NeoX a écrit 18155 commentaires

J'ai créer 4 vlans (1 lan, et 3 services )
Le problème je ne peut pas accéder à l'interface web du lan…

parce qu'ensuite il faut que ton switch gère les vlans et que ton pc soit dans le vlan "lan"

attention, l'interface "wan" ne prend rien en entree

quand tu lances le script a la main il s'execute avec l'environnement courant
mais pas avec cron

il faut parfois preciser cet environnement par un utilisateur ou des variables

Ils se sont aperçus que les recherches Google effectuées depuis leurs ordinateurs et téléphones sont accessibles sur la tablette fournie par le lycée.

rien ne précisaient ici que c'était de l'ordinateur des parents vers les tablettes des enfants…

donc j'assumais que c'était entre le PC/smartphone des enfants et la tablette de l'enfant

relire ton cours sur les reseaux ou mes commentaires precedents.

un vlan = 1 lan comme un autre
donc il lui faut un adressage

ton firewall pourrait avoir 4 cartes physiques
tu aurais alors 1 carte WAN/ROUGE/INTERNET avec l'adressage vers la passerelle internet (ta box)

puis tu aurais
1 carte LAN1 vers les clients du premier reseau, avec un adressage, admettons : 10.1.x.y/16
et ton firewall a aussi une IP dans ce reseau, c'est lui la passerelle des clients

1 carte LAN2 vers les clients du 2e reseau, avec 10.2.x.y/16
et ton firewall a aussi une IP dans ce reseau, c'est lui la passerelle des clients

et la dernière carte vers les clients du 3e reseau, avec 10.3.x.y/16
et ton firewall qui a une adresse aussi dans ce reseau.

la presence de vlan permet juste d'avoir plusieurs reseaux sur une seule carte, comme si c'était des cartes différentes.
ce sont les cartes reseaux logiques et non physiques

donc dans ton pfsense, tu crees tes interfaces avec les vlans pour tes LANs
tu affectes chaques interface.vlan à un role (wan, lan, opt1, opt2, opt3, opt4…)
tu pourras renommer les OPT en LAN2, LAN3, LAN4 ou ce que tu veux)

et pour chacune de ces interfaces, tu affectes une IP fixe coté firewall, ce sera la passerelle de tes clients

et une IP pour la passerelle (le firewall

depuis des années je suis chez OVH,
ce n'est peut-être pas le moins cher,
ce n'est peut-être pas le plus éthique,

mais ca reste un des plus gros, donc garantie quand meme d'une certaine fiabilité dans le temps

"Il est indispensable que le VLAN soit associé à une interface physique qui ne soit pas déjà associée à une interface logique."

ce que dit la documentation, c'est que tu ne peux pas créer de vlan sur une interface physique deja utilisée (affectée).

Ex : ta carte reseau ROUGE (du projet ipso) que tu as affectée à WAN sur le pfsense,
ne pourra pas recevoir de vlan, tant que tu ne l'as pas désaffectée du WAN.

Attention alors quand tu désaffectes la carte LAN physique, tu perd la main sur le chassis.
Tu peux néanmoins recréer les vlans et les cartes logiques (affectations) via la ligne de commande de ton pfsense.

Pour expliquer les écrans et les termes utilisés

1°) dans l'écran de configuration des vlans, tu crees ton vlan sur l'interface physique qui t'intéresses.

Ex : carte réseau 1, vlan 101
carte réseau 1, vlan 102

2°) tu vas ensuite dans l'affectation des interfaces, et c'est là que tu créés ton interface logique
et tu dis que tu active carte1.vlan101 comme étant ton LAN1
et carte1.vlan102 comme ton LAN2
carte2 comme ton WAN

puis tu utiliseras les noms LAN1, LAN2, WAN pour tes règles de firewalls

et simplement cliquer 2x sur l'image ne monterait pas le support tout seul, avec 2 lecteurs dans le navigateur de fichier ?

c'est quand meme plus simple que de chercher les offset à la main à partir des partitions…

Les enfants d'amis qui sont au lycée se sont vus remettre des tablettes en début d'année.
Comme beaucoup, ils sont utilisateurs de Google :
- téléphone Android
- Navigateur Chrome
- moteur de recherche Google
- Youtube, etc…..

