PhenIXUS

[JDHog]

Bonjour,

J'utilise pfSense (v1.2.3-Release) depuis plus d'un an sur mon réseau d'entreprise et tout fonctionne plutôt bien (mis à part l'accès vers un serveur ftp en DMZ qui un jour a cessé de fonctionner et que je n'ai jamais réussi à remettre en service). Vous m'aviez d'ailleurs bien aidé sur l'ancien forum pour la mise en place de pfSense à l'époque.

J'ai aujourd'hui besoin d'y ajouter un VPN mais suis totalement novice en la matière...

Voici le besoin :
Dans un premier temps, il s'agit de pouvoir administrer à distance plusieurs serveurs du réseau d'entreprise depuis un site distant.
Les serveurs sont de type Windows 2003 server, et différentes distributions de Linux (Ubuntu, Debian, CentOS).

Le client distant tourne sous Windows 7 derrière un routeur ADSL qui sera probablement bientôt remplacé par une freebox.

Dans un second temps je vais avoir besoin de :
- Gérer les postes clients Windows du réseau,
- Me connecter depuis un poste itinérant lors de déplacements,
- Accéder à d'autres réseaux en VPN depuis le même poste client.

Ma question principale est de savoir quel type de VPN je peux utiliser pour couvrir le besoin initial et permettre l'évolution vers les autres besoins ?

D'autre part, est il préférable de passer à pfSense 2 étant donné qu'il comporte visiblement pas mal d'évolutions autour du VPN ?
J'imagine dans ce cas qu'il sera préférable d'installer pfSense 2 from scratch, ce qui pourra eventuelement me permettre de faire le ménage coté ftp en DMZ.

Merci d'avance pour votre aide

[jdh]

Par avance du modèle pour poser une question, je reprends en suivant le modèle que j'ai proposé :

* Contexte : pro ?

* Schéma : (à préciser)
Internet <-> box, routeur, modem <-> Firewall (pfSense)
Lan (adressage à préciser)

* Firewall : pfSense v1.2.3, addons (à préciser), marque/modèle (à préciser), cartes réseaux (à préciser)

* Adressages utilisés : WAN= , LAN=

* Problèmes rencontrés : accès à distance à des serveurs internes depuis un poste client distant (W7)

* Recherche de documentation : (préciser vos sources)

* Log :

* Pistes imaginées : utilisation d'un VPN

* Tests réalisés :

* Vérifications effectuées :


pfSense v2 est désormais la version de référence.
Concernant les VPN, on peut noter les avancées :
- filtrage dans les tunnels VPN : OpenVPN, (Pptp)
- pour OpenVPN, possibilité de gestion des certificats directement sur le firewall

OpenVPN est extrêmement simple à mettre en oeuvre et peu dangereux pour la stabilité d'une station (il faut être administrateur).

Je recommande
- l'utilisation d'OpenVPN,
- la migration vers la version 2.

[jibe]

Salut,

Juste pour info : le modèle pour les questions est désormais dispo (en version pré-alpha !) dispo sur le wiki. Je l'ai signalé hier soir sur le forum des gourous, et bien sûr tes commentaires et corrections seront très appréciés, jdh

J'attendais la version bêta pour annonce publique, mais du coup les lecteurs de ce fil en auront la primeur !

Désolé pour l'apparté un peu hors sujet !

[ccnet]

pfSense v2 est désormais la version de référence.
Concernant les VPN, on peut noter les avancées :
- filtrage dans les tunnels VPN : OpenVPN, (Pptp)
- pour OpenVPN, possibilité de gestion des certificats directement sur le firewall

OpenVPN est extrêmement simple à mettre en oeuvre et peu dangereux pour la stabilité d'une station (il faut être administrateur).

Je recommande
- l'utilisation d'OpenVPN,
- la migration vers la version 2.

Je recommande la même solution sans l'ombre d'une hésitation.
J'ajoute qu'il pourrait être envisagé une solution Ipsec avec certificat mais il faudrait qu'une analyse de risque ou la classification des données (DICT) le nécessite. Compte tenu de la façon dont le problème est formulé il ne semble pas que ce soir nécessaire, ni même souhaitable (complexité excessive par rapport au besoin a priori).

