Discussions par mots clés : stormshield

Non résolue

Configuration NAT

Posée par Jean Korn dans Open Community dans Administration

Bonjour, j'aurai besoin d'un peu d'aide.

Il faudrait que j'ajoute une règle à notre stormshield pour permettre l'accès à partir d'un internet à un serveur.

Je souhaite que le visiteur qui accède à  "mon-ip-public:8083" soit dirigé vers "monserveurlocal:443" pourriez-vous m'éclairer sur la manière de paramétrer le stormshield ?

Merci

Non résolue

Problème stormshield SN310

Posée par Célia Marty dans Open Community dans Securité

Bonjour à tous,

Nous avons mis en place sur un réseau un sn310, dès le départ beaucoup d'alertes "mauvais numéros de séquence TCP" sont remontées.

Cette alerte serait présente à partir du moment ou il y aurait un problème sur le lien fibre. Mais ce qui m'étonne c'est que les alertes remontées sont sur l'IPS01 donc sur le flux sortant. Cela ne viendrait donc pas du lien fibre mais du LAN?

Est-ce que quelqu'un à déjà rencontré ce problème? Ces blocages peuvent-il générer des coupures sur des connexion?

 

 

Non résolue

Stormshield 4g et accès distant

Posée par Ajowan Lechien dans Open Community dans Securité

Bonjour,

Je suis a la recherche d'information permettant de me connecter a distance a mon lan via une wonnexion 4G
Pour rappel une connexion 4G ne permet pas un access direct à Intenet. On est ds un LAN operateur et il faut passer par une passerelle de l'operateur.
L'adresse IP attribuée au routeur privé n'est pas la meme que l'adresse IP publique.

J'aimerai donc configurer un VPN entre mon stormshield et un serveur distant qui lui aurai une adresse publique fixe.
J'ai un VPS chez OVH qui me propose une installation d'OpenVPN serveur. Mais je ne parvient pas a comprendre comment configurer mon stormshield pour que celui-ci opère comme un client sur mon serveur OpenVPN.

Si vous avez une idee ou d'autres suggestions, je suis preneur.

Merci d'avance

 

Non résolue

SN910 : Skype

Posée par Malcolm Pascault dans Open Community dans Fonctionnalités et système

Bonjour,

J'ai un SN910 et je souhaite contrôler mes flux skype.

Je n'utilise pas le proxy stormshield mais une autre solution assez vieillissante. Depuis ce fameux proxy, les flux skype sont bloqués.

Je dois donc gérer l'accès à Skype depuis mon pare-feu.

Après de nombreuses recherches, je n'ai trouvé que les ports à ouvrir :

  • 443/TCP
  • 3478-3481/UDP
  • 50000-60000/UDP

Comme je n'ai pas trouvé les bonnes IPs des serveurs skype, je suis restreins d'utiliser l'objet réseau "Internet".

Je dois donc ouvrir une règle pour mes utilisateurs internes, à destination de l'objet Internet sur les ports mentionnés.

Comme il y a le port 443, et qu'aujourd'hui tous les sites sont en https, je voudrais limiter l'utilisation de cette règle au protocle "skype" présent dans le stormshield.

Toutes ces explications pour ce problème :

Lorsque j'utilise le protocole applicatif skype, cela ne fonctionne pas. Lorsque je l'enlève, ça fonctionne.

Comment dois-je configurer mes règles pour que mon...

Voir la suite
Non résolue

VPN SSL - Droit d'accès

Posée par Malcolm Pascault dans Open Community dans Fonctionnalités et système

Bonjour,

J'ai mis en place la fonctionnalité VPN SSL sur mon SN910 en version 3.7.1.

J'ai configuré le VPN SSL :

  • Création de la règle
  • Configuration de l'onglet VPN SSL
  • Autorisation de l'utilisateur à se connecter en VPN SSL.

Lorsque je me connecte avec mon compte (admin) sur le portail https://IP_PUBLIQUE dans "Données personnelles" je peux télécharger :

  • Autorité de certification proxy SSL
  • VPN SSL Client
  • Profil VPN SSL pour clients OpenVPN...
  • Profil VPN SSL pour mobiles...

Cependant, avec un autre utilisateur l'onglet "Données personnelles" est vide.

Je pense que c'est un problème de droit.

Avez-vous des idées ?

Merci.

Cordialement,

MP

Résolue

Real-Time Monitor Stormshield

Posée par Henri Erre dans Open Community dans Administration

Bonjour,

J'ai récupéré un réseau avec un StormShield SN510 en production.

Mon premier reflex étant de connecter le RTM dessus et voici le message que j'ai :

J'ai beau être en local, VPN SSL ou même taper depuis l'adresse WAN rien à faire, j'ai essayé plusieurs comptes, admin ou pas, même chose ...

Les ports 443 et 1300 sont ouverts, j'avoue sécher ...

Merci de votre aide.

PS : Pour info le firmware est version 3.4.0

Résolue

MAJ Firmware SN710 de 1.x à 3.x

Posée par Fat Dam dans Open Community dans Administration

Bonjour,

J'envisage à maj la version firmware de nos SN710 à partir du 1.5.0 à 3.x

Je procéderai comme suivant:

1/ vers v2.11.0

2/ ensuite vers v3.5.2

Pourriez-vous me confirmer que ces versions sont stables et que le passage aboutira?

car Je n'ai pas de retour d'expériences sur ces versions.

