Discussions par mots clés : Stormshield
Rédirection des flux Stormshield U250SA
Bonjour à vous,
J'ai un petit souci pour faire une redirection NAT.
Nous avons un VPN entre un site distant et une interface de notre Stormshield en interne
( nommé CL).
Le VPN fonctionne parfaitement, le client envoie ses trames sur un serveur 10.7.X.X. qui correspond au réseau de l'interface CL.
Je souhaite que les flux envoyés sur ce serveur 10.7.X.X soient redirigés sur un serveur qui est dans un autre réseau du même Stormshield(adressage en 10.6.X.X --> Interface PR) .
Je ne suis pas réellement certain de la démarche à suivre pour rediriger les flux entre deux interfaces d'un meme Stormshield
Pouvez-vous m'éclairer ?
Merci d'avance.
Blocage de service sur ip publique depuis l'extérieur
Bonjour, je suis en apprentissage dans une boite qui utilise un firewall Stormshield.
Je souhaite bloquer l'accès à un service depuis l'extèrieur. J'ai préparé un profil de filtrage URL, puis préparé
ma règle de filtrage. J'ai bien rempli les champs état, action, source, port, inspection. Via uniquement HTTP, le blocage se fait bien.
Et lorsque je souhaite ajouter https, j'ai le message suivant:
"Une inspection appliquée sur un protocole SSL nécessite d'être précédée d'une règle déchiffrant ce trafic".
J'ajoute donc une règle au-dessus qui a comme action "déchiffrer" de "Internet" vers notre ip "publique".
Mais cette règle génère le message suivant:
"L'action 'déchiffrer' n'est pas autorisée lorsque la destination contient l'une des adresses du firewall"
Je suis donc bloqué. Sur ce service je peux autoriser ou non les accès depuis l'extèrieur. ...
Voir la suiteModification réseau d'une interface
Bonjour,
Sur notre SN510, j'ai une interface Public(3) dont le réseau associé est 192.168.7.0/24 malheureusement c'est plage IP est trop restreinte pour mes besoins : Wifi ouvert.
Est-il possible de changer de plage d'IP afin d'obtenir un nombre plus important d'IP ?
Merci
VPN Stormshield - limite de temps d'accès
Bonsoir,
Administrateur d'un FW Stormshield EVA2 avec des clients Stormshield VPN SSL, j'ai des pb de deconnexion.
A savoir que si un client oublie de déconnecter son VPN, il reste connecté si'il n'arrête pas son PC.
J'ai même fait un cas : une fois connecté, vous plier l'écran pour être en veille, vous revenez le lendemain et zou, le VPN est encore ouvert !!!
Est-ce qu'il y a une solution pour fermer ce VPN si la session est en veille ou le sans activité depuis ... heures ?
Par avance merci.
P.S. : l'identification se fait en mode Radius.
Accès sites internes via VPN
Bonjour,
Travaillant avec un équipement Stormshield dans mon entreprise actuelle, je sollicite votre aide sur un problème où je pêche un peu.
Pour vous expliquer, nous avons un site web placé dans la DMZ. Celui-ci est accessible depuis internet. Lorsque nous sommes dans le réseau d'entreprise, celui-ci est également fonctionnel.
Cependant, depuis quelques jours, nous sommes contraints de travailler via le VPN SSL mis en place. Tout fonctionne très bien, hormis le fait que nous ne pouvons pas accéder au site lorsque nous sommes connectés en VPN.
Il suffirait de se déconnecter du VPN pour l'atteindre vous pourriez me dire, et oui, c'est le cas. Mais le fait de ne pas trouver la solution pour aller sur le site directement via le VPN me dérange.
J'ai regardé au niveau des filtrages, pour que le réseau VPN soit bien autorisé à aller jusqu'au serveur, j'ai testé avec quelques règles plutôt permissives juste pour vérifier, mais je bloque.
Auriez-vous des pistes...
Voir la suiteStormshield EVA2 Radius
Bonjour,
J'avais un FW Fortinet avec authentification Radius qui fonctionnait très bien pour du VPN SSL.
Je souhaiterai reconduire ce mode d'authentification sur le FW Stormshield EVA2 que je trouvai simple et sécur car les noms des users ne se retrouve pas à l'extérieur mais ça ne marche pas.
Dans l'urgence, j'utilise l'authentification LDAP mais qui ne me plait pas car toute l'AD est dans le FW !!!
Est-ce que l'authentification radius est seulement réservée en mode web ou peut-elle être utilisée avec un client installé sur le poste client ?