Les appareils utilisent des comptes distincts. Le comptes des parents n'ont jamais été utilisés sur les appareils des enfants et inversement.

Ils se sont aperçus que les recherches Google effectuées depuis leurs ordinateurs et téléphones sont accessibles sur la tablette fournie par le lycée.

par hasard les gamins n'auraient pas mis leur compte google sur la tablette du lycée ?
à partir de là, tout est synchronisé, c'est prévu pour, sauf si tu désactives manuellement les synchros.

ainsi une video youtube que tu commences à regarder sur le PC, se retrouve dans l'historique de visionnaire et peut donc être reprise sur le smartphone, l'androidTV, etc

parce que sur le telephone elle utilise le logiciel par défaut 'hangout' ou 'messages' de google

du coup la tablette disposant aussi de hangout/messages est synchronisée (puisque raccordée au meme compte google)

CQFD

Voila, et je suis coincé là. J'ai peur de faire des bêtises. Je viens donc vers vous car j'aimerais comprendre ce qui s'est passé (et/ou qu'on le découvre ensemble).

des bêtises quand on vient d'installer la machine, ce n'est pas grave,
il n'y a encore rien d'important sur la machine, et c'est là que c'est interessant, on peut bidouiller, apprendre…

et au pire on redémarre sur un liveCD/liveUSB, ou on se renseigne sur une autre machine, et on réinstalle si besoin

Et en profiter pour vous demander un coup de main (en imaginant que j'arrive à relancer Debian) concernant la configuration du Wifi et les firmwares cités au point 2.

Debian ne livre pas, par défaut, de firmware pour certains peripheriques car considérés comme non libre (proprio, etc)

c'est pour cela qu'il te propose de prendre le firmware sur une autre clef USB

wouah, un ordinateur portable avec 1To de disque dur il y a plus de 4 ans ?
c'était grand luxe

bon des pistes deja le partitionnement et un peu louche, tout est dans une partition étendue, alors que généralement il y a au moins le /boot en primaire en debut de disque (et/ou la partition EFI) :

• 1 1048kB 1000GB 1000GB extended boot
  • 5 1049kB 50.0GB 50.0GB logical ext4
  • 6 50.0GB 100GB 50.0GB logical ext4
  • 7 100GB 150GB 50.0GB logical ext4
  • 8 150GB 200GB 50.0GB logical ext4
  • 10 200GB 1000GB 800GB logical ext4
  • 9 1000GB 1000GB 255MB logical linux-swap(v1)

et vu que la machine a plus de 4 ans dans un placard, il est probable qu'il n'y ait rien de vital pour toi dedans, le mieux sera surement de reinstaller.

tu le laisses alors en EFI dans le bios, tu démarres sur le liveCD et tu lances l'installation en remplaçant le contenu du disque dur.

la commande find va chercher dans le dossier courant si tu ne précises rien

et les programmes d'une machine linux sont quelques parts dans le PATH
tu peux faire echo $PATH pour savoir dans quels dossiers chercher.

pour executer vim, s'il est installé,
il faut simplement te mettre dans un terminal,
puis taper vim

et pour le chercher :
find / -iname vim

va le chercher sur tout l'ordinateur, ca peut prendre un peu de temps

Par contre comme je l'ai dit plus haut, lorsque j'active le ssl de mon nom

le SSL tu l'actives ou ?
chez ton registrar ou sur ton serveur ?

sur ton serveur, tu as copier les certificats et clef dans les dossiers pour apache ?
tu as mis les lignes qui vont bien dans le fichier de configuration de ton "domaines.cf" ?

si le port 80 tombe aussi quand tu "actives" le SSL,
c'est possiblement que le certificat n'est pas ouvert,
apache ne se lance plus, et donc aucun service ne répond sur le port 80 ou 443

la redirection de port, c'est juste en TCP/80 et TCP/443 pour le http et https.

le DNS interne, c'était surtout pour toi, pour pouvoir demander
https://domaine.cf et aller directement sur ta machine serveur sans sortir sur internet
car certaines box n'aiment pas le fait de sortir et rerentrer

dans le fichier journal Xorg.0.log l'erreur suivante est mise en avant :
(EE) modeset(0): Failed to get GBM bo for flip to new front.
(EE) modeset(0): present flip failed

est-ce que ca empêche la machine de fonctionner ?
si oui, il faut en effet corriger,
et en attendant le correctif officiel, tu as le workaround

En cherchant un peu sur internet il existe une solution de contournement qui nous demande de désactiver "le gestionnaire de fenetres avec composition logicielle". il appert que cette solution ne fait plus apparaitre d'erreurs dans le fichier journal, mais une solution de contournement n'est pas une réparation d'autant qu'après cette modification l'affichage d'une page internet est quelque peu disgracieuse.

