Routage vers un équipement interne pour accès à une plateforme via VPN
-
Ma compréhension de la configuration est un peu perturbée par le schéma. Je ne comprend pas bien la différence Firewall d'une part et Pfsense qui est juste à côté.
Mais peu importe. Sur le principe j'ai eu quelques fois des configurations similaires à mettre en place. J'ai toujours procédé de la même façon avec succès. Pfsense est le firewall, il comporte éventuellement un service OpenVPN actif. Dans le cas où le réseau comporte un lan, une dmz et une connectivité internet via wan j'ajoute une interface à Pfsense (physique ou vlan, physique c'est plus simple) à laquelle je connecte l'équipement (routeur ou autre). J'ajoute la ou les routes statiques qui me permettent de joindre le réseau distant. En aucun je ne connecte un dispositif "étranger" directement dans une zone. Je passe obligatoirement par le firewall et une interface dédiée. -
Bonjour,
Effectivement, comme ajouté dans mon "PS", mon routeur pfsense intègre la partie firewall & openvpn. Désolé pour la confusion engendrée.
Sur mon équipement, je n'ai que 3 ports physiques (WAN, LAN, WIFI). Je vais donc devoir passer par un VLAN.
Au delà de l'aspect sécuritaire/propre que je rejoinds pour des questions de bonnes pratiques, en quoi un VLAN va me permettre un meilleur routage par rapport à ce que j'ai essayé de faire initialement au sein d'une unique zone ?
Vais déjà (re)lire la doc pfsense sur les VLANs dans un premier temps ;-)
Merci pour la piste,
Nicolas -
en quoi un VLAN va me permettre un meilleur routage par rapport à ce que j'ai essayé de faire initialement au sein d'une unique zone ?
Vlan ou interface physique sur le plan du routage ce sera pareil. L'intérêt est que Pfsense se charge du routage et que les machines des réseaux connecté directement à Pfsense n'ont pas à connaitre la topologie. Donc pas d'intervention sur ces systèmes pour le routage.
Dans votre situation, il y a en gros deux cas de figure. Je suppose que le RVPA est 172.30.0.0/16. Dans tous les cas on ajoute une interface sur Pfsense en 172.30.1.254, par exemple, qui est connecté à l'équipement fourni.
Premier cas : on souhaite atteindre un système distant qui se trouve dans le réseau 172.30.0.0/16. Il n'y a rien à faire, ça doit marcher tout seul, Pfsense sait ce qu'il faut faire pour router. Rien ne change pour vos systèmes internes.
Second cas : le système distant se trouve dans un autre réseau que 172.30.0.0/16, par exemple 10.0.0.0/8 alors, dans Pfsense il faut ajouter une route statique pour dire que le réseau 10.0.0.0/8 est accessible en passant par l'interface 172.30.1.254. Là aussi rien ne change pour vos systèmes internes.On en reste à la règle de base du routage ip : chaque machine ne connait que le saut suivant et ne sait rien du chemin à suivre ensuite pour atteindre la destination.
En résumé si vous intervenez avant la route par défaut du réseau, il faut que chaque système, de ce réseau, connaissent les bonnes informations de routage, ce qui est peu commode.
-
En fait, le boitier RPVA a une IP sur mon réseau de mon choix (ie que je peux définir). Le 172.16.30.0/16 sont les IP de destinations via le VPN du boitier. Je ne connais pas l'IP virtuelle utilisée dans le cadre du VPN entre le boitier RPVA et le site cible.
Vais voir avec le support RPVA s'ils peuvent me fournir des infos complémentaires pour mettre en place ce système de routage.
Merci !
-
le boitier RPVA a une IP sur mon réseau de mon choix (ie que je peux définir). Le 172.16.30.0/16 sont les IP de destinations
Alors nous avons tout ce qu'il faut.
Je ne connais pas l'IP virtuelle utilisée dans le cadre du VPN entre le boitier RPVA et le site cible.
Si j'ai bien suivi, je dirai que l'on s'en moque.
-
Donc si j'ai bien compris, je remets ce que j'avais mis en place précédemment mais en décomposant mon inteface vr0 qui portait le LAN en 2 VLANs :
- 1 pour le LAN historique,
- 1 pour le segment de réseau qui va accueillir le boitier RPVA
Sur le VLAN du LAN, je mets une route qui renvoie tout le traffic à destination de 172.16.30.0/16 sur l'IP du boitier RPVA, cette dernière ayant été déclarée comme "gateway" également.