Y-a-t-il une documentation détaillée pour la mise ne place d'une authentification Radius chez Stormshield ?
Merci pour votre retour,
Jean.
mot de passe LDAP expiré connexion ssl
Bonjour,
Nous mettons en place une politique de mot de passe AD avec renouvellement du mot de passe tous les 60 jours.
Au bout du 61 eme jour, si l'utilisateur se connecte a distance via le vpn ssl la connexion ne fonctionne pas.
quel parametre modifier pour que l'utilisateur puisse se connecter ?
Problème réécriture certificat stormshield
Bonjour,
Je viens d'arriver dans ma nouvelle entreprise et je recontre un problème à cause de ce qui semble être une mauvaise conf dans le stormshield au niveau de la réécriture de certificat.
En temps normal j'irais voir dans le stormshield mais là je n'ai pas les accès : ma question est tout simplement pour ma culture générale.
Je vous explique :
Il y a de nombreux blocage lorsque des logiciels tente d'accèder à internet comme les logiciels d'installation de pilotes.
Un autre exemple concrès : lorsque je lance un wget sur ma machine, j'ai le resultat suivant :
Avertissement : impossible de vérifier l’attribut github.com du certificat, émis par «CN=SSL Proxy Trusted CA,OU=SSL traffic analyzing,O=Stormshield,ST=Default state,C=US» :
Récupération d’un certificat autosigné.
Cela vient du fait que le Stormshield réécrit le certificat avec un autre autosigné. Comment ce certificat a été créé ? Est il possible de le signé proprement ?
Merci d'avance...
Voir la suiteStormshield SN510 SSH/SFTP Software caused connection abort/Connection reset by peer
Bonjour à tous !
Je suis actuellement en stage dans une entreprise, et j'ai pour mission de gérer le parc informatique de la société.
Depuis ce matin, nous rencontrons des problèmes pour se connecter à distance sur le Firewall via SSH, ou encore d'utiliser notre serveur SFTP. Ces problèmes sont survenus après un redémarrage du Firewall vendredi dernier. Le message qui apparait lors des tentatives de connexions et le suivant : "Software caused connection abort"
La connexion à distance sur le Firewall ainsi que l'utilisation du serveur SFTP fonctionnaient tous les deux parfaitement sans problèmes avant le redémarrage de vendredi.
Ce que j'ai fait :
Dans "OBJETS RÉSEAU", j'ai créé un nouvel objet afin de spécifier un nouveau numéro de port, dans mon cas j'ai pris le port 19967. J'ai ensuite appliqué la redirection dans mes règles de filtrage et tout fonctionne correctement, j'ai bien accès au serveur SFTP de l'exterieur du réseau de l'entreprise. J'ai...
Voir la suiteCertificat et StormShield
Bonjour
je souhaiterais acquérir un certificat SSL chez Gandi par exemple pour l'accès mon StormShield (portail captif, interface d'administration).
Chez Gandi, on me demande de générer un CSR.
Dois je le faire sur le Stormshiedl et comment faire ?
Ou je peux le faire à partir de n'importe quelle poste ?
Merci
DHCP multiples à faire passer dans VTI Stormshield
Bonjour à tous.
J'ai un firewall Stormshield sur un site A et un autre sur un site B.
Actuellement un tunnel VPN IPSec est en place sur les deux Storms.
Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.
Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?
ssl server rejected the connection
Bonjour ,
Le proxy ssl de mon stormshield semble bloquer la connexion à un site malgré que celui ci ne soit pas dans une classification interdite , j'ai aussi essayé de modifier les paramètres ssl > proxy en étant le plus permissif possible mais toujour pas d'accès au site , j'ai l'erreur : ssl server rejected the connection dans les logs . Avez vous une idée sur le paramètrage a effectuer pour autoriser ce site. Merci.
Negotiation with client error (negotiation aborted) - Filtrage SSL
Bonjour,
sur notre Stormshield, nous réalisons de l'inspection SSL.
je rencontre régulièrement des sites web bloqués par le pare-feu
l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL"
règle 94 : decrypt HTTPS SSL Filter
régle 95 : pass HTTPS URL Filter
Auriez vous une idée de quoi pourrait venir ce probleme ?
Merci
Stomrshield - Comment atteindre son ip publique depuis son lan ?
