Pb d'accès Internet site distant

jobez

Bonjour,
je reviens vers vous car j'ai un nouveau soucis.
Voici mon archi réseau :

(site 1) :

Routeur Wan (internet)
      |
Carte Wan pfsense
      | Pfsense 2.0.3
Carte Lan pfsense 192.168.1.0/24
      |
Switch RZO local–-----PC + Routeur VPN 192.168.1.10

4 sites déportés ayant chacun un routeur VPN.

Le trafic inter-sites au niveau des lans VPN ne posent plus de problème (merci jdh).
Jusque là, les sites distants sortaient sur internet par le biais du fournisseur d'accès par les routeurs vpn distants.
Pfsense connaît les différentes routes pour aller sur les sites distants (renseigné)
Mais maintenant, je veux que la sortie internet se fasse par le site 1 via pfsense.
Y a-t-il quelque choses de  spécifique à paramétrer au niveau du NAT ou du firewall car quand le FAI redirige le flux internet vers le site 1,
les sites n'arrivent pas à sortir sur internet.
Depuis un site distant, on pingue bien l'ip lan de PF, l'ip Wan de PF, l'ip Wan du routeur internet mais rien de plus.

Merci par avance à ceux qui prendront le temps de répondre.

psylo

Ajouter les sites distants dans le NAT et dans les règles de filtrage.

jdh

1- Un PC sur site distant a comme passerelle le routeur du FAI.
2- Le routeur du FAI fournit un service de VPN, donc connait les routes vers les autres sites distants dont le site principal.
3- MAIS il a lui-même une route "par défaut"

Il est impératif, pour ce besoin, que les routeurs FAI ait une route par défaut via l'ip LAN de pfSense.
(En clair, pfSense n'est pas impacté.)

Néanmoins, c'est une erreur pratique car les flux Internet seront transportés vers le site central et redescendront alors qu'ils aurait pu sortir localement.
Pour les entreprises que je suis, je préconise une SDSL et une ADSL par site : la SDSL pour les flux vpn entre sites et pour la messagerie, l'ADSL pour l'accès à Internet local du site.
(Bien sur cela oblige à avoir un proxy par site mais ce n'est pas un problème majeur.)

jobez

Bonjour Messieurs,
merci d'avoir pris le temps de répondre.
Problème résolu.
Déclaration d'une rule dans le LAN firewall en autorisant 192.168.2.0/24(site distant) vers tout

• NAT de la plage ip en 1:1 vers l'ip publique de mon opérateur.

Pour répondre à ta question JDH,
par site, j'ai un accès fibre nominal + 1 accès secours SDSL
la partie gestion des flux est comprise dans mon abonnement (QOS classe 3)

Je rebondis sur autre chose :
dans pfsense, quand tu utilise le VPN PPTP, il redirige bien les flux data du pc distant
qui se connecte vers pfsense le pc client récupère l'ip publique de pfsense.
Hier soir, j'ai mis en service openvpn sur la pfsense, rentré à la maison et en testant
la connexion vers pfsense, pas de problème mais je ne récupère plus l'ip publique de
pfsense.
Y a-t-il quelque chose de spécifique à faire au niveau config ?
En vous remerciant par avance messieurs.

ccnet

@jobez:

Hier soir, j'ai mis en service openvpn sur la pfsense, rentré à la maison et en testant
la connexion vers pfsense, pas de problème mais je ne récupère plus l'ip publique de
pfsense.
Y a-t-il quelque chose de spécifique à faire au niveau config ?
En vous remerciant par avance messieurs.

Je ne comprend pas. Je ne comprend pas parce que je ne vois pas comment une machine se connectant à une autre (distante) pourrait utiliser l'ip de cette machine distante pour établir une communication.
Dans la configuration du serveur vpn "Address pool" est il correctement renseigné ? C'est à dire un subnet privé qui ne soit pas utilisé ailleurs, par exemple 192.168.100/24.

jdh

Avec pfSense, il ne faut pas utiliser de vpn PPTP !
Pour 2 raisons : PPTP est obsolète et faillible, et il existe une alternative (OpenVPN) parfaitement fiable et simple à mettre en oeuvre.
Donc, on n'utilise pas PPTP, point barre.
En outre, pfSense apporte des contraintes supplémentaires avec PPTP.

Un autre avantage d'un vpn OpenVPN versus vpn PPTP (pour un client nomade), est qu'OpenVPN ne fait pas tout passer par le vpn par défaut (l'option "Redirect Gateway" d'OpenVPN).
Dans la pratique, un client nomade en PPTP qui accède aux serveurs de l'entreprise et qui ouvre un navigateur pour aller vers Internet, naviguera en réalité depuis l'entreprise.
Tandis qu'un client nomade en OpenVPN restera "local" s'il ouvre un navigateur !

ccnet

Pour paraphraser un comédien et humoriste disparu : "J'aime pas PPTP !"
Pour les bonnes raisons expliquées plus haut. PPTP utilise un algorithme cassé (RC4) sur le plan cryptographique. De plus son implémentation, côté Microsoft est défectueuse. Ce qui fait beaucoup de problème pour un vpn.

jobez

Bonjour Messieurs et merci pour vos réponses.

Du coup, merci jdh pour cette info (OpenVPN ne fait pas tout passer par le vpn par défaut (l'option "Redirect Gateway" d'OpenVPN)).
C'est ce que je cherchais à faire, je veux que quand mon client se connecte en VPN, il repasse par la boite pour ressortir sur internet.

Cette option + un coup de NAT en manuel sur la plage ip d'openvpn et c'est OK.

Je clos le sujet.

jdh

Ccnet oublie (ne cite pas) que, pour pfSense, il y a 2 contraintes supplémentaires : pas de serveur PPTP et de client derrière le même firewall (même ip), pas 2 clients vers des serveurs différents via le même firewall (même ip). Ca commence à faire comme défauts …

Concernant OpenVPN, l'option "Redirect Gateway" n'est pas cochée par défaut.
Je pense que c'est préférable (de lapin).
Parce que, passer par le site distant, dans une liaison cryptée, ralenti nettement la navigation, qui n'est pas toujours super "professionnelle" en plus.
Mais c'est vous qui voyez ...
En fait, le seul intérêt est de continuer à filtrer la navigation AMHA.

(Avec Redirect Gateway, pas de NAT à faire : pfSense reçoit du trafic de la range distante VPN et NAT vers le Wan comme le Lan, de la même façon !)