Bonjour
 
J'ai installé un Netasq f200 chez mon client avec une install des plus basiques qui soit.
 
Un LAN, une DMZ, un NETASQ F200, un routeur FT en bridge.
 
J'ai fais mes règles de NAT, forward, etc. J'accède bien depuis l'extérieur à mon site sur le port 80, rdp sur 3389, etc.
 
Le seul soucis que j'ai c'est que tous mes postes et serveur du LAN n'accèdent pas à Internet. J'arrive bien à pinger des sites externes mais impossible d'y accèder. Autre chose de bizarre: il m'est possible de réaliser des recherches google en faisant apparaître des résultats mais il n'est malheureusement pas possible d'accèder aux sites...
 
J'ai pensé à un problème de DNS mais ceux sont les DNS de FT et ils sont corrects. Je n'ai pas de proxy http, ni de filtrage d'url. J'ai check la taille de mes buffers en les augmentant même et pas mieux. Idem pour les MTU...
 
Voici un screen d'une erreur que j'ai dans le syslog lorsque je parcours un site (on voit bien le blocage alors que je me suis positionné en 'pass-all' pour mes tests).
 
Si quelqu'un a une idée...
 

quel régle asq bloque ce flux ?

as tu mis une régle de filtrage acceptant la résolution DNs de ton réseau vers "any"
As tu créé une rélge de filtrage de ton réseau vers any port 80.
Fais aussi le port ftp et 443

j'ai désactivé l'asq pour les tests (et pourtant j'ai ce paquet dans le syslog qui est bloqué), je suis en 'pass-all' complet et j'ai pas mieux
sinon sur le slot en question lorsque je l'aurais activé, j'ai bien le domain up de up en any depuis mon LAN et une règle pour le web (http/https/http proxy) ouverte en any vers mon fw_out.
Sinon le port sql et ftp, j'ai disable.

dans la realtime monitor quel régle de filtrage te fait un block ?
si ce n'est pas l'asq c'est une régle de filtrage ?
 

quesition béte sur ton firewall tu as bien mis dans NU MANAGER --> reseau --> routage ---> l'ip de ta passrelle de sortie ?

ah je parlais de la désactivation des règles de filtrage à mon niveau pardon, je suis bien en 'pass-all' pour mes tests là.
 
un autre screen où on voit bien un blocage alors que je ne devrais pas en avoir...
 

 
EDIT: oui pour ta question ci-dessus, j'ai bien l'ip de la gateway sinon je pense que je ne pourrais même pas pinguer des sites publics

pourrais tu plutot me donner les log en ssh
tail –f /log/l_filter | grep x.x.x.x <-- ip de la machine a surveiller qui va su internet
et/ou
tail –f /log/l_alarm | grep x.x.x.x
tu auras pétre plus de détail

regarde le MTU de ton interface au lieu de 1500 met le 1496 (si tu as des vlan)
ou moin

j'ai fais un test de mtu et ils doivent bien être affecté à 1500 (-28 soit 1472 lors des tests cmd)
 
je viens de faire des tests de tracerts sur différents sites et cela fonctionne convenablement, l'itinéraire se termine complètement.
 
lorsque je ping un site internet (DNS), j'ai maintenant une réponse
 
cependant, tjr le même soucis après.

quelle version logiciel du netasq ?

8.0.1 me semble

met a jour le firmware en 8.1.4
ne met pas la 9 sauf si tu veux être en full web et reparamétrer une bonne partie de ta conf

as tu regarder dans l'asq stateful ?
dans  la taille minimale des fragment j'ai 140octets et 2secondes pour l'expiration.

tu y es arrivé ? c'etais quoi le probléme ?

nan, le presta est repassé sur un old fw, un f50 v6.0 et cela fonctionne parfaitement.
j'ai check les règles, nat, buffers, qui étaient paramétrés dessus et j'ai quasi la même chose sur le f200.
 
un truc de malade, prochain check dans 3 semaines