[Résolu]Avoir l'ip d'un client OpenVPN (NordVPN)avec un serveur OpenVPN wizards?

Lurewald

"comment sortir au travers du tunnel VPN entre pfSense et NordVPN lorsqu'on se connecte au LAN via un client VPN ?"

Car si je comprends bien, tu as 2 VPN:

• un VPN (client, vu de pfSense) entre ton pfSense et NordVPN pour "annonymiser" tes accès au web
• un VPN serveur (sur pfsense) qui te permet de te connecter depuis l'extérieur sur ton LAN

C'est bon tu as compris j'avais dejà fait un schèma pour ccnet mais je vais le remetre avec des détails supplèmentaire afin de clarifier mais je pense que trop de détails vas tuer la bonne comprention que tu as déjà:

PC portable depuis chez moi=192.168.1.4
PC portable depuis mon travail=192.168.2.2
Serveur perso OpenVPN(ou Tunnel OpenVPN dans mon schèma)=192.168.2.1
L'Ip internet du serveur perso OpenVPN est du genre 10.1.x.x et celle qui sort du tunnel OpenVPN 160.x.x.x
PfSense=192.168.1.1
Freebox=192.168.0.254
L'ip local de PfSense pour ma Freebox est 192.168.0.23
L'Ip internet de NordVPN est du genre 10.8.x.x et celle qui sort du tunnel NordVPN 75.x.x.x

En local chez moi:
PC portable-> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

De mon travail:
PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

Se que je souhaiterais avoir depuis mon travail:
PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

tu n'arrives pas "sur le LAN" mais dans le subnet décrit par ton serveur VPN d'où tu es ensuite routé vers le LAN

Je ne suis pas sûre que je sois routé vers le LAN mais plutôt sur le WAN directement, dans les règles(rules) j'ai un onglet OpenVPN dont la règle qui a été créé a une influence sur la connectivité de mon serveur OpenVPN si j'y touche, mais cet onglet c'est ajouté tout seul quand j'ai créé mon serveur avec OpenVPN Wizards, je ne l'ai pas ajouté moi même dans les interfaces mais j'ai la possibilité de le faire et de l'ajouter au bridge qui comprend LAN et OPT1 mais dans ce cas je ne peux même plus me connecter à mon serveur OpenVPN de l’extérieur, ensuite il est possible que se soit la solution et que c'est moi qui ne sache pas créer une règle dans ce cas de figure.

Quand j'ai créé le serveur OpenVPN j'ai mis WAN dans la section "interface" comme indiqué dans le lien du tuto ajouté dans mon premier commentaire, peut-être faut-il que je change WAN en LAN et que je créé une règle pour laisser rentrer le flux WAN sur 192.168.2.1(server OpenVPN) et une autre pour faire sortir vers le geteway NordVPN_lu1.
  Là je ne peux pas le faire car je ne suis pas chez moi et je risquerais de perdre ma connexion à mon NAS, donc si je dis une bêtise n’hésitez pas a me le faire savoir avant que je teste en rentrant.

Je précise que de mon travail je peux avoir accès aux sous-réseaux 192.168.0.0 ; 192.168.1.0 et je pense logiquement au 192.168.2.0 vu que je suis dessus et que j'avais configuré le serveur OpenVPN pour que les appareils connectés dessus puissent se voir.

chris4916

Je n'ai pas vu ton schéma, désolé.
Ni je n'ai regardé le détail de tes conf et encore moins les tutos.

Lorsque tu te connectes à ton serveur vpn pfsense, il faut déjà que celui ci soit configuré pour forcer tous les flux via le tunnel sans quoi tu vas sortir directement depuis le réseau du boulot vers Internet.
Ensuite, comme j'ai essayé de l'expliquer, le tunnel vers nordvpn ne 'sert' que ton LAN si il écoute sur le port LAN. Pour que tout passe par ce tunnel, il faut, si tu ne viens pas du LAN, ce qui est le cas quand tu viens du boulot par un autre tunnel, que ce service vpn écoute sur localhost.

Une autre solution plus élégante consiste, si c'est juste pour du flux HTTP et similaire, à utiliser un proxy sur ton lan

Lurewald

Je n'ai pas vu ton schéma, désolé.

Pour le coup c'est moi qui suis désolé on ne doit pas comprendre la même chose en parlant de schéma peut-être, mais ceci n'est pas un schéma?

En local chez moi:
PC portable-> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

De mon travail:
PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

Se que je souhaiterais avoir depuis mon travail:
PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

Lorsque tu te connectes à ton serveur vpn pfsense, il faut déjà que celui ci soit configuré pour forcer tous les flux via le tunnel sans quoi tu vas sortir directement depuis le réseau du boulot vers Internet.

