Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Interface WAN connectée à un vpn wireguard

    Scheduled Pinned Locked Moved
    Français
    2
    7
    655
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bilm
      last edited by

      Bonjour,

      Contexte : Je suis débutant avec PfSense. J'ai déjà administré plusieurs serveurs mais pour des services simples (LAMP pour sites web,etc) ou en étant assisté par le système d'exploitation yunohost pour beaucoup de réglages.
      J'administre de petits serveurs auto-hébergés derrière une freebox et reliés au net via des VPN wireguard (avec ip dédiés) dans les locaux d'une association.
      Nous nous sommes équipé d'un nouvel ordinateur neuf pour y regrouper nos différents services éparpillés sur 2 serveurs auto-hébergés actuellement. J'ai installé l'hyperviseur Proxmox sur cette nouvelle machine.
      PfSense sera installé dans une VM sur proxmox. Un réseau LAN accueillera nos différents services sur plusieurs VM ou containers.

      Besoin : Je souhaite encapsuler avec mon tunnel wireguard le trafic entrant sur l'interface WAN de la VM PfSense.
      Les services déployés sur le réseau LAN connecté à la VM PfSense seront joignables via l'IP du VPN (et non l'IP public de la freebox)

      Schéma :
      ![https://apptrashuniverse.org/drive/s/aerPcg3CnpbwCaY](image url)

      Question :
      Est-ce possible de paramétrer PfSense pour que le trafic entrant sur l'interface WAN passe par un tunnel VPN Wireguard ?
      Je dispose des infos nécessaires suivantes pour la connection VPN : mes IPv4 et IPv6 public, la publicKey et l'IP endpoint du serveur VPN.
      Si c'est possible quelles sont les étapes à effectuer après installation de wireguard dans le GUI PfSense ?
      Faut il créer un tunnel wireguard de type site-to-site puis assigner l'interface WAN ?

      Merci d'avance pour votre aide !
      Bilm

      1 Reply Last reply Reply Quote 0
      • B
        bilm
        last edited by bilm

        Bonjour,
        Du coup pour tester j'ai tenté de mettre en place la configuration évoquée ci-dessus en local sur mon ordi via Virtualbox. J'ai créé une VM PfSense avec 2 interface et une seconde VM Ubuntu (juste 1 interface sur réseau interne et config en IP static) pour l'accès au GUI de PfSense.
        Avant tentative avec wireguard ma VM ubuntu a bien accès a internet avec l'ip de ma connexion.

        Puis, après avoir installé le package Wireguard, je me suis lancé dans la config dans PfSense d'un tunnel et d'un peer en m'inspirant d'une configuration wireguard site to site (https://docs.netgate.com/pfsense/en/latest/recipes/wireguard-s2s.html) et dans l'idée de relier ma VM PfSense au tunnel wireguard qui m'est fourni.
        Voici une capture d'écran pour la config du tunnel : https://apptrashuniverse.org/drive/s/RYaKPaXWbDrziYk
        Voici une capture d'écran pour la config du peer : https://apptrashuniverse.org/drive/s/ZJoPGgkTrMJPzE5
        Suite à l'activation du tunnel, il me semble que la config marche comme la page status le montre dans cette capture d'écran : https://apptrashuniverse.org/drive/s/gb8wiAaxR4Fo8D8

        Ensuite j'ai créé une règle dans le firewall pour autoriser tout le trafic depuis le tunnel wireguard tun_wg0 le temps du test.

        Et enfin j'ai tenté d'assigner tun_wg0 comme interface WAN dans Interfaces > Assignements.

        C'est à ce moment là que je perds l'accès à internet sur ma VM Ubuntu ???

        Pensez vous que j'ai oublié un ou des détails dans ma tentative de configuration ?
        Et/ou quels outils puis-je utiliser pour identifier là ou se trouve le ou les problèmes ?

        1 Reply Last reply Reply Quote 0
        • B
          bilm
          last edited by

          Salut,

          Donc j'ai réussi à avancer sur la mise en place de l'infra présenter dans mon premier. En demandant sur le sous-forum wireguard, on m'a déconsseillé d'utiliser l'interface WAN de ma vm pfsense pour le tunnel wireguard mais plutôt de créer une interface dédiée opt1 et de faire du "policy routed based".
          Après qq recherche sur ce terme, je me suis inspiré du tuto suivant (https://protonvpn.com/support/pfsense-wireguard/) pour donner accès à internet avec l'ip du VPN à une VM de mon LAN. Ça semble marcher même si après redémarrage de la vm pfsense, le tunnel a du mal à se reconnecter direct (il faut que je fasse une désactivation/réactivation de l'interface opt1 pour que le tunnel soit fonctionnel...
          Je suis preneur d'idées pour diagonstiquer cela ?

