Routage vers un équipement interne pour accès à une plateforme via VPN
-
Bonsoir à tous,
Ma femme avocate vient de souscrire au RPVA (Réseau Privé Virtuel des Avocats). Cela se traduit par la mise en place d'un boitier RPVA dans son réseau et de cartes à puces USB portant des certificats. Le boitier permet d'accéder à la plateforme e-barreau via un VPN porté par le boitier.
Dans la doc fournie par le fabricant du boitier, il est recommandé de mettre le boitier entre le routeur et le reste du LAN. Celui-ci reroutant en faisant un réseau intermédiaire. Chose que je refuse car je ne sais pas ce que fait cette boite noire et que j'ai d'autres services en place pour ne pas vouloir pêter tout mon réseau. Il y a alors un mode "gateway" qui permet de brancher le boitier comme un client d'un réseau existant. Par contre, il faut ensuite passer sur les PCs du réseau pour indiquer le boitier RPVA comme passerelle par défaut et DNS par défaut. Cela ne m'arrange pas du tout et je souhaite pouvoir configurer cela au niveau de mon routeur PfSense. Notamment parce qu'il y a des portables en situation de mobilité.
Historiquement, le réseau au cabinet était configuré de la façon suivante :
- 192.168.3.0/24 = réseau wifi porté par l'interface OPT1
- 192.168.7.0/24 = réseau filaire porté par l'interface LAN
- 192.168.5.0/24 = IP virtuelle pour la liaison OpenVPN site à site avec mon domicile, notamment pour externaliser les backups.
- 10.0.8.0/24 = Serveur OpenVPN pour un accès à distance au cabinet
A mon domicile:
- 192.168.2.0/24 = réseau géré par la BBox avec mon routeur pfsense comme unique client
- 192.168.4.0/24 = réseau géré par pfsense
- 192.168.5.0/24 = IP virtuelle pour la liaison OpenVPN site à site avec le cabinet
- 10.0.9.0/24 = Serveur OpenVPN pour un accès à distance à mon domicile
Jusque là, aucun problème et jusqu'à ce qu'arrive ce boitier RPVA.
Sur la base ce qui est marqué ici (http://www.cuifavocats.com/RPVA-tentative-de-tutoriel-sous,47), j'avais donc rajouté :
- une "gateway" pointant sur le boitier RPVA
- que la route en 172.30.0.0/16 pointait vers la gateway définie ci-dessus
- du DNS forwarding pour les domaines concernés vers le boitier RPVAv (ie e-barreau.fr et icarpa.fr ; fallait-il rajouter les versions avec www ?)
- Cocher le "Bypass firewall rules for traffic on the same interface" dans System > Advanced > NAT/Firewall comme conseillé dans la doc pfsense lors de la mise en place de routes statiques
Et cela n'a pas fonctionné.
Ce midi, j'ai changé un peu la donne en changeant la conf du serveur DHCP pour que le DNS et la gateway soient le boitier RPVA (plutot que de le mettre en dur au niveau des PCs clients dans leur conf réseau). Cela a fonctionné pour les PCs branchés en filaire mais pas ceux en wifi.
Du coup, j'ai mis en place un bridge sur LAN & OPT1 comme indiqué ici (http://www.osnet.eu/fr/content/pfsense-v20-dhcp-et-bridge). Même si l'accès RPVA fonctione alors, j'ai des problèmes avec les postes en wifi pour avoir une connection internet. J'ai une IP pour ces postes et un accès aux ressources locales mais pour le coup, plus moyen de sortir sur internet via le boiter RPVA comme DNS et passerelle. Il y a une question que je me pose dans cette configuration : faut-il activer l'interface "bridgée" OPT2 dans mon cas et configurer un DHCP uniquement sur cette interface plutôt que sur LAN uniquement ?
Merci d'avance d'avoir tout lu et pour vos réponses :)
PS : sur le schema, la partie Firewall & OpenVPN est bien sur portée par pfsense ;)
-
Ma compréhension de la configuration est un peu perturbée par le schéma. Je ne comprend pas bien la différence Firewall d'une part et Pfsense qui est juste à côté.