Bonjour,
J'espère avoir posté au bon endroit. J'ai un SN310 et je souhaite atteindre mon ip publique depuis mon LAN. L'idée c'est de pouvoir monter un cloud en interne ou les utilisateurs pourront partager les liens vers l'extérieur (sinon si je laisse en local ils auront une URL du type 192.168.0...:8015/cloud et ça ne fonctionnera pas. Demander de leur remplacer l'url c'est pas pratique non plus.
En fait je ne sais pas comment ça marche/fonctionne car depuis son domicile, avec une box on peut "sortir et rentrer" en tapant son ip publique depuis son poste. Mais avec un Stormshield y'a quelque-chose de spécifique à faire ? Je sais pas si c'est clair... si il vous faut des infos en plus, n'hésitez pas, merci !
Perte accès interface Web SN 510
Bonjour,
Tout d'abord meilleurs voeux à tous pour cette année 2019.
J'utilise un Firewall Stormshield SN510 et depuis la MAJ 3.6.0, je n'arrive plus à me connecter sur les pages https://XXXXXXXXX/admin/ et https://XXXXXXX/auth.
La dernière maj qui fonctionne correctement est la 3.5.2.
Dès que je mets à jour le firewall en 3.6.0 ou 3.7.1, le problème se reproduit.
L'accès en SSH focntionne bien car c'est par ce moyen que je peux revenir en 3.5.2 avec la partition de backup.
Aucun changement n'a été fait au niveau de la configuration entre la 3.5.2 et la 3.7.1.
Auriez-vous des idées?
D'avance merci.
Je n'arrive pas à me connecter sur mon fast360
Bonjour,
Je suis actuellement stagiaire et je dois essayer de me connecter sur un arkoon Fast360.
Le problème étant que après plusieurs reboots et avoir lu la doc ect... je ne peux toujours pas me connecter dessus par IP.
Il y a une led orange qui clignote au milieu des 3leds à gauche.
Merci de votre aide.
HA MAC adresse
Bonjour,
afin d'implémenter une pair de SN510 en HA, je voudrais savoir si IP et MAC adresses restent identiques ou pas en cas de basculement active > passive FW.
Quelq'un pourrait confirmer? Meri d'avance.
Pb changement mot de passe par portail captif SN700
Bonjour,
Je possède un SN700 en Firmware 3.3.2 en place depuis longtemps.
Tout fonctionne correctement, IPSec, VPN SSL, FW, portail captif, etc.
Depuis peu on a voulu autoriser les clients a changer leur mot de passe depuis le portal captif.
dans Utilisateurs > authentification > profils du portail captif:
- j'ai activé "Les utilisateurs peuvent changer leur mot de passe"
- j'ai laissé "Ne pas permettre l'enrôlement des utilisateurs"
Dans cette configuration l'option pour changer de mot de passe apparait mais je recois un message d'erreur par la suite lorsque je change le mot de passe. (rien dans mes audit logs sur les DC)
j'ai donc décoché l'option "L'annuaire est en lecture seule" dans l'onglet "structure" de "configuration des annuaires" mais cela ne change rien.
Je tourne en rond depuis ce moment la.
Auriez-vous une idée ?
Merci.
config radius windows serveur NPS
Bonjour,
J'ai suivi le document trouvé dans stormshield base de connaissances tous les étapes d'installation du serveur radius NPS; mais ca ne fonctione pas.
Je pense qu'il manquait les attributs à configurer dans le network policy ou autre.
Quelqu'un a des retours d'expériences à partager?
Merci.
Problèmes pour paramétrer un pare-feu StormShield SN210
Bonjour à tous,
Etant stagiaire dans un service informatique, j'ai pas mal de notions dans le domaine, mais parfois la mise en pratique s'avère toutefois complexe pour une débutant dans la pratique comme moi... c'est pourquoi je débarque sur ce forum, et fais appel à vous.
Je dois paramétrer un pare-feu StormShield SN210, et ce sans marche à suivre ni manuel d'utilisation.
J'en ai déjà paramétré dans le passé, via port série. Hors là, il n'y en a pas, j'ai un port console (mais ne sais pas trop si c'est comparable, à vrai dire je n'y ai pas encore touché), ainsi qu'un port RJ WAN, et 7 ports LAN.
J'ai l'adresse IP du pare-feu à changer et les identifiants PPPoE à préconfigurer.
J'ai donc suivi la procédure habituelle, le port LAN branché à mon PC, le WAN sur le réseau, me connectant sur l'IP du pare-feu via mon navigateur, etc..
J'ai réussi à tout configurer me semble-t-il, mais déjà quelque chose me taraude : tous les ports se sont mis...
Voir la suite