Merci.

 

Résolue

SN710 reset bouton problème

Posée par Fat Dam dans Open Community dans Matériels et performances

Bonjour,

On a acheté des firewalls SN710 pour faire les tests.
Pendant la configuration initiale, j'ai supprimé l'interface bridge par erreur.
Du coup, j'ai perdu la main du FW.
J'ai voulu le mettre en conf usine en appuyant sur le bouton RESET.
Mais je ne connais pas le délais car les voyants sont restés stables.

Je voudrais savoir une procédure si quelqu'un a déjà pratiqué.

Merci.

Ouverte

Meilleur visibilité des périphériques sur le tabeau de bord

Publiée par Fighter 777 dans Open Community dans Fonctionnalités et système

Bonjour,

 

depuis quelques temps, j'utilise le tableau de bord pour faire de l'administraton superficiel, hors lors du branchement d'un nouvel ordinateur sur le réseau, la seule chose que je vois indiqué est son IP.

il n'y aucune adresse mac et aucun nom affiché dans l'infobulle, pourtant ces informations peuvent être récupérés dans la partie trace du logiciel stormshield realtime monitor.

De même, le pare-feu ne possède pas de partie BAUD DHCP, je trouve cela dommage car il permet de connaitre les machines enregistrés dans le DHCP.

 

 

Cordialement.

Résolue

Vlan traversant BGP session

Posée par Loic Verriez dans Open Community

Bonjour à tous,

une petite question me traverse l'esprit .

Une session bgp entre deux equipements peut elle traverser par le biais d'un vlan traversant un firewall SN300. ?

Par avance, merci.

 

NB:Equipement1 Session BGP ------------||||FW|||-------BGP Equipement2

 

Non résolue

Temps de réponse élevé VPN SN160

Posée par Johann Bourbon dans Open Community dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Résolue

problème SGA port 1300

Posée par J 94 dans Open Community dans Administration

Bonjour,

 

Madame, Monsieur,

 

J'ai un problème avec mon équipement Stormshield SN200 concernant la mise en place de mon équipement sur ma topologie SGA .

Mon équipement Stormshield se trouve actuellement derrière mon routeur SFR.

Le port 1300 servant d'administration pour les équipements Stormshield Network Security (Firewall_srv : port TCP : 1300)  n'est pas pris en charge par mon routeur SFR , ce port est actuellement réservé par mon opérateur.

 

J'ai essayé une méthode,je ne sais pas si je peux faire cela.

 

Je m'explique,j'ai décidé par le biais de mon routeur d'ouvrir le port 1341 en remplacement pour mon routeur .Ayant créé un port sur mon stormshield (Storm : port TCP : 1341 ) sur mon stormshield et l'ayant attribué à mon groupe Admin_srv quand je créer ma topologie sur mon SGA,j'ai une connexion refusée.

Je signale que j'accède bien en HTTPS, sur mon Stormshield le logiciel Stormshield Real-Time Monitor est bien fonctionnel quand je regarde je n'ai...

Voir la suite
Non résolue

alarme filtrage

Posée par Olivier de Amicis dans Open Community dans Securité

bonjour !

je possede un SN700 depuis qq années, et je me penche sur les alarmes dernierement.

j'aimerai bien pouvoir desactiver completement le systeme IPS, beaucoup tro sensible a mon gout, mais il semble que ce n'est pas possible.

j'ai donc désactivé les alarmes qui me posaient des problemes de "bloquer" à "autoriser"

sauf que : sur une patte ou se trouve mon wifi, j'ai des alarmes de type :

anonymous  broadcast alarme de filtrage 

anonymous  broadcast  detection de protocol non autorisé (UDP)

ce sont des demandes en bootpc(68)

 

malheursement, je ne peux pas changer le mode bloquer par autoriser car l'option est grisée.

auriez vous une astuce pour soit :

- dévérouillé le mode grisé et passer mon option a autoriser ?

- desactivé completement le mode IPS dont je ne me sert pas (tout est sur Firewall car lIDS et l'IPS me saquagent les connexions réseaux)

 

merci d'avance pour vos lumieres.

 

amicalement

 

oliv

 

Résolue

OverTheBox et SN300

Posée par Joffrey B dans Open Community dans Administration

Bonjour,

Nous avons actuellement un stormshield SN300 avec 2 liens internet (fibre + ovh) et deux boxes 4G (oui nous sommes dans le désert numérique) configurés pour faire de la répartition de charge. Nous allons nous munir de la solution OVERTHEBOX d'OVH d'ici la semaine prochaine pour aggréger les 4 connexions. Toutefois je ne vois pas trop quelles configurations appliquées  pour faire fonctionner le tout. 

Je vous remercie d'avance et vous souhaite une bonne fin de journée. 

Résolue

Stormshield et multicast

Posée par Yannick Dalencon dans Open Community dans Administration

Bonjour,

J"essaye tant bien que mal de faire du routage multicast statique sur un SN300 en v3.2.1

J'ai défini l'objet que représente mon groupe multicast, l'interface source et celle de destination. Cependant ça ne fonctionne pas.

Bien sur le routage multicast statique est activé, et ma règle est activée aussi.

Ai-je manqué quelques choses?

 

Merci

Résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Open Community dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Open Community dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Messages d'alerte