Re: Re : SRX5308 conseille firmware et configuration

GautierS · ‎2017-01-31

Bonjour à tous,

je vous retrouve 2 mois après mon premier poste où je demandais des informations pour la connextion vpn entre un client (pc) et le routeur fire-wall. J'ai donc fait l'achat de ce model et viens de l'installer aujourd'hui (au démarrage le ventilateur faisais un bruit étrange d'ailleur mais a disparu au bout d'une heure le temps de rodage surement ... )

Donc voila, pour le moment le l'ai mis entre mon réseau 192.168.1.0/24 et le futur serveur (hp ml350gen9) 192.168.2.0/24 le temps de le configuré avant d'aller dans l'entreprise final.

Il tourne avec le firm 4.3.1, ai-je intéret à le metre à jours ? (perte de fonctionnalité ; nouveaux bugs ou au contraire plus de perf ; plus de stabilité etc ...) le client n'est pas la NSA et n'a pas besoin d'une sécurité d' "enfer".

J'ai tester le VPN IPSEC avec "shrew" la connexion marche à merveil ; le TSE est fluide entre le HP et mon pc client ... mais je pert ma connexion internet sur mon poste (surement due à ce soft ?) Je dispause de 5 licences Client lite (livré avec) et 5 licences client Pro (acheter à par) je ne l'est ai pas testé, je ne sais comment géré les licences, si il y a une limite d'activation ou autre ... ni les différences majeurs entre les deux versions, je regarderais demain, si quelqu'un a des liens je ne suis pas contre 🙂

J'ai regarder les règles pare-feu pour activé la réponse ICMP mais je but sur ce coté ... les autres boitiés on l'air de ne pas fonctionner de la même manieres pour le fire-wall

En tout cas merci d'avance et à bientôt.

jonjonoo · ‎2017-02-01

Bonjour,

Je recommande de mettre a jour le firmware qui va corrigé des bugs et améliorer la performance.

Le client Lite a moins de fonctionnalités que le Pro, mais si c'est juste pour une connexion VPN basique c'est suffisant.

La licence est valable pour 5 postes, il suffit de l'activer sur un poste avec accés internet. En desinstallation le logiciel (toujours avec acces internet) la licence sera libéré pour un nouveau poste.

Je ne comprends pas la phrase : "les autres boitiés on l'air de ne pas fonctionner de la même manieres pour le fire-wall "

GautierS · ‎2017-02-01

Bonjour et merci des info, du coup je reste sur 5 lite et 5 pro (il y aura 10 accès pour des commerciaux).

Je voulais dire par "les autres boitiés on l'air de ne pas fonctionner de la même manieres pour le fire-wall" dans les règles d'entrées / sorties entre le lan et le wan ne ce gérais pas de la même façon sur d'autre models netgear de ce que j'avais vue (une case a cochez pour le la réponce ICMP par exemple).

jonjonoo · ‎2017-02-01

Les interfaces des routeurs ProSafe sont assez consistente. Par rapport a un routeur grand public, en effet c'est trés différent.

GautierS · ‎2017-02-23

Bonjour, du nouveau l'installation du serveur est fini j'ai enfin le plans d'adressage.

Pour le moment, le SRX va être brancher derrière une FreeBox V6, doit-je le placé en DMZ (le srx) et rediriger des ports (les quels pour le VPN ?) Où la passer en mode bridge (la box) ?

pour le moment j'ai prévu de metre ceci:

Freebox 192.168.1.1

SRX5308 WAN 192.168.1.254 DMZ

LAN 192.168.0.254 (actuelement l'adresse de la freebox)

Plus tard, il sera bouger et sera connecter à deux box qui sont pour le moment sur deux réseaux séparé phisiquement (150 metre) mais une fibre va être tiré bientôt (1/2 mois) et les lignes déplacé (au passage quel type de load balencing ?)

ValerieD · ‎2017-02-24

Bonjour @GautierS ,

Je dirais que le mieux, si possible, serait de passer la Freebox en mode bridge.

Si ce n'est pas possible il faudrait mettre le SRX en DMZ sur la Freebox.

Pour la drnière question à propos du load balencing, jetez un coup d'oeil ici:

Load Balancing Options

Bonne journée à vous,

Valérie D

Equipe Netgear

GautierS · ‎2017-02-24

Round robin sera très bien (liaison de même vitesse des deux coter) sa évitera de trop charger le cpu du SRX aussi !?

Si je le met en dmz les ports ne seront pas rediriger automatiquement sur le srx aussi ?

Je ferai un test en mode bridge si cela ne va pas en DMZ ... ça permet de garder les services de la freebox si besoin.

Merci de vos réponces, je vous fait un retour quand ça sera mis en place.

ValerieD · ‎2017-03-06

Bonjour @GautierS ,

Pas de souci les ports seront redirigés.

J'attends de vos nouvelles.

Bonne journée à vous,

Valérie D

Equipe Netgear

GautierS · ‎2017-03-08

Bonjour,

merci des réponses, j'ai deux petits problemes 😕
- il y a un systeme de video déjà présent en DMZ, je vais demander les ports pour les rediriger depuis le firewall qui aura la même adresse que la box déjà installer.

- L'ip publique est en dynamique, quel paramètre doit-je personaliser dans l'installation du vpn.

