPN SSL avec l'IP public de ma box OVH, renseigné les objets réseaux ...

2. Ajouté une route de retour pour la passerelle firewall_Ovh-modem_peer (Passerelle correspond au modem PPOE) sur l'interface Ovh-Modem

3. Ajouté une route statique pour joindre mon réseau SSL : Passerelle = firewall_Ovh-modem_peer pour l'interface Ovh-Modem

4. Ajouté les règles de filtrage

Mon VPN monte bien avec le client SSL stormshield en version 2.7, mais je n'arrive pas à joindre mon lan. 

De plus, avec l'outil Real Time monitor pour chaque ping, test d'accès sur un équipement de mon LAN, j'ai le message...

Voir la suite
Résolue

SN300 - Problème de règles pour un modem

Posée par Joffrey B dans Administration

Bonjour, 

J'ai un modem OVH technicolor actuellement configuré en mode routeur sur une interface de mon SN300. Cet accès est fonctionnelle.

Je souhaite passer ce modem en mode bridge pour faire pointer l'IP public directement sur le stormshield. Mai j'ai quelques problèmes de configuration du fait que je n'ai aucun accès internet en bridge.

La démarche que j'ai adoptée est la suivante : 

J'ai modifié l'interface en spécifiant l'adresse IP public de mon modem OVH et j'ai créé un modem PPOE avec les informations de connexion rattachées à cette interface.

J'ai ensuite créé une règle NAT qui dit : 

Trafic original : Network_Internals / Internet sur interface WAN3 (Interface sur laquelle mon modem est branché) / Any 

Trafic après translation : Firewall_Wan3 (ip public soit l'ip de mon interface ) / ephemeral_fw / Any

 

Je ne vois pas trop ce que j'ai raté. Pourriez-vous m'aiguiller un peu s'il vous plaît ? 

Je vous remercie d'avance et vous souhaite une bonne fin...

Voir la suite
Résolue

Virtual appliance ARKOON

Posée par Lionel Billia dans Appliances virtuelles

Bonjour,

 

Nous possédons actuellement une appliance virtuelle Arkoon qui se trouve sur un matériel (ESX) obsolète.

Nous désirons migrer cette appliance sur un nouvel hôte de virtualisation.

Je voudrais savoir comment se comporte la licence suite à la migration ?

Pour information j'ai déjà effectué un test de migration, visiblement la licence se comporte comme possédant des jetons d'accès auprès des serveurs de licence Arkoon (visiblement 5 jetons d'accès).

Quels sont les moyens de contourner ce phénomène (fixer les adresses mac sur l hote ESX par exemple?) afin de ne pas avoir recours au support Arkoon?

Merci.

 

 

Résolue

PROXY Interne et NAT

Posée par Laurent Garnier dans Fonctionnalités et système

Bonjour,

Je dispose d'un arkoon en version 5.0-120703_0024. J'utilise l'arkoon en tant que proxy http sur mes postes clients internes.

Actuellement, le plan d'adressage entre mon opérateur et mon firewall est public.

A l'occasion d'un changement d'opérateur (et donc de plan d'adressage IP public), je souhaite passer sur un adressage privé entre mon opérateur et moi (avec routage de la plage publique vers mon firewall par l'opérateur).

Comment faire en sorte que le proxy interne à l'arkoon utilise toujours une IP publique pour aller sur internet alor que l'interface externe est en adressage privé ?

Suffit il de tout simplement réaliser une règle d'accès avec l'objet arkoon en source et any en destination et NAT source sur une IP publique ?

Merci d'avance pour votre aide.

Résolue

SN 300 Bloquer réseau TOR

Posée par Matlox dans Securité

Bonjour,

J'ai un SN300 en V2.7.2.

Je m'aperçois que certains de mes users utilisent Tor Browser... Est-ce qu'il est possible de bloquer les connexions au réseau Tor ?

Vous l'avez deja fait ?

Merci,
Matlox

Résolue

Portail d'authentification du VPN SSL sur Stormshield SN200

Posée par Paul H. dans Securité

Bonjour,

 

J'aimerais setup un serveur web avec différents services sur mon réseau local. Le soucis est que, quand je tape sur mon ip publique en https, je suis directement redirigé vers le portail d'auth du VPN, ce qui est problématique étant donné que mes services sont censé être sur le port 443 (via un proxy nginx, selon les sous-domaines).

Existe-t-il un moyen de faire en sorte que le portail d'authentification ne soit pas sur le port 443 ? (mon VPN est sur le port 9443 pourtant).

Résolue

SNMP Nb de sessions actives

Posée par Fredj21 dans Matériels et performances

Bonjour,

Comment peut on récupérer, en Snmp, le nombre de sessions actives d'un boitier SN2000 ?

D'allieur, comment connaitre le nombre de sessions en CLI (console ssh) ?la commande  "sfctl –s stat" propose des cumuls sur une période donnée, mais pas à un instant T .

Quel Oid requéter ? 

Cdt

 

 

 

Résolue

Portail Admin Web planté

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

Je rencontre un petit souci sur un cluster SN700 en firmware 3.1.2

Lorsque je me log au portail d'administration, le tableau de bord ne charge pas et j'obtiens une bannière qui me dit que l'application de répond plus avec deux options :

Patienter 15s ou retour au tableau de bord

seulement aucune des 2 options n'aboutie et je ne peux donc plus avoir accès au portail d'aministration de mon clutster ce qui est très embetant.

j'ai toujours accès en SSH mais je ne connais pas les lignes de commandes pour basculer d'un firewall vers un autre.

en espérant que l'un d'entre vous pourra m'aider et sans provoquer une interruption de service

merci par avance

Stephane

Résolue

Vlan traversant BGP session

Posée par Loic Verriez

Bonjour à tous,

une petite question me traverse l'esprit .