Oui c'est déjà le cas, je l'avais mis dans  se que j'appelle "schéma" ou étapes de connexion peut-être…

De mon travail:
PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

Ensuite, comme j'ai essayé de l'expliquer, le tunnel vers nordvpn ne 'sert' que ton LAN si il écoute sur le port LAN.

On est d'accord.

Une autre solution plus élégante consiste, si c'est juste pour du flux HTTP et similaire, à utiliser un proxy sur ton lan

Intéressant, je vais méditer là-dessus en rentrant et voir comment faire, merci pour le tuyau.  :)

ccnet

PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

Je ne comprend pas l'utilité de cette tuyauterie.

Lurewald

C'était pour répondre à votre question.

Je ne parviens pas à "démêler" vos deux ip publique dont il est question plusieurs fois. Celle de la box je comprend bien. Celle de Nordvpn_lu1 ?

ccnet

Quel est l'intérêt fonctionnel ?

Lurewald

Chez moi tous mes appareils et jails sur FreeNAS qui sont branchés sur PfSense passent par mon NordVPN quand ils ont besoin d'aller sur internet pour anonymiser mon identité sur internet. Quand j'étais à mon travail par exemple avant d'avoir PfSense j'étais connecté automatiquement à NordVPN avec mon client VPN sur mon PC portable j'étais donc tranquille niveau anonymat lors de mon surf. Maintenant que j'ai PfSense avec un serveur OpenVPN je peux avoir accès en permanence à mon réseau local hors de chez moi se qui est vachement sympa, mais le truc moins sympa c'est que pour l'instant c'est l'Ip réel de ma box de chez moi qui est visible et ça je ne veux pas car je suis très attaché au principe de vie privé. La finalité de la chose c'est d'être connecté à internet(avec NordVPN) et mon réseau local dans les mêmes conditions que je sois chez moi ou à l’extérieur.

chris4916

oui enfin c'est un peu plus compliqué que cela…  8)

Un VPN pour anonymiser ses accès internet, c'est bien pour limiter un peu le tracking si tu as des activités que tu veux cacher comme du téléchargement "pas très légal" par exemple mais à condition d'utiliser un fournisseur dont tu as la quasi certitude qu'il ne conserve pas de log et qu'il ne redirige pas ceux-ci vers un organisme moins regardant.
Pour le reste, si tu ne couples pas ce VPN à une machine (une VM par exemple) dédiée qui ne te sert qu'à cette activité spécifique, sans données personnelles, avec de l'offuscation type ToR  et sur laquelle tu vas très régulièrement supprimer les cookies, ne pense pas que tu es anonyme.
Et même là, si l'emprunte de ton poste de travail ne change pas de temps en temps, tu finis par ne plus être anonyme.

Du coup, ça veut dire que faire passer "tout ton flux" issu du AN vers ce tunnel, c'est peu utile, surtout si tu as des serveurs qui font des mises à jours par exemple.
Et si en plus tu utilises un client Win 10, Microsoft se moque bien de savoir de quelle IP viennent les infos que tu lui envoies.

Bref, c'est vraiment compliqué d'être anonyme.

Depuis un poste de "travail" dédié, pourquoi pas  ::) mais à quel prix ?

Par curiosité, pour accéder à ton VPN pfsense depuis le travail, tu as une IP fixe ?  ;D ;D ou du DynDNS...  un accès direct à internet je veux dire à partir duquel tu accèdes à ton LAN;)

Lurewald

Non ce n'est dans le but de jouer avec l’illégalité, je trouvais pas très utile de parler de la finalité car je voulais rester dans le sujet de départ sans déborder sur des questions philosophique, mais bon…

Je suis déjà au courant de se que tu as dis, j'ai été très choqué par l'affaire Snowden et depuis je fais en sorte de toujours prendre la direction de mon droit fondamental à la vie privé, je me suis débarrassé de windobe pour Ubuntu, arrête google pour duckduckgo, supprimé mes comptes sur les réseaux sociaux et créé un compte sur le réseau diaspora, acheté un pc engine APU2 pour avoir un routeur par-feux open-source, investie dans des composants pour faire mon propre NAS pour géré au mieux mes donnés perso pour ne pas les offrir à la vente à des entreprises tiers et je ne vais pas me lancer dans les solutions mise en œuvre sur mon pc pour brouiller les pistes sinon je vais écrire trois pages, là on parle uniquement d'une connexion VPN chez NordVPN(basé au Panama qui ne garde pas les log et payable en bitcoin) mais avec un autre service VPN que j'ai je peux cumuler 9 connexions simultané à des serveurs VPN, quand j'aurais résolu mon problème je compte les utiliser sur PfSense avec des roulements en fonction des horaires et des appareils qui s'y connecte, mais chaque choses en son temps je commence par faire simple et une fois que ça marchera bien je passe à l'étape suivante, pour rappel ça fait que 2 mois que j'ai PfSense et j'ai ouvert ce topic car c'est la 1er fois que je me prends vraiment la tête sur un problème de config sur PfSense et que je ne trouve aucune réponse sur internet.