Mais peu importe. Sur le principe j'ai eu quelques fois des configurations similaires à mettre en place. J'ai toujours procédé de la même façon avec succès. Pfsense est le firewall, il comporte éventuellement un service OpenVPN actif. Dans le cas où le réseau comporte un lan, une dmz et une connectivité internet via wan j'ajoute une interface à Pfsense (physique ou vlan, physique c'est plus simple) à laquelle je connecte l'équipement (routeur ou autre). J'ajoute la ou les routes statiques qui me permettent de joindre le réseau distant. En aucun je ne connecte un dispositif "étranger" directement dans une zone. Je passe obligatoirement par le firewall et une interface dédiée. -
Bonjour,
Effectivement, comme ajouté dans mon "PS", mon routeur pfsense intègre la partie firewall & openvpn. Désolé pour la confusion engendrée.
Sur mon équipement, je n'ai que 3 ports physiques (WAN, LAN, WIFI). Je vais donc devoir passer par un VLAN.
Au delà de l'aspect sécuritaire/propre que je rejoinds pour des questions de bonnes pratiques, en quoi un VLAN va me permettre un meilleur routage par rapport à ce que j'ai essayé de faire initialement au sein d'une unique zone ?
Vais déjà (re)lire la doc pfsense sur les VLANs dans un premier temps ;-)
Merci pour la piste,
Nicolas -
en quoi un VLAN va me permettre un meilleur routage par rapport à ce que j'ai essayé de faire initialement au sein d'une unique zone ?
Vlan ou interface physique sur le plan du routage ce sera pareil. L'intérêt est que Pfsense se charge du routage et que les machines des réseaux connecté directement à Pfsense n'ont pas à connaitre la topologie. Donc pas d'intervention sur ces systèmes pour le routage.
Dans votre situation, il y a en gros deux cas de figure. Je suppose que le RVPA est 172.30.0.0/16. Dans tous les cas on ajoute une interface sur Pfsense en 172.30.1.254, par exemple, qui est connecté à l'équipement fourni.
Premier cas : on souhaite atteindre un système distant qui se trouve dans le réseau 172.30.0.0/16. Il n'y a rien à faire, ça doit marcher tout seul, Pfsense sait ce qu'il faut faire pour router. Rien ne change pour vos systèmes internes.
Second cas : le système distant se trouve dans un autre réseau que 172.30.0.0/16, par exemple 10.0.0.0/8 alors, dans Pfsense il faut ajouter une route statique pour dire que le réseau 10.0.0.0/8 est accessible en passant par l'interface 172.30.1.254. Là aussi rien ne change pour vos systèmes internes.On en reste à la règle de base du routage ip : chaque machine ne connait que le saut suivant et ne sait rien du chemin à suivre ensuite pour atteindre la destination.
En résumé si vous intervenez avant la route par défaut du réseau, il faut que chaque système, de ce réseau, connaissent les bonnes informations de routage, ce qui est peu commode.
-
En fait, le boitier RPVA a une IP sur mon réseau de mon choix (ie que je peux définir). Le 172.16.30.0/16 sont les IP de destinations via le VPN du boitier. Je ne connais pas l'IP virtuelle utilisée dans le cadre du VPN entre le boitier RPVA et le site cible.
Vais voir avec le support RPVA s'ils peuvent me fournir des infos complémentaires pour mettre en place ce système de routage.
Merci !
-
le boitier RPVA a une IP sur mon réseau de mon choix (ie que je peux définir). Le 172.16.30.0/16 sont les IP de destinations
Alors nous avons tout ce qu'il faut.
Je ne connais pas l'IP virtuelle utilisée dans le cadre du VPN entre le boitier RPVA et le site cible.
Si j'ai bien suivi, je dirai que l'on s'en moque.
-
Donc si j'ai bien compris, je remets ce que j'avais mis en place précédemment mais en décomposant mon inteface vr0 qui portait le LAN en 2 VLANs :
- 1 pour le LAN historique,
- 1 pour le segment de réseau qui va accueillir le boitier RPVA
Sur le VLAN du LAN, je mets une route qui renvoie tout le traffic à destination de 172.16.30.0/16 sur l'IP du boitier RPVA, cette dernière ayant été déclarée comme "gateway" également.
Il me semblait pourtant que les gateways doivent être sur le même subnet que l'interface dans pfsense (ou alors je m'y prends mal) ?
