Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Installer un serveur VPN sur mon LAN avec pfSense

    Scheduled Pinned Locked Moved Français
    9 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PascalB41
      last edited by

      Bonjour,

      Je souhaiterais remplacer la fonction Serveur VPN de mon Microsoft TMG qui est à l'agonie.
      Le serveur VPN actuel étant utilisé pour permettre aux collaborateurs en déplacement de se connecter au LAN pour accéder à des ressources (serveurs de fichiers, ERP, etc). Actuellement ça fonctionne bien avec TMG mais il est tout proche de la retraite.

      Je suis donc allé voir la section correspondante aux VPN dans http://irp.nain-t.net/doku.php
      Compte-tenu du fait que la page date de 2009, je me demandais si les 2 solutions proposées à savoir le Tunnel GRE ou l'Open VPN étaient toujours d'actualité, notamment en matière de sécurité ou s'il y avait des solutions plus secure, toujours sur pfSense.

      Merci de votre aide.

      Pascal.

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Le choix de base, sur pfSense, c'est le serveur OpenVPN.
        Ipsec est un autre choix, mieux, à mon avis, en terme de sécurité.

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • P
          PascalB41
          last edited by

          Merci d'avoir répondu.
          Je vais donc étudier la mise en place d'un VPN IPSec sur mon pfSense.
          Pascal.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            pfSense est un vrai firewall contrairement à Microsoft TMG.
            (Ca fait longtemps que vous avez réfléchi …)

            Les 2 VPN conseillés avec pfSense sont :

            • Ipsec : plutôt pour le site-2-site, difficile de trouver un client gratuit pour le roadwarrior, sensible au NAT (si pas T-NAT)
            • OpenVPN : plutôt pour le roadwarrior, (plusieurs) client(s) gratuit(s), pensez au mode administrateur !

            Donc plutôt qu'Ipsec, pas moins sûr, en roadwarrior, pensez à OpenVPN !

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • P
              PascalB41
              last edited by

              Je lis le guide qui explique les différents types implémentables avec pfSense…
              (j'ai effectivement pris le temps de la réflexion, j'ai migré toute mon infra physique et virtuelle sur les dernières versions des serveurs Microsoft Server, Exchange, SQL. Ca a pris du temps...)
              Merci.
              Pascal.

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                infra physique et virtuelle sur Microsoft ?

                Un jour il faudra que quelqu'un vous explique qu'il existe VMware …
                Parce qu'un noyau d'hyperviseur qui demande plusieurs Giga ne peut être aussi fiable et solide qu'un hyperviseur de quelques centaines de Mo !

                Au moins vous n'avez pas virtualisé le firewall ?! (j'ignore si HyperV sait virtualiser FreeBSD)

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • P
                  PascalB41
                  last edited by

                  En 2011 quand j'ai décidé de virtualiser mes serveurs je suis allé voir un site qui utilisait VMWare, 7 ou 8 serveurs et une centaine de postes, le tout sous Windows.
                  On m'a fait une démo qui était séduisante, je découvrais la virtualisation.

                  Ensuite j'ai fait chiffrer les 2 solutions par mon fournisseur de matériel de l'époque, DELL, qui poussait plutôt VMWare.

                  Financièrement parlant l'avantage était nettement en faveur de Microsoft pour diverses raisons (et pas uniquement à cause du fait qu'HyperV était fourni avec Windows Server).

                  En outre, avec VMWare je me voyais obligé de me former à des outils tiers et j'imaginais qu'en choisissant HyperV, la virtualisation assurée par l'éditeur de l'OS ça allait couler de source.

                  En pratique, je suis donc parti sur HyperV et j'ai installé un failover cluster de 2 hôtes sur lesquels j'avais 4 serveurs Windows et un SAN. La fonctionnalité de failover n'a jamais très bien fonctionné automatiquement, mais l'origine du problème était matérielle (un comble dans la mesure où c'est DELL qui m'avait vendu l'ensemble de la solution matérielle et logicielle) mais à part ça je n'ai jamais rencontré de problème avec HyperV.
                  A l'époque c'était sous Windows Server 2008 R2. Aujourd'hui je passe à la version 2016 qui semble s'être bien améliorée pour le clustering.

                  Non je ne virtualise pas mes Firewall. Ni TMG, ni les 2 pfSense, ce sont 3 machines physiques. Et j'ai un DC physique aussi car il en faut au moins 1.

                  Pascal.

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    On est hors fil …

                    Pour les PME, VMware propose le Kit Essentials Plus, qui permet jusqu'à 3 hôtes de virtualisation bi-processeur.
                    Ce kit permet la high Availability de façon transparente (et la config est simplissime). (Seul manque le déplacement de Datastore qui ne peut être fait que VM arrêtée.)
                    Aucun besoin, donc, de créer un cluster de VM pour assurer une redondance ...
                    (J'ai même vu une VM de SCO Unix, ce qui a résolu le problème de sauvegarde de ce serveur !)

                    En ajoutant autant de Windows Datacenter que d'hôtes, et, bien sûr Veeam Backup pour sauvegarder, vous obtenez une infra au nombre illimité de VM Windows, bien sécurisée et très fiable. Pas besoin de redémarrer les hôtes régulièrement pour les mettre à jour ! La seule différence est ce coût du kit, qui est peu excessif ~4000-4500 € puisque le reste sera aussi nécessaire avec HyperV. A l'usage il n'y a aucun regret à avoir dépensé cet argent car les arrêts obligatoires d'HyperV coute aussi de l'argent !

                    Au delà de cette taille, le coût augmente puisqu'il faut une licence par serveur hôte ...

                    NB : DELL fournit les iso de VMware et les drivers de matériels DELL déjà embarqués. (HP doit faire de même)

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • P
                      PascalB41
                      last edited by

                      Merci pour ces infos.
                      A intégrer dans la réflexion lors du prochain renouvellement de mes serveurs…
                      Pascal.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.