Une session bgp entre deux equipements peut elle traverser par le biais d'un vlan traversant un firewall SN300. ?

Par avance, merci.

 

NB:Equipement1 Session BGP ------------||||FW|||-------BGP Equipement2

 

Résolue

Problème de config NETASQ U70.

Posée par Easys dans Matériels et performances

Bonjour tout le monde,

J'ai un problème je possède un NETASQ U70 qui fonctionne très bien,
après une modification de mon réseau ou j'ai deux connexions internet j'ai voulu faire du load balancing sur une connexion ADSL et une GSM.

J'ai voulu réinitialiser le NETASQ mais je tous ces effacer.

Quand je me connecte en mode console j'arrive sur un prompt Linux, si je veux me connecter à l'interface web 10.0.0.254 ça mouline et après j'ai sur une page web 'NOT FOUND'".

Que faire je n'ai pas de cdrom ou autres, je suis bloqué.

Merci de votre aide SVP.

Résolue

Sauvegarde cloud backup

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

J'ai un cluster de SN510 que nous avons depuis plus d'un an maintenant. j'avais mis en place la sauvegarde auto de la conf sur les serveurs de stormshield via le cloud backup, tout fonctionnait bien mais depuis une semaine ou deux, la sauvearde ne se fait plus.

j'ai un message "pas de licence trouvée" (voir copie d'écran)

Est-ce quelqu'un a déjà eu un cas similaire ? ou est-ce que quelque chose à changer depuis la dernière MAJ (je suis en 3.4.0 et les problèmes semblent etre arrivés avec cette maj )

merci d'avance

Résolue

Certificat utilisateur révoqué

Posée par Steven dans Fonctionnalités et système

Bonjour à tous.

Nous utilisons depuis plusieurs mois une infrastructure Stormshield pour remplacer nos Arkoon progressivement.

 

Nous constatons que les alertes VPN ne sont pas explicites lorsqu'un utilisateur tente de monter un tunnel avec un certificat révoqué :

Exemple en Stormshield:

alarm    24/04/2018 17:15    24/04/2018 17:15    900                            [MON_IP_FW]    [MON_IP_FW]    [MON_IP]    system            6            IPsec phase 1 failed
vpn    24/04/2018 17:15    24/04/2018 17:15    900                            Firewall_1_igb6    [MON_IP_FW]    [MON_IP]                                Negotiation failed    responder

 

Exemple en Arkoon:

 Main mode peer ID is ID_DER_ASN1_DN: 'CN=[Mon_ID],OU=[Mon_OU],OU=[Mon_OU2],O=[Mon_Org],C=FR'
 Issuer CA certificate is trusted: 'CN=[Ma_CA],O=[Mon_Org],C=FR'
 certificate was revoked on Apr 19 06:19:07 UTC...

Voir la suite
Résolue

Proxy SSL

Posée par Maxime Berlioz dans Securité

Bonjour à tous,

Nos médecins souhaiteraient passer sur de l'authentication par CPS (Carte professionnel de santé) pour ce site : https://sic.certdc.inserm.fr/login.php

Hélas ils recoivent une erreur (voir PJ) avant d'avoir l'applet leur demandant de choisir le certificat sur la carte et de taper leur code. Ce problème ce présente uniquement sur ce site.

Je n'ai aucune trace dans les logs du stormshield, dans le proxy SSL je vois juste les requêtes vers le site "https://sic.certdc.inserm.fr/login.php" en pass mais rien d'autres

Pour tester, j'ai fais une règle pass all pour ce poste et tout passe correctement mais ça reste difficile à dépanner surtout quand on a pas de trace...

Auriez-vous une idée d'où peut venir cette erreur ?

Merci d'avance

 

 

Résolue

SNS 3.X : Adresse IP reste attachée à l'interface alors que link down

Posée par Dgo dans Fonctionnalités et système

Bonjour,

Bon voilà, cela fait quelques temps que je consate cela et ce fonctionnement n'est pas normal.

Trouvez vous normal que sur des interfaces en DHCP lorsqu'on débranche le câble, en faisant un ifinfo ou un ifconfig, l'adresse ip soit toujours attachée à l'interface ?

Ce fontionnement est anormal pour un équipement réseau.

Plus de link = plus de bind ..

or ce n'est pas le cas sur les appliances Stormshield SNS en V3.x.x

 

 

 

 

Résolue

SNS 3.X : Hostcheck sur objet routeur.

Posée par Dgo

 Bonjour

Je suis en train de tester les objet routeur avec des passerelles de secours.

J'ai visionné la video Youtube sur la chaine Netasq concernant les objets routeur et il est spécifié que le "hoscheck" ne fonctionne pas sur des accès DHCP ...

Or mon lien principal ainsi que mon lien secours sont en DHCP ... et il etait écrit à l'époque (la video date de 2015) " DHCP availability is not checked, this beahaviour may change in future versions ..".

Qu'en est-t-il aujourd'hui ?  Est-ce toujours le cas ?

Messages d'alerte