Pour répondre à ta question j'ai une Ip fix, de plus j'aime pas trop l'idée de donné mon adresse à un service du type Dyndns.

Pour revenir au sujet principal j'ai galéré a essayer de comprendre comment configurer un serveur proxy, c'est très nouveau pour moi, au final j'ai pas réussi et j'ai bloqué l'accès à mon réseau local depuis l’extérieur ainsi que l'accès à internet pour une raison que j'ignore(super soirée). Là je refais un PfSense tout neuf et je vais essayer de faire écouter le serveur OpenVPN local sur le LAN je verrais le résultat et je te dirais se que ça donne.

chris4916

Sur les aspects techniques:
Je ne comprends pas comment un proxy peut bloquer l'accès internet… sauf si tu l'as installé "sur pfSense", ce qui, dans ce tu veux faire, ne va pas marcher our les mêmes raisons que ce que j'ai expliqué précédemment. tu n'as probablement pas compris pourquoi ça ne marche pas avec ton design actuel.

Il faut que ton proxy HTTP soit une machine "sur le LAN".

Il est cependant intéressant de discuter des aspects que tu appelles philosophiques ça ça permet de bien comprendre ce que tu veux faire.
Dans le niveau d’anonymisation que tu vises, il faut également t'assurer que tu utilises un DNS interne et non pas pfSense ou celui de Free car tes requêtes DNs en disent long sur les sites que tu accèdes.
Et du coup, ma proposition de proxy qui disait clairement "si il ne s'agit que de flux web…" ne marche pas car elle ne va pas répondre à ton cahier des charges.

A mon avis, il va être très difficile de forcer tout le flux issu de pfSense via un tunnel VPN sauf si celui-ci force l'interception non seulement des flux en provenance du LAN (ce qui est simple) mais également des flux "locaux" à pfSense.
c'est beaucoup plus simple si tu mets 2 composants en cascade.

• Celui qui est le plus près de ta box fonctionne en tant que client VPN vers NordVPN
• le serveur VPN qui héberge tes connexions venues de l'extérieur est lui sur le LAN (sur un autre serveur, comme devait l'être le proxy dans mon explication précédente) cet autre serveur peut tout à fait être ton pfSense principal qui offre les services réseau (DHCP, DNS etc...) car son WAN va passer par les tunnel VPN gérés par le boîtier en amont.

Si la CIA lit ce forum, via ton enregistrement sur ce forum, ils vont te retrouver quand même mais au moins nous aurons essayé de faire un truc rigolo  8) 8) 8)

Et en terme de téléphonie, tu fais quoi ? car ton smartphone, si tu en as un pour attraper des pokemon est très très bavard également !

Lurewald

Je ne comprends pas comment un proxy peut bloquer l'accès internet… sauf si tu l'as installé "sur pfSense"

Il faut que ton proxy HTTP soit une machine "sur le LAN".

C'est exactement ça, j'avais essayé d'installer squid et haproxy depuis "Package Manager" dans PfSense. J'avais pas compris qu'il fallait le mettre dans une Vm, problème depuis la dernière mise à jour de FreeNAS on ne peut plus utiliser VirtualBox c'est un problème pour beaucoup d'utilisateurs, à voir si je peux l'installer dans une jails.

Hier je devais aller dormir du coup j'ai installé une backup de mon PfSense que j'avais fait la veille et ça remarche

il faut également t'assurer que tu utilises un DNS interne et non pas pfSense ou celui de Free car tes requêtes DNs en disent long sur les sites que tu accèdes.

Je sais, perso j'utilise des dns de OpenNic, je ne me suis pas encore penché sur la création d'un serveur DNS, mais quand tu dis "non pas PfSense" tu veux dire que je dois le faire aussi dans une Vm, ce n'est pas possible de créer un serveur DNS à l'aide de PfSense?

Merci de prendre de ton temps pour me répondre, c'est sympa.