-
Donc si j'ai bien compris, je remets ce que j'avais mis en place précédemment mais en décomposant mon inteface vr0 qui portait le LAN en 2 VLANs :
- 1 pour le LAN historique,
- 1 pour le segment de réseau qui va accueillir le boitier RPVA
Oui
Sur le VLAN du LAN, je mets une route qui renvoie tout le traffic à destination de 172.16.30.0/16 sur l'IP du boitier RPVA, cette dernière ayant été déclarée comme "gateway" également.
Oui, dans "System: Static Routes" si l'ip du boitier n'est pas dans 172.16.30.0/16.
Si le boitier et l'interface peuvent être dans 172.16.30.0/16 (ce qui parait peu probable) alors il n'y a rien à faire.
-
Ok, merci beaucoup.
Je m'y mets de suite, même si faudra que j'aille sur site pour tester ça…
-
Supposons que je crée le réseau 192.168.10.0/24 sur l'interface OPT2 pour y mettre le boitier RPVA et que je mette à ce dernier comme IP : 192.168.10.254.
Je fais donc dans System > Routing > Gateway > Add.
Là, je choisis interface OPT2 avec pour IP 192.168.10.254.
Ensuite, je fais System > Routing > Routes > Add.
Là je déclare 172.16.30.0/16 comme destination network et comme passerelle, la passerelle déclarée juste au dessus.
C'est là ou ce n'est pas clair pour moi : en faisant ça, est-ce à dire que le routage sera fait que pour l'interface OPT2 ou bien pour toutes les interfaces ? Si je regarde Diagnostics > Routes, je dirais que c'est toute mais j'ai un doute. Car à partir du moment où la gateway est associée à l'interface OPT2, j'ai l'impression qu'elle n'est valable que pour cette interface. Et en même temps pfsense refuse que je mette une gateway à une interface dont l'IP n'est pas dans le subnet associé à l'interface…
Merci d'avance,
Nicolas -
Pour toutes.
-
Merci pour la confirmation.
Sauf que manque de pot, le switch du cabinet ne semble pas supporter les VLANs (http://www.netgear.fr/home/products/solutions-filaires/switches-10-100-1000/GS605.aspx#one)
Va falloir que j'envisage l'achat d'un "vrai" switch du coup…
-
On trouve du Cisco d’occasion 10/100 manageable pas trop chez comme les Catalyst 2950 ou 3500 en version XL-EN. Moins de 100 €. Avec un vpn derrière sur ADSL, le 100Mbits suffit largement.
-
Bonjour,
En attendant d'avoir l'équipement qui va bien pour la mise en place des VLAN, je me suis remis dans la configuration ou le boitier a une IP sur mon LAN (porté par l'interface LAN).
Sur un poste branché sur l'interface LAN, pas de problème pour accéder au système distant. Par contre, pour les postes en WIFI via l'interface OPT1, je ne parviens pas à accéder au système distant.
Quelle règle de routage pourrait-il bien me manquer ? La résolution DNS est correcte depuis les postes wifi.
-
C'est le même cas de figure que précédement. Il faut indiquer, sur Pfsense que, pour joindre le réseau au delà du boitier, il ne faut pas utiliser la passerelle par défaut mais l'ip du boitier.
Une petite lecture du site de Ch Caleca, le chapitre routage, pourrait vous mettre au clair sur ces questions.
http://irp.nain-t.net/doku.php/080routage:start -
Bonjour,
C'est ce que j'ai fait justement - Tout le traffic à destination de 172.30.0.0/16 passe par 192.168.7.198 (boitier RPVA). Cela fonctionne en mode filaire (Interface LAN, 192.168.7.0/24) mais pas en wifi (Interface OPT1, 192.168.9.0/24).
Faut-il que je force la passerelle du réseau 192.168.9.0/24 vers 192.168.7.1 (IP PFsense pour l'interface LAN) au lieu de 192.168.9.1 (IP PFSense pour l'interface OPT1) ?
Si la route statique doit s'appliquer pour toutes les interfaces, je ne comprends pas pourquoi ça coince sur OPT1 et pas sur LAN ?
Ci-joint la table de routage si cela peut clarifier. Les IP publiques sont masquées.
Merci,
