Serveur VPN Cisco et Client Pfsense
-
Le VPN ne me permet pas en soit l'écoute du trafic. Je l'utilise pour faire passer le trafic par un autre endroit d'où j'intercepte les communication. Je route différemment en fonction de l'adresse source. Si elle fait partie du réseau VPN, je route vers l'interception, sinon directement vers la sortie.
Pour le lien de la "Guideline" si cela vous intéresse, le voici : https://www.li.admin.ch/download/TR_TS_v3_1_20121109.pdf.
Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.
Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.
L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?
Tout se trouve dans les 2 derniers mots…
Donc impossible de faire transiter uniquement une mac-adresse ou un utilisateur PFS dans le VPN. Merci pour l'info. Peut-être que l'on peut scripter l'ajout d'un utilisateur PFS ou d'une mac-adresse à un groupe VPN ?
C'est vrai que le contexte n'était pas forcément clair, j'ai indiqué qu'il s'agissait d'un travail d'étude mais un peu tard dans le fil de discussion.
Merci pour vos réponses.
Salutations
-
Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.
Je ne suis pas d'accord car dans la configuration du span port (Cisco, Hp, …) on choisi le port dont le trafic est copié vers le span port. C'est un seul utilisateur qui sera concerné. On peut aussi imaginer que l'applicatif de collecte est paramétrable pour ne capturer que ce qui est autorisé.
je n'ai pas regardé sous cet angle ce qu'il serait possible de faire avec un switch niveau 3 ...Je vais par ailleurs consulter le document indiqué. Effectivement cela m’intéresse.
-
[…]
Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.[…]
Et? Si vous n'avez qu'une machine connectée au port du switch, vous n'aurez le trafic à destination et en provenance de cette machine plus le broadcast et le multicast… Après, c'est à l'pplicatif qui tourne derrière de faire le tri entre ces trafic… Idem si plusieurs machines sont connectées, un applicatif peut faire le tri…
[…]
De toutes façons, pour analyser le trafic capturé, vous devrez passer par un applicatif… Donc...
-
Cela fait vraiment partie des directives, je ne peu pas intercepter les communications d'une machine qui n'est pas incriminée.
C'est bien ce qui se passera avec un port de copie puisque que l'on doit désigner le ou les ports dont le trafic est copié vers le "span port".
Après il faut ré assembler tout cela pour que ce soit exploitable, ce qui n'est pas trivial. Il faut donc un applicatif qui va être capable de "comprendre" les différents protocoles. -
Autre directive, l'infrastructure à gauche de l'Alix (compris) ne doit pas être modifié, il s'agit de la partie client de l'infra. Pour des raisons de budget, l'ajout d'équipement doit se faire uniquement à droite de l'Alix (réseau de l'entreprise hotspot).
La vitesse de l'UPLINK sur un raccordement ADSL ne me permet pas cette solution chez le client. Le "span port" sera effectué mais sur le switch entre RT-VPN et RT-PAT.
-
Autre directive, l'infrastructure à gauche de l'Alix (compris) ne doit pas être modifié, il s'agit de la partie client de l'infra. Pour des raisons de budget, l'ajout d'équipement doit se faire uniquement à droite de l'Alix (réseau de l'entreprise hotspot).
La vitesse de l'UPLINK sur un raccordement ADSL ne me permet pas cette solution chez le client. Le "span port" sera effectué mais sur le switch entre RT-VPN et RT-PAT.
Heuuuu… Oui mais non... Enfin, je comprends plus rien...
Quelle est l'infra générale? S'il y a des sites distants avec de simples lignes ADSL (sous-entendu dont le trafic ne repasse pas par un site central), comment voulez-vous capturer les trafics avec un span sur un switch du site central?!?!?!
Ou alors, les trafics des hotspot repassent par un site central... Et là, ok, c'est possible. Et dépendant des info à conserver, il faut étudier une solution "qui va bienTM"
-
D’où l'idée du VPN !
Normalement, les sites distants avec de simples lignes ADSL ne passe pas par le site central ….
Sauf, celui à intercepter, qui au travers du VPN repasse par le site central pour interception avant de repartir sur la lignes ADSL.
D'ailleurs, j'avance dans mon proto de laboratoire, j'ai créer un Alias dans lequel j'ajoute les adresses IP des machines à intercepter, et j'autorise cet alias sur le réseau VPN et uniquement lui. L'idée me semble pas trop mauvaise mais je dois manquer quelque chose dans la config puisque lorsque je traceroute le trafic ne passe pas par ma zone d'interception. Surement une erreur dans ma règle.
A méditer.
Salutations.
-
Je ne suis toujours pas convaincu, c'est le moins que l'on puisse dire, par votre approche. Regardez si le Policy routing peut vous aider. Basiquement, encore et toujours, c'est un problème de routage.
-
Mon VPN fonctionne, j'ai traceroute pour voir si je passait bien par le point d'interception avant de sortir, et c'est le cas.
J'ai créer une règle qui autorise tout les protocoles, toutes les destinations et toutes les sources dans IPsec.
J'arrive à ping la sortie et un site comme google, mais lorsque je veux y accéder, je suis bloqué par le firewall. Il indique qu'il applique la règle par défaut : DENY alors que j'ai spécifié une règle qui autorise tout le trafic.
J'ai vu dans la doc IPSec troubleshooting qu'il fallait parfois activer le MSS Clamping, ce que j'ai fait, avec une valeur a 1300, mais aucun changement.
Les logs du firewall indique pour l'interface enc0 (que je suppose être celle de l'IPsec) le blocage de l'adresse ip source (google) pour ma station de destination.
L'information indiqué pour le blocage est :
@1 scrub in on vr0 all fragment reassemble
@1 block drop in log all label "Default deny rule"Je ne comprend pas puisque j'ai une règle qui autorise tout le trafic IPsec…
Si quelqu'un a une explication ...
Un problème de routage asymétrique ?
Merci pour vos réponses et salutations !
-
Je viens au nouvelles.
Toujours pas trouvé de solution pour ce qui semble être un blocage intempestif du firewall.
Ce qui est étrange c'est que je peu accéder à certains site (je dirais, ceux hébergés par le même fournisseur, comme le site du canton de Genève) mais impossible d’accéder à d'autres comme google.ch par exemple.
Je trouve ce comportement très étrange, je me suis renseigné auprès de l'administrateur réseau du canton qui m'a affirmé qu'il ne s'agissait pas d'un blocage chez eux.
En espérant avoir des éléments de réponse.
Salutations à vous !
-
J'ai trouvé la solution.
Il s'agissait d'un problème de fragmentation des trames. J'ai du changer de routeur cisco pour un plus récent qui gère la fragmentation.
J'ai suivi ce lien : http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml
Il faut activer sur les interfaces du routeur Cisco la commande :
(conf-if) ip virtual-reassemblyPuis régler le MSS de l'interface du VPN avec la commande :
(conf-if) ip tcp adjust-mss [valeur]J'ai ajusté le MSS à 1300 et dans pfsense –> Advanced --> Misc : ajuster le MSS clamping à la même valeur.
Voilà ma solution, j'espère qu'elle sera utile à d'autres utilisateurs rencontrant le même problème !
Salutations !