[JDHog]

Désolé, je suis allé un peu vite sans trop lire la charte.
Si je reprends à zéro, ça doit donner ça :

* Contexte : professionnel

* Besoin :
- Accès à distance à des serveurs internes depuis un poste client distant (W7)
- Accès à distances aux postes de travail internes (Windows XP ,Vista, 7, 32 et 64; Linux) depuis le même poste distant

L'accès à distance est destiné :
- A l'administration des serveurs et postes de travail.
- Au contrôle des sauvegardes et restaurations de fichiers depuis serveurs et NAS internes.

Plus tard :
- Accès à distance à d'autres réseaux (entreprises différentes) depuis le même poste client.
- Accès à distance depuis poste itinérant.

* Schéma : Cliquer sur l'image pour la voir en entier

network.jpg (53.32 Kio) Consulté 2010 fois

Ce schéma peut être amené à évoluer coté Home : en introduisant une Freebox et peut être un pfSense sur ALix

* Modem/Routeur/Box
Coté Pro : Modem ADSL
Coté Home : Modem Routeur ADSL Netgear

* Firewall : pfSense v1.2.3,
* addons : RRD Summary Package version 1.1; nut Version 2.2.2b; rate Package version 0.9
* PC Dell /Power Edge T110
* 3 cartes réseaux 1000BaseTX

* Adressages utilisés :
WAN= 82.127.x.y
LAN= 192.168.1.x / 255.255.255.0
DMZ= 192.168.2.x / 255.255.255.0

LAN Home = 192.168.1.x / 255.255.255.0 (peut évoluer si nécessaire)

* Demande de conseil :
La question principale est de savoir quel type de VPN je peux utiliser pour couvrir le besoin initial et permettre l'évolution vers les autres besoins ?
D'autre part, est il préférable de passer à pfSense 2 étant donné qu'il comporte visiblement pas mal d'évolutions autour du VPN ?

* Pistes imaginées : utilisation d'un VPN (IPsec ou OpenVPN)

* Recherche de documentation : (préciser vos sources)
Doc pfSense

* Logs & Tests réalisés : Aucun

Merci pour les réponses données plus haut.

Il y a quelque chose que j'ai pas bien saisi dans l'implémentation d'OpenVPN sur pfSense :
pfSense est il le serveur OpenVPN ? Ou uniquement une passerelle qui va pointer vers un serveur OpenVPN sur le réseau ? En d'autres termes, est-ce que pfSense se suffit à lui même pour établir les connexions VPN ?

Si je pars sur une solution OpenVPN, dois-je modifier l'adressage du LAN Home pour utiliser un sous-réseau différent ou cela n'a t'il pas d'importance ?
Un accès VPN vers la DMZ est il envisageable aussi ? Cela nécessite-t-il obligatoirement un serveur OpenVPN en DMZ ?
Existe-t-il une doc en ligne ou des tutos pour la mise en œuvre d'OpenVPN sur pfSense 2 ?
Dois-je obligatoirement installer pfSense from scratch ? Vu que l'update est possible depuis la version 1.2.3 ?

[jdh]

Bravo pour la reprise du 'formulaire' !

* OpenVPN :
Il faut
- un serveur : ici ce sera pfSense,
- un client : le client avec OpenVPN installé et lancé en tant qu'administrateur (OpenVPN Gui),
- des certificats (PKI) : une authorité de certification (CA), un certificat signé pour le serveur et un pour le client.

L'intérêt de pfSense v2, c'est que la 'PKI' peut être gérée dans pfSense. (cf un mini tuto que j'ai rédigé sur un autre fil ...).

Le serveur étant situé sur le firewall, il est à la fois la 'gateway' des clients et des machines du LAN.
Cela permet de n'avoir pas de route à ajouter.

(En général on ajoute dans la config serveur par un 'push route' les réseaux auxquels on accède.)


