Comment " laisser sortir " les connexions VPN ?
-
Bonjour,
J'espère m'y prendre comme il faut pour poser ma question.
J'ai installé PFSense sur un vieux serveur, sur la patte qui me restait sur le Firewall Hardware (Cisco ASA-5510). L'objectif, c'est de mettre là tout le traffic lié au Wifi, gérer les accès grâce au portail captif, et tracer les logs pour des raisons légales.
L'installation s'est bien déroulée, il n'y a rien de bien particulier, la seule utilité " réelle " à cette heure étant la gestion du Wifi (mais je potasse ce formidable outil pour le décliner ailleurs ou autrement).
Les gens surfent donc comme ils veulent, les logs sont bien exportés vers un serveur Rsyslog séparé. Il y a néanmoins UN souci, c'est quand les utilisateurs veulent se connecter à leurs propres entreprises en établissant une connexion VPN depuis le Wifi. Là, ça ne fonctionne jamais, quel que soit l'outil qu'ils utilisent.
Tout traffic est autorisé sur la partie firewall PFsense pour le LAN Wifi, il n'y a pas de souci côté Cisco, puisque si je coupe Pfsense et que je mets les points d'accès en direct, tout fonctionne normalement pour la partie VPN.
Il y a quelque chose qui m'échappe, c'est une partie que je dois mal maîtriser (je m 'en rends compte), mais je ne demande qu'à m'améliorer :)
Pour ce genre de souci, que dois-je vérifier, où dois-je commencer à chercher ?
D'avance merci !
-
C'est assez clair au niveau de la description mais pourrais-tu quand même préciser comment tu fais ça d'un point de vue réseau.
J'intuite que ton serveur pfSense à 2 interfaces réseau, 1 LAN et 1 WAN et que le WAN est connecté au Cisco ASA.
Quid du plan d'adressage ? -
Quid des log pfSense ?
Au delà de "ça ne marche pas", as-tu eu l'occasion de regarder ce qui se passe au niveau des log du FW ? -
Plan d'adressage et contenu des logs seraient bienvenus !
-
Salut salut
il nous manque effectivement des informations
Pour ma part un schéma (je vois sourire les anciens avec ma continuelle demande de schéma) un bon schéma clair avec
- des adresses
- des sens ou fleches de qui va où etape par étape (schéma décisionnel ou de progra, si je fait "ça" je vais "là" si non "ici" puis go to end)…
- des log remontés.
Relire les conf étape par étape.
Cordialement.
-
Je fais un petit schéma détaillé et je reviens vers vous avec ces précisions, merci :)
-
Donc voici le petit schéma.
Il y a bien 2 interfaces sur le serveur, et je précise car ça peut sembler bizarre, que les 2 " réseaux " (Wifi-Pfsense et Pfsense-ASA5510) sont sur la même plage d'adressage (mais sont bien séparés) car quand des " huiles " débarquent et veulent à tout prix utiliser leur VPN, je coupe Pfsense et les bornes permettent de " sortir " directement et sans souci en mettant la patte de l'ASA sur leur switch sans devoir tout remodifier niveau adressage des bornes Wifi.
Le but de l'utilisation de Pfsense dans l'entreprise, c'est pour le Wifi, le portail captif, la gestion de la bande passante et le log pendant 2 mois du surf des utilisateurs (j'ai ajouté le module Squid, mais qu'il soit activé ou non, ça ne change rien au souci VPN).
C'est donc du très très basique (pour l'instant, maintenant que j'ai mis le nez dans la bête, j'ai envie d'approfondir le sujet et les possibilités) :
-
Donc voici le petit schéma.
Il y a bien 2 interfaces sur le serveur, et je précise car ça peut sembler bizarre, que les 2 " réseaux " (Wifi-Pfsense et Pfsense-ASA5510) sont sur la même plage d'adressage (mais sont bien séparés) car quand des " huiles " débarquent et veulent à tout prix utiliser leur VPN, je coupe Pfsense et les bornes permettent de " sortir " directement et sans souci en mettant la patte de l'ASA sur leur switch sans devoir tout remodifier niveau adressage des bornes Wifi.
Rien compris à cette configuration de réseau "séparés mais pareils". Vous gagneriez à faire les choses proprement.