Si la CIA lit ce forum, via ton enregistrement sur ce forum, ils vont te retrouver quand même mais au moins nous aurons essayé de faire un truc rigolo

Ils vont surtout bien se marrer, car là j'écris depuis mon taf avec l'adresse Ip de mon domicile. D'ailleurs je peux la voir en bas de mes réponse(j'adooore… pas!).

Et en terme de téléphonie, tu fais quoi ? car ton smartphone, si tu en as un pour attraper des pokemon est très très bavard également !

Lol! Je suis chez la pomme et j'utilise signal pour la plus part de mes appels(oui j'ai entendu parlé de vault 7…), j'avais touché à pokemon cet été mais en mode fake gps à new york de mon canap et scan avec une centaine de compte proxyfié sur tor, mais mon Loklass iv 100 m'a juré de garder le silence :D

Lurewald

Et merci de prendre sur ton temps pour me répondre c'est sympa :)

ccnet

Je crains (c'est une façon de parler) que vos efforts ne servent éventuellement qu'à attirer l'attention.
Votre employeur pourrait ne pas apprécier vos méthodes
Votre fournisseur d'accès (car il vous en faut un !) pourrait vous trouver suspect.
Je dis tout cela puisque nous sommes dans la parano fiction donc allons y gaiement.
Je suis d'accord avec vous sur le respect de la vie privée. Mais je me limite à ne pas utiliser Chrome ou IE, pas les services Google et à ne pas être présent sur les réseaux sociaux. Et sans illusion sur le reste mais cela ne m'empêche pas de dormir !

Lurewald

Ne vous en faite pas pour mon employeur il est de ma famille, il connaît et respecte ma façon de penser. Après attirer l'attention pourquoi pas, ça ne me dérange pas, du moment où mes donnés sont crypté et que je me connecte à internet depuis un pays respectueux de la vie privée.

Autrement, j'ai réfléchis sur la possibilité de mettre de mettre squid et le serveur openvpn sur mon nas, mais il y a un problème de taille, si je m'absente et que j'ai un problème avec mon nas je ne pourrais plus avoir accès à mon réseau local, j'avais déjà eu cette désagréable expérience l'été dernier avec un serveur openvpn sur mon nas qui était devenu totalement inaccessible après 2 jour de vacances se qui m'avais fait cogiter pas mal sur les raisons(problème informatique ou problème chez moi).

Ce week-end j'ai continué a chercher une solution sans y parvenir mais j'ai quand même réussi une chose que je n'arrivais pas à faire avant, concernant l'assignation de l'interface du serveur openvpn, car quand je faisais ça je n'arrivais plus a me connecter à mon serveur openvpn de l’extérieur, en faite pour que ça marche après avoir assigné l'interface du client openvpn il faut copier la règle qui se créé automatiquement dans l'onglet openvpn (quand on créé le serveur openvpn) vers l'onglet de l'interface du serveur openvpn ajouté précédemment et désactiver la règle de l'onglet openvpn sinon il y a conflit, après il est aussi possible d'ajouter l'interface du serveur openvpn au bridge du lan. Cette manip me permet de faire des tests avec divers règle du faite que l'interface du serveur devient disponible dans les choix d’interfaces dans les régles ou les applications qu'on peux ajouter à pfsense.

j'ai essayé aussi de toucher aux options avancés de openvpn côté serveur avec push "route [ip interface nordvpn]  255.255.255.0" mais aucun effet, hors l'option avancé du serveur openvpn j'ai remarqué que je pouvais faire un ping depuis l’extérieur vers [ip interface nordvpn].

Si je n'arrive pas à trouver de solution avec pfsense pour faire passer le flux internet out du serveur vers le flux internet de nordvpn je vais essayer d'ajouter un fichier ovpn de nordvpn dans ma freebox, je pense que ça peux marcher mais ça veux dire que mon nordvpn sur pfsense passera aussi pas le client nordvpn de la freebox et ralentira ma connexion à mon domicile :-\

chris4916

Je ne sais pas où tu as vu qu'il fallait, si tu déplace le proxy sur une machine à l'intérieur, déplacer aussi le serveur VPN ?
Ce sont 2 choses totalement indépendantes.

Je ne comprends pas non plus ta remarque sur la performance: tu veux tout faire passer par NordVPN pour les flux sortants de ta Freebox mais en même temps, tu relève le fait que tu vas perdre en performance. Oui effectivement mais ce sera vrai quelque que soit le client VPN, qu'il soit pfSense ou Freebox.

Pour le reste, je n'y comprends juste rien. Déjà cette histoire de bridge, je n'ai pas compris (depuis le début) mais j'ai beau relire plusieurs fois, je ne comprends pas tes points vis à vis des règles de FW, d'onglets et de conflits.

