Vpn." Isole openvpn des autres interfaces" (dans mon cas mon Lan)

mouitido

Bonjour,

Context : cadre labo test. (Donc pour test) alixboard  256ram, compactflash 4go
Server vpn utilisé :Openvpn
client vpn utilisé : Openvpn
Pfsense : 2.1.5

Besoin :
Isolé openvpn des autres interfaces (dans mon cas mon Lan)

QUESTION
Actuellement j’ai un ‘openvpn server’ qui tourne sur une alixboard. J’ai delà 3,4 client opevpn qui si connecte, également sur une alixboard

La connections entre vpn fonctionne bien.

J’aimerai si possible isolé openvpn de mon interface Lan ex : 192.168.21.10 ?
Pour le moment : sur mon pc qui est branché dans mon lan (sur une alixboard monde client), j’arrive à pingé 172.32.32.10, c’est l’adresse que le server openvpn a donné au client..  Mais j'aimerai bloqué ça.

Schéma
Server
172.32.32.0/20
Avec push route  « push route 172.32.32.0 255.255.240.0"

Client
172.32.32.22
172.32.32.18
172.32.32.10

Log server :
default 10.0.0.100 UGS 0 2836854 1500 vr1
10.0.0.0/24 link#2 U 0 53106 1500 vr1
10.0.0.15 link#2 UHS 0 0 16384 lo0
10.15.15.0/24 link#1 U 0 4785622 1500 vr0
10.15.15.1 link#1 UHS 0 0 16384 lo0
127.0.0.1 link#7 UH 0 36 16384 lo0
172.32.32.0/20 172.32.32.2 UGS 0 12 1500 ovpns1
172.32.32.1 link#10 UHS 0 0 16384 lo0
172.32.32.2 link#10 UH 0 0 1500 ovpns1
192.168.4.0/24 link#3 U 0 0 1500 vr2
192.168.4.1 link#3 UHS 0 0 16384 lo0

Log client:

IPv4
Destination Gateway Flags Refs Use Mtu Netif Expire
default 172.20.119.1 UGS 0 36427390 1500 re1
127.0.0.1 link#6 UH 0 8109 16384 lo0
172.20.119.0/24 link#2 U 0 2961903 1500 re1
172.20.119.40 link#2 UHS 0 0 16384 lo0
172.27.4.0/24 link#1 U 0 0 1500 re0
172.27.4.1 link#1 UHS 0 0 16384 lo0
172.32.32.0/20 255.255.240.0 UGS 0 22 1500 ovpnc1
172.32.32.1/32 255.255.240.0 UGS 0 0 1500 ovpnc1
172.32.32.22 link#10 UHS 0 0 16384 lo0
192.168.2.0/24 link#3 U 0 61081052 1500 re2
192.168.2.1 link#3 UHS 0 0 16384 lo0
255.255.240.0 link#10 UH 0 0 1500 ovpnc1

Source
Je ne mets rien, je rien trouve de très concert

Je vous remercie de votre aide.

ccnet

Je ne comprend pas bien votre configuration même si j'entrevois ce que vous souhaitez éviter.

J’aimerai si possible isoler openvpn de mon interface Lan ex : 192.168.21.10 ?

Cette façon de formuler les choses n'est pas claire. Ce que je comprend :
Vous ne souhaitez pas que les clients vpn puissent accéder au réseau Lan mais seulement à autre chose, sans doute, mais quoi ?
Si l'on considère le point de vue architecture réseau, il est bien évident (façon de parler) que les machines destinées à être accéder via un vpn doivent se trouver dans une zone bien cloisonnée (une dmz quasi étanche) pour éviter le pivotage (ou rebond) en cas de compromission. Ceci pour le principe général. Après comme je ne comprend pas bien votre demande je ne sais pas en dire plus.

mouitido

Je vais expliquer plus empellement la phrase
« J’aimerai si possible isoler openvpn de mon interface Lan ex : 192.168.21.10 ? »

Une fois qu’ Openvpn client à pris sont ip dans le Vpn.

Avec mon pc « qui est dans le lan du pfsense », j’arrive à pigné l’ip attribué dans le vpn.

Donc concrètement :

Mon pfsense à 2 interfaces le wan et le lan. J’ai configuré un client vpn avec openvpn.  Client qui se connecte à un Openvpn server.

Je ne suis pas encore un expert dans les règles dans le pfsense.

Ma question initiale est

« Isolé openvpn des autres interfaces »

Mais je peux surement voir la chose à l’ envers

La question peut être

« Comment isoler mon Lan, afin que je ne puisse accéder à Internet et mon Lan, mais rien D’autres ?»

J'ai joint les réglés de mon lan.

d'avance merci pour votre temps

ccnet

Je pense qu'il est temps de décrire complètement et exhaustivement votre configuration.
Vous nous dites qu'il y a deux interfaces sur Pfsense mais dans votre copipe d'écran on en voit 8 (certes Openvpn inclus) !

Une fois qu’ Openvpn client à pris sont ip dans le Vpn.

Perception des mécanismes mis en œuvre assez approximative …

Mon pfsense à 2 interfaces le wan et le lan. J’ai configuré un client vpn avec openvpn.  Client qui se connecte à un Openvpn server.

Les possibilités d'accès du client connecté via Openvpn vont dépendre principalement (mais pas seulement) des règles présentes sur l'interface Openvpn. Le routage choisi n'est pas neutre.

Comment isoler mon Lan, afin que je ne puisse accéder à Internet et mon Lan, mais rien D’autres ?

Avec les bonnes règles sur l'interface Lan.

Sur le plan fonctionnel je ne vois toujours pas clairement où vous souhaitez en venir. On ne comprend à quel service ou application les utilisateurs du vpn doivent accéder. Ce qui conditionne les règles à utiliser.
Merci d'accorder un peu plus de soin à la rédaction (orthographe et syntaxe) de vos messages, assez pénibles à lire.

mouitido

Je fais plus de shema, ça devrait être plus facile à comprendre. :P

merci de votre aide.

mouitido

correction shema

ccnet

Vous ne savez pas poser un problème correctement, ce qui rend sa résolution difficile. Tout ce que je peux vous dire, de ce que je comprend : mettez une règle sur Lan pour interdire la destination 72.32.32.10.