Port Forwarding VPN vers VM

Nylream

Oui, mon provider VPN me donne un acces avec une IP fixe.
Je souhaite utiliser PFsense pour que cet acces soit partagé entre plusieurs VM (et machine fixe).
J'ai effectivement opté pour une patte du NAS sur chaque réseau, une fois qu j'arriverais à faire du port forwarding, je ferais peut être autrement :p

jdh

Bravo pour la rédaction de ce premier post !

Certaines choses ne sont pas claires mais c'est un bon début …

Je reprends le schéma :

Internet <-> BBox <-> réseau 'WAN'

Dans ce réseau 'WAN' (d'adressage 192.168.10.0/24), on trouve

• 2 Pc
• 1 nas
• 1 hôte de virtualisation (VMware ESXi) (que je présume avec 2 cartes ethernet)

L'hôte de virtualisation comporte 2 VM : 1 firewall pfSense et une VM Linux.
Je présume que

• il y a 2 vswitchs, connectés chacun à 1 carte réseau, qui pourraient être nommés 'WAN' et 'LAN'
• la VM pfsense comporte 2 interfaces : l'une reliée au vswitch 'WAN', l'autre relié à 'LAN'
• la VM linux ne comporte qu'une interface reliée au vswitch 'LAN'

Enfin, je présume que le nas a 2 interfaces réseau : l'une connecté au réseau 'WAN', l'autre relié à un switch 'LAN'.
Je présume que la justification de ce double branchement est lié au fait que la Bbox accède au NAS et que le 'LAN' le devrait aussi, ce qui reste peu habituel !

Je ne comprends pas la motivation que le firewall pfSense soit client OpenVpn : est ce pour un accès vpn de redirection de trafic via un serveur VPN suédois pour résister à 'un accès gouvernemental' ?

1ère remarque :
La (bonne) logique serait de ne relier la Bbox qu'à la carte réseau 'WAN' (vswitch 'WAN') de l'hôte de virtualisation,
et de relier les pc, le nas à un switch physique sur lequel la carte 'LAN' de l'hôte serait elle même reliée.
Cette bonne logique permet de regrouper, dans le 'LAN', toutes les machines qui doivent être protégées.

2me remarque :
A quoi sert un 'port forward' ?
Un 'port forward' sert à transférer un trafic, arrivant sur l'interface 'WAN', vers un serveur interne (dans un 'LAN' ou 'DMZ').
Ici le nas, dans le 'LAN' peut être la cible d'un 'port forward'.

A ne pas mélanger avec le VPN : si le firewall est serveur VPN (OpenVpn p.e.), il n'y a pas de port forward à créer, mais il y a, au contraire, à créer une rule dans l'onglet 'WAN' pour le trafic VPN.
Ici, si le firewall est serveur OpenVPN sur udp/1194, il faut

• au niveau firewall, une règle dans 'WAN' qui accepte sur 'WAN address' le flux Ipv4/UDP/port 1194
• et, au niveau de Bbox, un forward du même UDP/1194 vers l'ip 'WAN' de pfSense (ou s'il existe une notion 'DMZ' dans la Bbox = qui transfère la totalité du trafic vers la même ip).

NB : commencer par configurer OpenVpn avec le port traditionnel UDP/1194 avant de changer de port : il est important, pour la performance, de rester en UDP !

'Faire ressortir le trafic par le VPN' est assez aisé :

• les rules de l'onglet 'LAN' doivent utiliser la 'gateway' non par défaut mais celle du client OpenVpn.
• (normalement) le NAT outbond ne devrait pas être utilisé (mais je n'ai pas expérimenté ce type d'usage).

chris4916

@Nylream:

Oui, mon provider VPN me donne un acces avec une IP fixe.

C'est que je ne comprends pas dans ton explication.
J'intuite (plus que je comprends) que tu as un équipement (pfSense ?) que tu connectes en permanence avec un client VPN à un serveur hébergé sur internet que tu accèdes ensuite depuis l’extérieur (via un autre tunnel VPN ?) pour avoir accès à ton LAN au travers du tunnel ?

C'est un tunnel de bout en bout depuis ton client sur internet ou c'est juste un moyen d'avoir une IP fixe ?

jdh

Merci de confirmer l'usage du client OpenVPN …

Si je parle de 'serveur OpenVPN', c'est que pfsense peut être à la fois ... 'client OpenVpn' et 'serveur OpenVpn'.

