Question sur les VPN

nono

Bonsoir à tous,

Je n'ai pas de soucis de conf mais plutôt des soucis de compréhension sur les VPN.
En fait je ne comprend pas pourquoi dans tous le tutos que j'ai lu il est préconisé de ne pas utiliser le même adressage pour les clients VPN que les machines du LAN … ce qui nécessite l'ajout de routes.
Sur le plan du concept, un VPN permet aux clients de fonctionner comme si ils étaient sur le LAN, ce qui me gène s'il ont un adressage IP différent mais bon ...

Ma question est donc pourquoi privilégier la solution "plans d'adressage différents + routage" plutôt que "même plan et proxy arp" ?

Merci de vos éclaircissements.

lylian

@nono:

En fait je ne comprend pas pourquoi dans tous le tutos que j'ai lu il est préconisé de ne pas utiliser le même adressage pour les clients VPN que les machines du LAN … ce qui nécessite l'ajout de routes.

Salut Nono

Je me suis aussi posé la question il y quelques temps , et la réponse est vraiment toute bête:

Extrait de mon tuto Pfsense 2, chapitre 4.2 ^^:

Les deux sous réseaux distants doivent impérativement être différents. En effet dans le cas ou A et B possèdent le même sous réseau, chaque requête depuis un PC sous réseau A vers un autre dans le sous réseau B sera bouclée automatiquement dans le sous réseau source, à savoir ici le sous réseau A. le Pare feu PfSense domaine A ne sera jamais donc sollicité pour router la requête.

+++
Lylian

nono

OK, mais pourquoi ne pas utiliser la fonction de proxy ARP sur l'interface LAN de façon à ce que Pfsense prenne en compte les réponses qui lui sont adressé au niveau MAC mais pas au niveau IP ?
En clair tout se passe comme si Pfsense avait X @IP virtuelles correspondant aux X clients VPN, du coup tout le monde est sur le même sous réseau A et on s'affranchit ainsi du routage.

Petite précision quand je parle des @IP des clients VPN je parle des @ attribuées par Pfsense à l'interface virtuelle installée par le client VPN (openvpn dans mon cas).

lylian

Je n'ai jamais testé ce genre de configuration Nono… Cependant dans la théorie je ne vois pas d'inconvénients à mettre en place un Proxy ARP, si ce n'est ce problème récurent de spoofing ou d'inondation de table ARP , problèmes qui sont à risques forts pour la configuration que tu veux mettre en place...

Pour ce qui est de la gestion des clients VPN je préfère les avoir sur un sous réseau différent pour bien segmenter mes populations. Dans le sens ou PfSense exécute du NAT sur mes clients VPN, je n'ai pas à me soucier de la communication VPN <=>LAN. De plus je fixe correctement les limites de cette communication en configurant proprement mon Firewall.

En bref, je trouve le ProxyARP intéressant et simple à mettre en place, mais les problèmes de sécurité qu'il soulève et le manque de solutions associées, me pousse à segmenter les différentes populations...

nono

OK j'y vois un peu plus clair. Comme souvent, on trouve d'un côté de la balance "simplicité" de l'autre "sécurité" !!!