          Et maintenant, vu que mes vm sont censées fournir des services en ligne, je me lance dans la configuration d'un reverse-proxy avec haproxy !!!

          P 1 Reply Last reply Reply Quote 0
          • P
            Pandora88 @bilm
            last edited by

            @bilm

            Salut.. j'ai lu avec intérêt vos échanges. Est ce que tu as un retour par rapport à ton dernier message?
            Mercii

            B 1 Reply Last reply Reply Quote 0
            • B
              bilm @Pandora88
              last edited by

              Salut @Pandora88,
              Alors malgré plusieurs heures de test de différentes régles et réglages dans Pfsense je suis resté bloqué à l'étape du reverse-proxy (j'ai essayé avec HAproxy et Squid).
              Du coup pour l'instant j'ai contourné le problème (et pfsense) en installant NginxProxyManager dans un container proxmox connecté à mon VPN et en gérant le firewall avec les outils proposés par proxmox.
              C'est minimaliste mais pour l'instant ça marche !

              P 1 Reply Last reply Reply Quote 0
              • P
                Pandora88 @bilm
                last edited by

                @bilm said in Interface WAN connectée à un vpn wireguard:

                Alors malgré plusieurs heures de test de différentes régles et réglages dans Pfsense je suis resté bloqué à l'étape du reverse-proxy (j'ai essayé avec HAproxy et Squid).
                Du coup pour l'instant j'ai contourné le problème (et pfsense) en installant NginxProxyManager dans un container proxmox connecté à mon VPN et en gérant le firewall avec les outils proposés par proxmox.
                C'est minimaliste mais pour l'instant ça marche !

                Hello,

                Merci pour ce retour. J'ai fais quelques recherches, et voici quelques pistes à explorer:

                • Activation du mode "debug" pour HAProxy ou Squid, car cela peut aider à identifier les erreurs de configuration.
                • Fait un check des règles de pare feu sur pfSense parce parfois, une règle bloque le trafic vers reverse proxy.
                • Configurer un reverse proxy simple pour tester la configuration de base.

                Ce dernier point semble être super important parce que:

                • Ca fournit un max de sécurité comme la vérification de l’authentification des utilisateurs ou la détection des attaques de déni de service.
                • Ca permet de mettre en cache les réponses des serveurs de destination, ce qui peut réduire considérablement la charge sur ces derniers et améliorer les temps de réponse pour les utilisateurs.

                Pour ce qui est de la gestion des certificats SSL, le proxy NGINX est capable de porter le certificat pour chiffrer la connexion de bout en bout.

                Lors de la première connexion, mettre à jour obligatoirement les identifiants de l’admin. Après cela, vous pouvez vous accéderez au tableau de bord principal à partir duquel vous pourrez configurer vos hôtes proxy.

                Il est conseiller d'utiliser Docker et docker-compose pour déployer NPM, ce qui pourrait simplifier la gestion et la configuration.

                1 Reply Last reply Reply Quote 0
                • B
                  bilm
                  last edited by

                  Merci @Pandora88 pour toutes ces infos !
                  J'ai laissé un peu de côté le reverse proxy avec HAproxy et Squid pour l'instant et je me concentre sur Nginx Proxy Manager.

                  @Pandora88 said in Interface WAN connectée à un vpn wireguard:

                  Pour ce qui est de la gestion des certificats SSL, le proxy NGINX est capable de porter le certificat pour chiffrer la connexion de bout en bout.

                  Lors de la première connexion, mettre à jour obligatoirement les identifiants de l’admin. Après cela, vous pouvez vous accéderez au tableau de bord principal à partir duquel vous pourrez configurer vos hôtes proxy.

                  Il est conseiller d'utiliser Docker et docker-compose pour déployer NPM, ce qui pourrait simplifier la gestion et la configuration.

                  J'ai bien fait tout ça sur mon container qui héberge NPM.
                  Je vais continuer ma découverte au fur à mesure des services que je vais déployer dans mon LAN

                  Je m'y suis pas encore attaqué mais j'aimerais essayer de créer un tunnel VPN pour accéder à mon LAN et faire du cache sur NPM.
                  Je suis preneur d'infos si quelqu'un en a ?

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post