• le 'client OpenVpn' est destiné à la sortie de trafic dans un but de 'pseudo-masquage' p.e.
• le 'serveur OpenVpn' est destiné à un accès sécurisé depuis l'extérieur vers le LAN et toutes les machines protégées.
  Et il est clair que c'est l'organisation qui me parait la plus efficace et sécurisé de répondre aux besoins exprimés !

En sus de cet accès OpenVpn, un accès de nas peut être autorisé via un usuel https=tcp/443.
Ainsi un admin a accès à tout var le VPN (entrant) + certificat, mais les amis peuvent voir le, seul, nas de façon simple et usuelle.

Nylream

Oui, il s'agit bien d'un client vpn, et pas d'un serveur, (même si c'est en projet pour plus tard).

Précisions :
L'ESXI n'a qu'une seul carte réseau, malheureux, mais je n'ai que ça pour le moment, du coup, la VM sur laquelle est le PFsense à 2 cartes virtuel, mais sur une seule physique.

J'utilise le VPN pour deux chsoes ici.
Donner à certaines de mes machines un accès internet protégé des regards.
Un acces de l'exterieur sur mon réseau, toujours protégé des regards
(Qui a dit parano ?  ;D )

De l'exterieur donc, je tiens à pouvoir acceder à mes VM, ainsi qu'à mon NAS.
Le NAS a bien 2 carte réseaux, habituellement en agrégation, mais pour le peu de gain que ça procure, là, j'ai modifié la la configuration pour avoir, en effet, une patte sur chaque LAN (B-Box et PFsense).

Pour ce qui est d'utiliser la Bbox comme modem seul, et PFsense comme routeur, ce serait mieux si j'avais une machine pour le PFsense qui possède plusieurs vrai cartes réseaux.
Par ailleurs, je ne souhaite pas que tout mon trafic passe par le VPN (l'acces VPN n'étant pas optimum pour certains loisir tel que les jeux vidéos par exmple), mais seulement certaines machines, je me doute que c'est configurable, mais je n'ai découvert PFsense que depuis 3 jours…

chris4916

@Nylream:

Oui, il s'agit bien d'un client vpn, et pas d'un serveur, (même si c'est en projet pour plus tard).

Donc si je reformule, il s'agit d'un pfSense installé sur ton LAN sur lequel tu configures un client VPN connecté à un serveur sur internet.

Tu accèdes depuis internet  (je ne sais pas trop comment) une autre extrémité du tunnel pour avoir accès au LAN qui est derrière pfSense et tu veux également utiliser ce tunnel pour que les machines derrière pfSense accèdent internet via le tunnel.

C'est ça ?

Donner à certaines de mes machines un accès internet protégé des regards.

La protection s'arrête au bout du tunnel (coté serveur sur internet) nous sommes bien d'accord ?

Un acces de l'exterieur sur mon réseau, toujours protégé des regards

Là aussi la protection, c'est uniquement pour le segment qui est dans le tunnel (sauf si tu établis également un tunnel entre ton poste et le serveur sur lequel est également connecté pfSense)

Pour répondre à ta question, en supposant que je la comprends bien (mais je n'en suis pas encore convaincu), il suffit de comprendre à quoi correspond l'IP publique et de faire, à partir de là, du port fowarding vers les services qui t'intéressent.

Nylream

C'est exactement ça, et oui, lorsque je souhaite acceder à mon réseau de l'exterieur, j'utilise également une connexion vpn depuis le post concerné, de cette manière seul un segment entre les deux serveur vpn est "en clair".

Pour ce qui est de l'IP publique on parle bien de mon IP fourni par le serveur VPN ?

Dans Firewall: NAT : Port Forward ?

@Nylream:

Firewall - NAT - Port Forward

IF 	    |  Proto   | Src. Addr   |  Src. Ports  | Dest. Addr | Dest. Ports |     NAT IP    |  NAT Ports  |  Description
OpenVPN 	    TCP		   *		        *	           *	      5001	      192.168.1.10	    5001     

Si je comprend correctement, il faut que je mette l'IP fourni par le serveur vpn dans Source.
Ce que je ne comprend pas, c'est qu'en ne spécifiant pas la source, je m'attendais à ce que par defaut, tout ce qui pointe sur mon interface OpenVpn sur le port 5001 soit redirigé sur l'IP local indiqué.
Là, tel que je le comprend, je restreindrais cette même règle pour indiquer que seul ce qui vient de l'IP du serveur VPN, et sur le port 5001 pointe sur l'IP du NAS.