Enfin quand je désire éteindre l'ordinateur le message suivant apparait : "at-spi-bus-launcher absence de réponse" ce qui m'empeche de l'éteindre.

se renseigner sur l'intérêt du AT-SPI-BUS et le virer s'il te gene,
le reinstaller s'il t'es nécessaire et vital

là aussi plusieurs méthodes sont proposer sur internet, c'est un service d'accessibilité, et les contournements existent (en 2018), on peut imaginer que depuis il y a un moyen propre de le supprimer

bien comprendre qui va ou.

en local

1. ton PC demande tondomaine.tld (http ou https) à ton DNS local (Freebox ou service DNS)
2. le DNS lui donne l'IP du serveur qui gère ce domaine (ip publique de la Freebox ou ip interne) ?
3. ton PC tente de se connecter sur cette IP, sur le port 80 (http) ou 443 (https)

dans le cas de letsencrypt,

1. c'est les serveurs de letsencrypt qui demande à leur DNS ou se trouve ton serveur il faut donc configurer ton DNS externe pour que ca renvoie sur l'IP de ta Freebox
2. le serveur de letsencrypt tente de se connecter à l'IP de ta Freebox, port 80 ou port 443 il faut configurer ta Freebox pour renvoyer ces ports vers ton serveur interne
3. il cherche un fichier sur le serveur pour confirmer que le domaine arrive bien sur le bon serveur.

pour diagnostiquer, tu peux deja tenter d'aller sur ton serveur, port 443
en faisant https://adresseIPlocale

ca te permettra de savoir si le serveur écoute en https

ensuite il faut te connecter de l'extérieur (4G ?) en faisant https://addresseIPpublique
ca doit te renvoyer la meme chose si la redirection de la Freebox vers le serveur est opérationnel

Proposez-vous un pare-feu ?

relire les autres posts sur toutes tes questions ipcop,
il y a plein de propositions de trucs plus pertinents que ton vieil ipcop.

pfsense/opnsense
zeroshell
clearOS

Installer un deuxième ipcop avec la même config comme secours.

basic (secours à froid) :

• installer le 2e ipcop
• exporter la config du premier, mettre sur le 2e
• éteindre le 2e ipcop et ne le brancher qu'en cas de besoin

luxueux (secours à chaud, synchro automatique entre les machines, etc) :

• installer ipcop,
• le configurer pour se mettre en cluster avec le premier
• une modification faite sur le chassis 1, va automatiquement sur le chassis 2
• la panne du chassis 1, active le chassis 2 qui prend alors le trafic en main

Améliorer la config existante pour ne pas permettre aux services de communiquer entre eux (ipcop ne gère pas les vlans sauf si on ajoute des addons).

si vraiment tu ne peux pas faire les vlans sur le firewall car il est trop vieux (2015) avec un addon (ipcop vlan date de 2010)

il n'y a qu'une seule methode

methode de riche (ou pas) :
si tu veux séparer tes "services/utilisateurs/reseaux", il te faut autant de carte reseau que de réseaux à gérer, puis brancher ces cartes réseaux sur autant de switch autonome (ils peuvent alors être non manageable, donc pas cher, mais il en faut autant que tu as de reseau).

RICHE : car il te faut autant de carte reseau et de switch que de reseau que tu veux gérer

autre méthode de riche (ou pas):
tu as des switch manageables, un seul switch peut gérer tous les reseaux, c'est alors les vlans qui vont découper le switch en switch virtuel, ex port 10 à 19 pour le vlan 10, port 20 à 24 pour le vlan 20, port 25 à 28 pour le vlan 30.

et comme ton ipcop ne gère pas les vlans, tu branches chacune des cartes reseaux dans tes différents lan sur les différents "sous switch" créé par les vlans sur le switch

RICHE : il te faut un switch manageable, et autant de carte sur le firewall que de reseau à gérer.