Il y a bien un note qui précise qu'en dns dynamique il risque d'y avoir des coupure pendant le changement d'adresse ip mais je ne vois pas grand chose d'autre expliqué.

http://www.downloads.netgear.com/files/GDC/FVS318N/QSGVPN_4Apr2012.pdf

Bonne soirée.

ValerieD · ‎2017-03-09

Bonjour @GautierS ,

Pour ca il a deux options:

1. Configurer un DNS dynamique mais oui il peut y avoir des coupures le temps que ca rafraîchisse la nouvelle IP

2. Prendre une IP statique avec votre FAI (probablement la meilleure solution)

Bonne journée à vous,

Valérie D

Equipe Netgear

GautierS · ‎2017-03-30

Bonjours petit retour d'information.

La connexion en free est bien en ip fix, oufff !

je me suis heurté a quelque chose d'étrange, quand j'ai taper mes ip pour ma carte wan 1 la connexion a internet ne se faisais pas, j'ai mix la box en dhcp, j'ai recopier les info, déactiver le dhcp et renoter en manuel, mais toujours le même probleme du coup j'ai laisser en dynamique et est lier la mac avec l'adrese IP pour ne pas quel bouge sur la free box ...

J'ai mis mon srx en dmz, j'ai redirigé 4 port pour un systemes de vidéo, c'était du gâteau !

Pour le vpn, la aussi c'était plutôt simple (à part le fait que pour le client il faut metre l'id remote pour le local et vis versa logique mais il faut y pensé !)

donc tout est bon sauf un petit point:

J'ai un commercial qui avec sont netgear VPN client pro n'arrive pas à ce connecter lorsqu'il utilise la 3G de son téléphone pour sont pc portable (alors qu'il a bien internet avec) ça peut venir d'où ? (contract ? opérateur ? téléphone ? config du client vpn ?)

ValerieD · ‎2017-03-31

Bonjour @GautierS ,

Comme ça, sans plus de renseignements, je pencherais pour la config.

Quel type de téléphone possède votre commercial? Si c'est un Iphone jetez un coup d'oeil à cet article, sinon j'attends votre retour:

How to Setup VPN with NETGEAR Firewall and iPhone / iPad

Bonne journée à vous,

Valérie D

Equipe Netgear

GautierS · ‎2017-04-03

Bonjour,

Je l'ai vue ce matin, bonne pioche, il s'agit bien d'un téléphone à la pomme.
Je ne suis pas très compétent en iphone (un peu plus en android) mais il s'agis du dernier model apparement, pas d'anti-virus ou logiciel de filtrage, rien d'anormal à première vue dans les paramètres qui pourais bloquer le vpn entre le pc potable et le SRX,

J'ai regarder l'interface pour le VPN, mais il faut que je crée un nouveau profil pour son téléphone du coup ... suis je obliger d'ouvrire le vpn depuis son téléphone ?

PS: J'ai fait un pont avec mon vieux SAMSUNG ACE en 3G pour mon pc portable et il c'est bien connecter sans probleme ! J'utilise le même fichier de conf pour tout le monde donc pas de probleme de ce coté.

JustynaW · ‎2017-04-05

Bonjour @GautierS

C’était le même FAI ? Parfois le FAI bloque certains ports pour connexion 3G. Est-ce que votre commercial peut tester le VPN sur son IPhone en se connectant au réseau wifi ?

Bonne journée à vous

Justyna

Equipe Netgear

GautierS · ‎2017-04-06

Bonjour,

Pour le FAI, personnellement je suis chez bouygues en forfait bloquer (aucun soucis).

Oui justement en faisant un wifi partager avec son iphone + 3G, le VPN ne ce connecte pas.

JustynaW · ‎2017-04-07

Bonjour @GautierS

Et si vous désactivez la 3G sur son IPhone et que vous le connectez en wifi ? Ou vous mettez votre carte SIM dans son IPhone ?

Bonne journée à vous

Justyna

Equipe Netgear

GautierS · ‎2017-04-11

Bonjour,

Le téléphone en wifi puis le pc connecter dessus cela fonctionne parfaitement.

Il a d'autre soucis, dans son entreprise distante, sont collègue qui a un windows 10 (comme lui) connecter sur le même wifi, réussie à établire un pont, j'ai pris sont pc à distance et j'ai vue avec "ipconfig" une carte tunel isatap.belkin alors que sa carte est une "qualcomm atheros" avec les ip donnée par la wifi, je ne sais pas du tout ce que c'est et elle n'est pas visible dans le centre réseau et partage ni dans gestionnaire de périphérique ... le client vpn ne passe pas la phase 1, il a le même fichier de configuration que sont collègue.

Sont pc n'a que 2 mois et n'a pas grand chose dessus, j'ai déactiver le pare-feu pour faire un test mais toujours le même résultat.

Doit-je clore ce sujet et rouvrire une autre discution ?

JustynaW · ‎2017-04-13

Bonjour @GautierS

C’est vrai que dans cette discussion on a déjà 3 sujet diffèrent 🙂

Il sera difficile de cocher la solution...

Pour IPhone, vous êtes donc d’accord que le problème vient de fournisseur ?

Sur le client, dans la configuration de Prosafe VPN vous avez bien les 2 IP diffèrent ?

Bonne journée à vous

Justyna

Equipe Netgear