IF 	    |  Proto   | Src. Addr   |  Src. Ports  | Dest. Addr | Dest. Ports |     NAT IP    |  NAT Ports  |  Description
OpenVPN 	    TCP	  10.14.**.**  	      *	         *	      5001	      192.168.1.10	    5001     

Je viens de tester, mais a priori, j'ai mal compris  ::)

chris4916

Même en relisant plusieurs fois ton message initial, maintenant que je saisi un peu mieux la problématique, j'ai du mal à cerner quel est le problème. Non pas que ce soit spécialement mal écrit mais j'ai un peu du mal à mettre tout ça en perspective.

Est-ce qu'il s'agit de filtrer les flux entrants sur la base qu'une IP source ou tout autre information d'ailleurs ?

A mon avis, la solution que tu as mis en place ne répond pas au besoin initial.

Tu peux utiliser un client VPN pour te connecter à un pool de serveurs sur internet pour anonymiser des connexions sortantes mais la gestion des connexions entrantes devrait se faire avec un serveur VPN du coté de ton LAN et non pas via un serveur VPN relais sur internet. Avec l'approche que tu as choisi, tu as peu de contrôle et ça ne présente que peu d'intérêt.

Si ton problème est la mise à disposition d'une IP fixe, il suffit de t'appuyer sur un service de type DynDNS  ;)

Quel est le problème avec la solution que tu as choisi pour les flux entrants ?
Sauf à ajouter un service d’authentification supplémentaire, tu ne sais pas qui peut avoir accès à ton LAN car l'IP source est celle gérée par le serveur VPN…. que tu ne gères pas.

jdh

Il est dommage d'essayer de mettre en place un pfSense et de ne pas aller au bout …

Le schéma doit devenir (avec une 2ième carte réseau qui coute ~10€) :

Internet <-> Bbox <-> (WAN) pfSense (LAN) <-> switch <-> pc, nas et VM

• une règle 'LAN' peut gérer la sortie via le vpn 'anti-analyse gouv' pour telles machines et/ou tel protocole
• une règle 'NAT port forward' peut autoriser un accès 'tradi' vers le NAS
• la mise en place du serveur OpenVPN peut sécuriser l'accès complet au LAN depuis l'extérieur

Bref, il manque, une carte réseau, un peu de temps, et la remise en cause de votre compréhension erronée du 'NAT port forward'.

J'ai, personnellement, le sentiment de bien comprendre les besoins (clairement exprimés), les dessous, ce qui n'était pas expliqué clairement.
Mes propositions sont logiques, simples et naturelles ...

Nylream

Bonsoir et merci pour vos réponses,

@Chris,
Je ne recherche pas "juste une ip fixe" (que j'ai déjà), mais bien à sécuriser mon flux entrant par un vpn.

@jdh,
mon esxi est sur un dell 7010 ultra small, sinon, oui, j'aurais volontier opté pour une seconde "vrai" carte réseau.

Je ne veux pas que tout mon flux entrant / sortant passe par le vpn quoi qu'il arrive. Je veux qu'un pool de machines virtuel soient isolé de mes machines physique, et que elles, et elles seules, passent par le vpn.
Je veux pouvoir y accéder de l’extérieur, en entrant par mon IP vpn, ce que j'arrive a faire sur un lubuntu, mais que j'essaie d'optimiser avec pfsense.
Je cherche également à ce que ces machines et que mes VM puissent accéder à mon NAS.
Je n'ai pas la possibilité de changer la machine qui me sers de serveur pour le moment (question de cout), et pas question d'avoir une tour qui fasse le boulot, je n'ai pas la place pour un "gros serveur" (d'ou la récup d'un ultra small).

Internet <-> Bbox <-> (WAN) pfSense (LAN) <-> switch <-> pc, nas et VM

Ça ne serait possible qu'avec un PFsense indépendant sur une machine avec au minimum 2 lan, et pas sur une VM, sinon, pas de réseau au moindre plantage esxi…
Accessoirement, que cette machine tienne la route pour que mon trafic vpn ne chute pas non plus ce qui place la barre autour des 200€ ce que je ferais... mais plus tard :p

Pour le moment, sur cette configuration, certes imparfaite, mais qui peut répondre à mon besoin, seule cette question de redirection de ports me coince.

lorsque je pointe vers mon IP publique vpn, la porte est close... et j'aimerais bien que PFsense me laisse accéder à différentes machines.
Il me semblait que les redirections de ports se gérait par les règles NAT, j'y arrivais sous Lubuntu, j'ai décidé de m’intéresser à PFsense pour d'évidentes raisons de perf, et de possibilités.

Encore merci pour votre aide et vos conseils,

chris4916

@Nylream:

Je ne recherche pas "juste une ip fixe" (que j'ai déjà), mais bien à sécuriser mon flux entrant par un vpn.

