[OpenVPN]Règles de filtrage

bezourox

Bonjour,

Je viens de mettre en place un tunel VPN entre 2 pfsense 1.2.3
Configurations de ces dernières :

squid + squidguard
HAVP
openVPN

Le tunel se monte et j'arrive à faire du rsync entre mes pfsense.
Mon problème est que depuis mon site central, impossible de me connecter à sur la pate LAN de ma pfsense distante via puTTY (ssh) et idem dans l'autre sens.
Dans mes logs du FW : @61 block drop in log quick all label "Default deny rule"
Par défaut je suppose qu'une pfsense refuse les connexions ssh depuis des adresses qui ne font pas partie de son réseau, mais comment modifier celà ?
J'ai créé une règle sur le WAN de chaque pfsense pour autoriser le ssh depuis la source any vers destination any, celà n'est pas suffisant ?
Je dois avouer je ne suis pas encore familiarisé avec les règles de filtrage sous pfsense. J'étais habitué à une autre solution.
Un screen d'un exemple de règles de filtrage pour autoriser dans le tunel ssh/http/https/ftp/samba/telnet serait bienvenu.

Par avance, merci.

ccnet

Il vous faut créer une interface VPN (peu importe le nom). Une interface logique qui correspond à la connexion du reseau vpn. C'est sur cette interface et non sur wan qu'il faut créer les règles pour autoriser ces trafics. Sur wan UDP/1194 suffit. Les flux que vous souhaitez autoriser sont encapsulés lors de leur arrivée sur wan. Le réseau par lequel il entre est celui choisi pour le vpn.

bezourox

Bonjour,

Donc si je comprends bien je dois désactiver la génération automatique des règles de filtrages pour mon VPN, assigner une interface à mon tunnel, et enfin générer mes règles de filtrages de pfsense.

En gros, appliquer cette configuration : http://doc.pfsense.org/index.php/OpenVPN_Traffic_Filtering_on_1.2.3 ?

jdh

Il me semblait avoir lu qu'avec 1.2.3, il n'est pas possible de filtrer sur l'interface VPN …
Sur 2.0RC, il est possible de filtrer par interface VPN (OpenVPN, PPtP, ...).

Par ailleurs, à partir d'une certaine taille, il est à conseiller (fortement) de séparer le proxy et le firewall ...
Mais ça on le lit toutes les semaines ...

bezourox

Bonjour,

J'ai essayé de déclarer une nouvelle interface (OPT1) à laquelle j'ai rattaché mon tunnel.
J'ai désactivé l'auto création de règles pour le VPN, et enfin j'ai défini une règle sur ma nouvelle interface.
Source : any
Destination : any
Port : any
Gateway : Default
J'applique la conf, et là c'est pire qu'avant, je n'accède plus à mon réseau distant (ping/ssh/http)

Sur la pfsense de mon site principal (10.163.135.x), les logs du firewall me disent :

Action      Date                Interface      Source                Destination      Protocole 
Bloqué  Jun 30 16:10:01  LAN  10.163.135.29:3338  10.145.7.1:5900  TCP:FP

Or sur le LAN, je n'ai qu'une seule règle :
Source : LAN
Destination : Any
Port : Any
Gateway : Default

Si je repasse en configuration classique, le comportement est étrange (je ne l'avais pas remarqué lors de l'ouverture de ce thread)
Si je lance une connexion de bureau à distance ou une connexion SSH depuis le site principal sur un serveur du site distant, la connexion s'initialise.
Je me logue en shh ou en session TSE, et au bout de 10 secondes, perte de connexion….
Les firewall me parlent de blocage, et pourtant ils m'autorisent bien la connexion pendant quelques secondes....

Auriez vous des pistes ? je suis complètement dérouté

ccnet

Je suis un peu loin ces temps ci pour vous répondre.

bezourox

Pas de souci.
Départ en vacances pour 3 semaines donc on voit tout ça plus tard :)