* Adressage :
La config 'basique' d'OpenVPN est une config en mode routé.
Donc il faudrait que les réseaux d'un côté et de l'autre soit différent.
J'écris 'faudrait' parce si localement (=près du client), l'adresse ip ne répond pas, on peut accéder au serveur (à distance).
Mais franchement c'est quand même à déconseiller !
Perso, j'ai changé le 192.168.1.1 de ma box pour éviter les problèmes.

Il faudra, un jour, changer votre adressage de réseau 'pro' parce que 192.168.1.x ce n'est pas idéal.
Par exemple, 192.168.(département).x (sauf pour l'Aisn !).

Je ne comprends pas bien : la DMZ et le LAN ont le même adressage ?
C'est à dire que les 2 réseaux sont bridgés ?
Je déconseille cela parce que le firewall doit ajouter une couche réseau pour identifier sur quelle carte il peut joindre chaque machine.
On peut faire sans, et c'est pas plus mal (192.168.(100+département).x).
A retravailler ...

* Upgrade pfSense :
Je n'ai pas trop souvenir l'avoir effectué entre une 1.2.3 et une 2.0. (= J'ai du le tester une fois avec succès)
Mais il est possible que cela fonctionne.
C'est selon ... ça dépend du temps nécessaire à la reconstruction au cas où
C'est parfois mieux, si on du temps, pour remettre à plat la configuration : une bonne config, c'est 100% des règles avec alias !

[JDHog]

Merci pour tes réponses très complètes.

Pour la DMZ, c'est un typo, j'ai corrigé mon post, l'adressage exact de la DMZ étant 192.168.2.x / 255.255.255.0

Pourquoi l'adressage du LAN Pro en 192.168.1.x n'est-il pas idéal ? (la société ne comporte qu'un seul site).

Il s'agit d'une petite PME, qui comporte une trentaine de machines sur le LAN, L'usage d'un sous réseau pour le LAN et un autre proche pour la DMZ ne pose pas de problème théorique.
Ceci dit, je vais sans doute passer la DMZ sur un sous réseau très différent car bien que le plan d'adressage soit normalement connu de tous, j'ai souvent des petits malins qui montent un sous réseau en 192.168.1.2 sur le LAN.

[jdh]

Justement parce que cet adressage est celui basiquement de tous les utilisateurs chez eux,
et que cela pose (doit poser ?) des problèmes en établissant un VPN (via OpenVPN par exemple).

[JDHog]

J'ai ajouté des précisions entre temps sur mon post précédent.

OK pour l'adressage en 1.1, ce type d'adressage peut donc me poser des problèmes si je me connecte en itinérant depuis un réseau autre que chez moi par éxemple (hotel, etc...).

Ca va être compliqué de changer ça, mais le VPN étant pour l'instant à mon usage unique, ça ne devrait pas être bloquant dans l'immédiat.

Pour l'instant, je pense partir comme suit :
pfSense 2 réinstallé from scratch et OpenVPN

Pour chez moi, je modifierai le plan d'adressage sans problème.
Plan d'adressage LAN Pro inchangé pour l'instant
Adressage DMZ en 192.168.10y.x / 255.255.255.0

Ce weekend, j'installe pfSense 2 sur la même machine (nouveau disque pour conserver la v1.2.3 fonctionnelle en cas de problème)
Semaine prochaine, mise en place OpenVPN

Futur proche : remplacement de mon modem/routeur par une freebox chez moi.

Ma question est peut être un peu con, mais dois-je envisager la mise en place d'un pfSense sur boitier type Alix chez Moi plutôt que de me contenter des "protections" de la box ? Est-ce que je risque pas de me prendre la tête avec tous les services annexes de la freebox (TV, téléphonie, etc...) ?

[JDHog]

L'intérêt de pfSense v2, c'est que la 'PKI' peut être gérée dans pfSense. (cf un mini tuto que j'ai rédigé sur un autre fil ...).

Peux tu m'indiquer où ? J'ai cherché sur le nouveau forum et archives de l'ancien mais j'ai rien trouvé.