• Proposé une autre solution pare-feu…

cf toutes les propositions précédentes, mais oui, prendre un produit plus recent, plus ergonomique, etc

idéalement donc un firewall plus RECENT qui gere les vlans, et qui sera en mesure de se connecter avec 1 seule carte reseau, à tes différents reseaux via les vlans du switch

NB pour la Secu, c'est mieux d'avoir une carte physique pour chaque type de flux,
mais si tu as plusieurs connexions internet genre ADSL par exemple, tu peux regrouper les ADSL derriere une carte reseau 1Gbps (ou meme 100Mbps), tu pourras quand meme en mettre presque 50 sur le 1Gbps (5 sur le 100Mbps).

Tout internet reste alors derriere la carte RED, et chaque opérateur cause sur son vlan avec la carte RED.vlan1, RED.vlan2, RED.vlan3…

Arduino-ide c'est deja bien
sinon plateform.io

J'utilisais atom à une époque, maintenant je suis passé à visual studio code

Alors certes c'est microsoft, mais c'est dispo sur plusieurs plateformes,
et justement les plugins permettent d'en faire un outil multi-usage

sans plugin : éditeur de texte
avec plugin dev IOT = un codeur Arduino/nodemcu
avec plugins php/mysql/Web = un codeur pour web dev

et comme tu peux sauvegarder des environnements de travail (workspace)
tu reouvres ces workspaces avec les plugins et les dossiers de tes projets.

Ex : workspace "dev client A"
c'est du web, j'ai les plugins qui vont avec et je démarres direct dans le dossier du projet du client

workspace "dev client B"
c'est du devOPs, shell et python, je n'ai alors plus les plugins web, php, mysql mais les plugins bash et python

etc

Trop vieux pour tenter une upgrade

ca se tente ;)

il faut peut-être juste changer les depots debian.org en archive.debian.org

atom fait aussi le café,
il faut peut-être regarder les plugins prechargés pour supprimer ce qui ne t'intéressent pas.

sinon pour les cas extremes de ressources basses, y a les éditeurs en ligne de commande vim, emacs, nano qui font peut-être l'autocompletion yawl

Donc les questions:
- est-ce que je peux créer un autre sous domaine pointant vers la même ip et le router vers le cloud nextcloud ( https://cloud.xxx.be) ?
- si oui comment attribuer un certificat sur cette adresse avec un renouvellement automatique ?

si tu n'as que la VM cloud à proposer,
tu peux faire juste une redirection de port sur le firewall, port 80 et 443 => IP interne de la VM cloud.

mais sinon c'est exactement le but du reverse proxy (haproxy, ngnix…)

tu le configures sur ton pfsense,
il reçoit ton client sur l'ip publique port 80 et 443 en mode TCP et avec le SNI, pour le domaine cloud.xxxx.be, il renvoie le flux vers ton IP interne de ta VM cloud.

et hop,
tu gères ton letsencrypt sur la VM finale

tu insistes avec un distribution vieille de 4 ans (2015)

mais admettons, on t'a "vendu" ipcop comme étant LE truc à installer pour sécuriser ton réseau (ou en tout cas te faire la main dessus)

avant de mettre l'IP, il faut peut-être lui dire qu'elle carte va gerer quelle interface (green/red/dmz/vpn, etc)

enfin c'est comme ca que ca se passe sur d'autres firewalls,
quand il y a plusieurs cartes, par défaut il voit la premiere pour le lan, et c'est là que tu te connectes pour gérer le firewall,

ensuite il faut lui dire ce que tu veux faire de la 2e carte, qui est désactivée par défaut pour éviter les conflits.

tu pourrais vouloir la mettre en green aussi, pour avec 2x plus de debit grace à un agrégat (bond) ou de la redondance grace à un 'lagg'

https://lmgtfy.com/?q=securiser+debian8

:D

toutes les cartes wifi ne sont pas reconnues/fonctionnelles par défaut sur un linux,
parfois les constructeurs fournissent (ou pas) ce qu'il faut.

est-ce que tu vois la carte dans l'applet réseau à coté de l'horloge ?

est-ce que tu vois la carte wifi (ou la clef usb wifi) dans un terminal
lspci
lsusb