Il me semblait pourtant que les gateways doivent être sur le même subnet que l'interface dans pfsense (ou alors je m'y prends mal) ?
-
Donc si j'ai bien compris, je remets ce que j'avais mis en place précédemment mais en décomposant mon inteface vr0 qui portait le LAN en 2 VLANs :
- 1 pour le LAN historique,
- 1 pour le segment de réseau qui va accueillir le boitier RPVA
Oui
Sur le VLAN du LAN, je mets une route qui renvoie tout le traffic à destination de 172.16.30.0/16 sur l'IP du boitier RPVA, cette dernière ayant été déclarée comme "gateway" également.
Oui, dans "System: Static Routes" si l'ip du boitier n'est pas dans 172.16.30.0/16.
Si le boitier et l'interface peuvent être dans 172.16.30.0/16 (ce qui parait peu probable) alors il n'y a rien à faire.
-
Ok, merci beaucoup.
Je m'y mets de suite, même si faudra que j'aille sur site pour tester ça…
-
Supposons que je crée le réseau 192.168.10.0/24 sur l'interface OPT2 pour y mettre le boitier RPVA et que je mette à ce dernier comme IP : 192.168.10.254.
Je fais donc dans System > Routing > Gateway > Add.
Là, je choisis interface OPT2 avec pour IP 192.168.10.254.
Ensuite, je fais System > Routing > Routes > Add.
Là je déclare 172.16.30.0/16 comme destination network et comme passerelle, la passerelle déclarée juste au dessus.
C'est là ou ce n'est pas clair pour moi : en faisant ça, est-ce à dire que le routage sera fait que pour l'interface OPT2 ou bien pour toutes les interfaces ? Si je regarde Diagnostics > Routes, je dirais que c'est toute mais j'ai un doute. Car à partir du moment où la gateway est associée à l'interface OPT2, j'ai l'impression qu'elle n'est valable que pour cette interface. Et en même temps pfsense refuse que je mette une gateway à une interface dont l'IP n'est pas dans le subnet associé à l'interface…
Merci d'avance,
Nicolas -
Pour toutes.
-
Merci pour la confirmation.
Sauf que manque de pot, le switch du cabinet ne semble pas supporter les VLANs (http://www.netgear.fr/home/products/solutions-filaires/switches-10-100-1000/GS605.aspx#one)
Va falloir que j'envisage l'achat d'un "vrai" switch du coup…
-
On trouve du Cisco d’occasion 10/100 manageable pas trop chez comme les Catalyst 2950 ou 3500 en version XL-EN. Moins de 100 €. Avec un vpn derrière sur ADSL, le 100Mbits suffit largement.
-
Bonjour,
En attendant d'avoir l'équipement qui va bien pour la mise en place des VLAN, je me suis remis dans la configuration ou le boitier a une IP sur mon LAN (porté par l'interface LAN).
Sur un poste branché sur l'interface LAN, pas de problème pour accéder au système distant. Par contre, pour les postes en WIFI via l'interface OPT1, je ne parviens pas à accéder au système distant.
Quelle règle de routage pourrait-il bien me manquer ? La résolution DNS est correcte depuis les postes wifi.
-
C'est le même cas de figure que précédement. Il faut indiquer, sur Pfsense que, pour joindre le réseau au delà du boitier, il ne faut pas utiliser la passerelle par défaut mais l'ip du boitier.
Une petite lecture du site de Ch Caleca, le chapitre routage, pourrait vous mettre au clair sur ces questions.
http://irp.nain-t.net/doku.php/080routage:start -
Bonjour,
C'est ce que j'ai fait justement - Tout le traffic à destination de 172.30.0.0/16 passe par 192.168.7.198 (boitier RPVA). Cela fonctionne en mode filaire (Interface LAN, 192.168.7.0/24) mais pas en wifi (Interface OPT1, 192.168.9.0/24).
Faut-il que je force la passerelle du réseau 192.168.9.0/24 vers 192.168.7.1 (IP PFsense pour l'interface LAN) au lieu de 192.168.9.1 (IP PFSense pour l'interface OPT1) ?
Si la route statique doit s'appliquer pour toutes les interfaces, je ne comprends pas pourquoi ça coince sur OPT1 et pas sur LAN ?
Ci-joint la table de routage si cela peut clarifier. Les IP publiques sont masquées.
Merci,