Tout ça m'a l'air vraiment très compliqué alors que la solution (partielle) à ta question est relativement simple.

Lurewald

Je ne sais pas où tu as vu qu'il fallait, si tu déplace le proxy sur une machine à l'intérieur, déplacer aussi le serveur VPN ?

Tu m'avais suggéré de les mettre sur des VM en cascades. Mise à part sur mon nas je ne vois pas  où je peux les mettre. Je découvre pfsense mais il ne me semble qu'on puisse faire des vm avec pfsense.

tu veux tout faire passer par NordVPN pour les flux sortants de ta Freebox mais en même temps, tu relève le fait que tu vas perdre en performance. Oui effectivement mais ce sera vrai quelque que soit le client VPN, qu'il soit pfSense ou Freebox.

Je comprends mais comme je disais dans une réponse précédent à terme je veux faire un roulement avec plusieurs clients nordvpn en fonction des horaires et des périphériques connecté, la client vpn sur freebox est bien moins paramétrable que celui de pfsense. C'est pas trop grave si j'ai une baisse de vitesse mais si je peux m'en passer c'est pas plus mal.

Pour le reste, je n'y comprends juste rien. Déjà cette histoire de bridge, je n'ai pas compris (depuis le début) mais j'ai beau relire plusieurs fois, je ne comprends pas tes points vis à vis des règles de FW, d'onglets et de conflits.

Je vais repartir de zero, quand j'ai créé le serveur openvpn il m'a crée deux règles dans outbound et une dans l'onglet openvpn qui se trouve dans rules tous ça pour le bon fonctionnement du serveur et ça fait je job.
Pour faire passer le traffic de mes appareils vers le client nordvpn j'avais fait une régle dans LAN avec "any" partout et dans Gateway 'nordvpn_lu1", je pensais au départ qu'il me suffisait de faire une règle dans LAN en mettent l'interface du serveur openvpn dans source et dans Gateway 'nordvpn_lu1" mais je n'y arrivais pas car l'interface du serveur openvpn n'existait pas et après coup j'avais vu que l'interface du serveur était assignable mais que en le faisant je perdais internet quand je me connectait sur mon serveur openvpn et même en copiant la règle de l'onglet openvpn, en faite c'était bien de faire ça pour avoir l'interface du serveur visible mais pour que ça marche il fallait désactiver la régle de l'onglet openvpn qui était en trop, c'est comme si le serveur pensait qu'il y avait deux interfaces pour lui et qu'il s'emmêlait les pinceaux.
Pour le bridge comme je disait au début du topic j'ai déjà un bridge fait avec LAN et un autre port ethernet pour faire passer le traffic du 2éme port ethernet sur LAN et comme j'avais réussi à avoir une interface pour le serveur openvpn fonctionnel j'en ai profité pour pour l'ajouter au bridge existant.
Ca n'a pas était très utile je le conçois, mais comme j'avais réussi a faire quelque chose que je n'avais pas réussi à faire au début ça ma permis de voir le verre à moitié plein, j'avais appris un truc moi novice en pfsense.

Tout ça m'a l'air vraiment très compliqué alors que la solution (partielle) à ta question est relativement simple.

Par rapport au client vpn de la freebox tu veux dire? Si oui, c'est mon plan B.

Au passage hier j'ai trouvé une piste intéressante dans la section anglais du forum, voici le lien: https://forum.pfsense.org/index.php?topic=116925.0
Depuis le début outbound fait partie de mes pistes probables mais je ne comprend pas trop trop se que c'est même si je sais que je suis obligé de l'utiliser pour configurer mon client nordvpn. J'ai essayé vite fait de mettre mon interface nordvpn_lu1 et le subnet de mon serveur openvpn en source mais c'est peut-être autre chose que le subnet du serveur openvpn qu'il faut mettre en source ou bien une modif à faire sur le dns sur serveur openvpn, j'ai pas eu le temps de trop me pencher dessus car j'ai une semaine très chargé je prendrais le temps ce weekend , mais ça me plaît bien.

Lurewald

Eurekaaaa! J'ai trouvéééé!

Dans l'interface du client OpenVPN à "IPv4 Configuration Type" j'avais oublié mettre "DHCP". Ensuit en créant une règle dans outbound avec interface=NordVPN_lu1, en source le subnet de mon serveur OpenVPN, et en mettent l'interface du client OpenVPN dans Gateway au niveau de la règle de OpenVPN dans Rules ça marche nikel, sur mon téléphone en 3g j'ai bien l'ip de mon NordVPN, ouuufff!!!

Je vais essayer d'ajouter la solution détaillé sur le 1er poste du topic sinon à la suite de ce message.