Ce que j'essaie de t'expliquer, et que dit aussi, en quelque sorte jdh, c'est que le mode "client VPN" n'est pas adapté pour sécuriser le flux entrant sur ton LAN car tu ne maîtrises pas le coté serveur.
Ces serveurs VPN "publiques" sont pratiques pour anonymiser ton accès à d'autres services sur internet puisque tu vas être vu comme sortant sur l'IP coté serveur.

Pour sécuriser du flux entrant, il te faut configurer un serveur sur ton pfSense.Mais ce n'est pas du tout incompatible avec ta conf. Garde ton client VPN pour les flux sortants et configure un serveur pour les flux entrants. Je ne vois pas où est le problème.

Pour ce faire, il suffit de faire un forward du port 1194 (si c'est le port de ton serveur VPN) depuis ta bbox vers pfSense. Tu pourras alors de connecter à pfSense depuis l'exterieur avec un flux qui ce coup ci est vraiment sécurisé :

• tu es le seul à te connecter puisque tu possède la certificat et le mot de passe du client
• tu maitrises le serveur

jdh

C'est clair que la compréhension des 'port forward' est à améliorer mais aussi la versatilité de pfSense.

Quelques points :

• pfSense, (même virtualisé), exige 2 vraies cartes réseau pour faire simple et efficace.

• Je connais (bien) les 7010. Mais, le modèle USFF est loin d'être idéal : pas de carte low profile, inadapté à fonctionnement 24/24 AMHA (jamais commandé ce modèle, et pour cause).
  cf http://www.levnapc.cz/ProductsFiles/dell-optiplex-7010-manual-en.pdf
  Un bricoleur pourrait, cependant, y arriver avec une carte telle http://www.materiel.net/carte-reseau/startech-com-st1000smpex-mini-pci-express-78646.html = faut trouver comment fixer le port RJ …

• La fiabilité d'ESXi n'est plus à démontrer.

• Accès sécurisé de l'extérieur : le serveur OpenVPN est fait pour ça !
  Reste à choisir le port (différent du client !), à faire le port forward au niveau de la bbox.

• Utilisation de la sortie OpenVPN : je l'ai déjà écrit, une règle sait faire avec tout critère choisi.
  Par exemple, pc avec telle ip = sortie VPN, ou trafic tel port = sortie VPN

En l'état, je ne vois plus quoi ajouter.

Nylream

Merci pour tout vos conseils, je vais m’intéresser de prêt à la question d'un serveur VPN pour ce qui est de l’accès extérieur.

Toutefois, même si ce sera parfait pour un accès de mon laptop de l’extérieur, j'imagine mal ma famille lancer une connexion vpn pour aller voir des photos, le ports forward pour l'accès à un compte sur le Syno est simple, et ne leurs demandait qu'une url, et un login/MDP.
Pour ce qui est du 7010, je sais que ce n'est pas optimum, mais pour le moment, je fais avec ce que j'ai, lorsque je pourrais me le permettre j'envisagerais une solution différente.

Encore merci pour votre aide et bon dimanche :)

chris4916

@Nylream:

Toutefois, même si ce sera parfait pour un accès de mon laptop de l’extérieur, j'imagine mal ma famille lancer une connexion vpn pour aller voir des photos, le ports forward pour l'accès à un compte sur le Syno est simple, et ne leurs demandait qu'une url, et un login/MDP.

Je pense que tu mélanges plusieurs aspects.

1 - ce n'est pas parce que tu mets à disposition un serveur VPN sur pfSense que tout doit passer par le VPN. Tu peux très bien faire du port fowarding vers ton serveur web "en clair" si nécessaire.

2 - En revanche, tu ne peux pas avoir "tout et son contraire" c'est à dire un accès en clair (sans VPN) et un tunnel VPN en même temps, pour le même accès. En dehors des aspects que j'évoquais un peu plus haut de serveur VPN publique qui sert à avoir un accès un peu plus anonyme grâce à une IP différente de celle de ton ISP (et das ce cas, tu te comportes en tant que client VPN), le VPN n'a de sens que si établi de bout en bout ou, en tous cas, de bout en bout sur la partie "non sécurisée" du réseau, c'est à dire ici internet.
Si tu te comporte comme un client VPN vers un serveur publique et que ta famille ce connecte à cette IP "en clair" pour accéder à ton serveur Web, le VPN ne te sert strictement à rien. Au mieux tu utilises la fonctionnalité d'une IP fixe, mais il y a de bien meilleurs moyens d'obtenir une fonctionnalité équivalente.