Juste une chose un peu essentielle : comme dans tout firewall ou presque, l'évaluation des règles se fait sur la base de la première règle qui est vérifiée (renvoie vrai pour la paquet concerné). Les règles ont évaluées dans un ordre qui est celui de l'affichage dans l'interface : de haut en bas. L’inversion de l'ordre des règles 2 et 3 devrait régler votre problème.
Sous réserve de la partie à laquelle je n'ai rien compris.
-
Rien compris à cette configuration de réseau "séparés mais pareils". Vous gagneriez à faire les choses proprement.
Je n'avais initialement rien compris mais je pense que notre amis veut dire que pfSense est en mode bridge ???
-
Désolé pour le manque de clarté, on va dire " C'est le même plan d'adressage des deux côtés du Firewall, LAN et WAN ".
Je teste ça dès que possible, merci pour les retours !
-
Désolé pour le manque de clarté, on va dire " C'est le même plan d'adressage des deux côtés du Firewall, LAN et WAN ".
Si c'est dans le même plan d'adressage mais pas en mode bridge, je doute fortement que ça fonctionne ;)
Et j'avoue que je ne suis pas fan du tout du mode bridge quand ce n'est pas strictement indispensable. -
C'est moi qui m'explique décidément mal et vous fais perdre du temps, je suis désolé. Je vais remettre tout ça au propre et avec un schéma plus clair (2 plans d'adressage), je vous tiendrai informés.
Pour une dernière " tirade " sur le sujet, je considérais que les 2 interfaces du serveur menaient à 2 réseaux distincts, l'un appelé WAN, l'autre LAN, et peu importait le fait qu'ils aient le même plan d'adressage en 192.168.0.x puisqu'ils sont sur 2 réseaux séparés, du moment que le routage se fasse entre les deux. Mais comme je viens de le lire ailleurs, le routage entre 2 sous-réseaux avec le même adressage pose problème.
Bref, je remets tout ça au propre, et je retourne potasser un peu mes cours poussiéreux sur les réseaux, ça me fera du bien :D
Merci pour les infos et pistes en tous cas, rien que d'écrire le schéma m'a mis le nez sur des choses alors que je m'étais dit " Bah pour si peu pas la peine de rédiger hein ".
-
Pour une dernière " tirade " sur le sujet, je considérais que les 2 interfaces du serveur menaient à 2 réseaux distincts, l'un appelé WAN, l'autre LAN, et peu importait le fait qu'ils aient le même plan d'adressage en 192.168.0.x puisqu'ils sont sur 2 réseaux séparés, du moment que le routage se fasse entre les deux.
Lorsque Lan et Wan sont les interfaces de Pfsense, de deux choses l'une.
1. Les deux interfaces sont bridgées et par définition elle appartiennent au même sous réseau. Ce n'est pas le mode de fonctionnement par défaut de Pfsense. Si on l'utilise, il faut bien comprendre que, par définition encore, il n'y a pas de routage. Le terme routage (au sens où vous l'entendez ) n'a de sens que dès lors qu'il s'agit de joindre une interface dans un sous réseau autre que celui de l'interface de sortie de la source. Dans l'absolu cette présentation n'est pas juste mais simplifions.2. Pfsense est dans sa configuration par défaut. Alors il est indispensable, pour que Pfsense fonctionne correctement, que toutes les interfaces appartiennent à des réseaux différents. C'est dans les spécifications du produit.
Tout ce qui est en dehors de ces deux situations ne peut que poser des difficultés.
Mais comme je viens de le lire ailleurs, le routage entre 2 sous-réseaux avec le même adressage pose problème.
Si ce n'est que l'on ne peut pas parler de sous réseaux différents, ni de routage si les deux segments sont, par exemple, dans 192.168.1.0/24. On ne peut pas parler de routage simplement parce que les dispositifs à ce niveau (couche 2) ignorent complètement la couche 3 (donc les adresses ip) or le routage est précisément un mécanisme propre à la couche 3 (réseau).
-
Je n'ai pas accès a t'es screen donc difficile de bien comprend ton problème.
Selon moi tu peux pas avoir deux sous réseau avec le même adressage.
Si t'es en /24 sur du 192.168.0.x
Ton second sous réseau sera 192.168.1.x
Tout dépends de la longeur de ton masque.Ni non CCnet a raison je pense que pour éviter les problème il serais préférable que tu n'ai pas le même réseaux sur t'es pattes pfsense.
Je regarderais les screen a l'occas historie de mieux comprendre ta problématique d'adressage.
