Prendre le controle de mon serveur PFSENSE à distance



  • Contexte : milieu pro, installé depuis 4 mois pour le partage de connexion

    Besoin : J’ai un portail captif tournant sous PFSENSE 2.3 avec authentification par login et mot de passe. Je n’ai aucun problème sur mes configurations et tout marche bien. Mon soucis est que je ne suis pas tous le temps a la maison quand les clients me demande un compte pour accéder a internet. Raison pour laquelle j'aimerais avoir le contrôle sur mon Interface Web UI de Pfsense étant or de ma zone de couverture wifi pour leur filer les vouchers.
    Schéma :
    WAN : un modem,SagemCom F@st 1704N / 2704N, en mode routeur,une adresse publique,aucun loadbalancing/failover, adresse ip fixe: 192.168.2.20
    DHCP:192.168.2.21-192.168.2.100
    LAN : 1 Lan ,aucun VLAN, IP fixe: 10.10.10.20
    DHCP: 10.10.10.100-10.10.10.200

    DMZ : Aucun

    WIFI : Assurer par un routeur Linksys avec le DHCP désactivé, avec pour adresse fixe 10.10.10.21

    Autres interfaces: Aucune

    Règles NAT: Aucune
    Règles Firewall: Packages ajoutés : Squid,

    Proxy interface : LAN
    Allow users on interface : Cocher

    Transparent proxy : Cocher
    Enable logging : Cocher

    Log rotate : 360

    Proxy port : 3128
    Visible hostname : moloto
    Language : French

    Suppress Squid Version : Cocher

    –----------------------------------------------------

    Proxy server : Access control

    Allowed subnet: 10.10.10.0/24

    Autres fonctions assignées au pfSense : Mon portail captif emet sur mon LAN eth0

    Question : S’il s’avère qu’on devrais faire recours au le DynDNS j’aimerais d’abord comprendre le principe de son fonctionnement? Et quel sont les meilleurs services DynDNS?

    Pistes imaginées
    Recherches : Certaines recherches et personnes m’ont orienter vers le DynDNS. j’ai pas encore  tester le DynDNS de peur de tous melanger dans les configurations venir tous reprendre a zéro

    Si j'ai pas été précis sur un certain point merci de faire part pour que je vous donnerai plus de détail. Merci



  • Le problème de la prise à distance ne se situe pas nécessairement qu'au niveau de la publication de ton IP.
    Par ailleurs beaucoup de FAI proposent la possibilité d'avoir une IP fixe, ce qui peut résoudre ton problème.

    Ce qu'il te faut surtout, en plus de ce que tu décris, c'est un serveur VPN sur lequel tu vas te connecter pour gérer ton pfSense "depuis le LAN" et non pas depuis le web.

    la manière dont fonctionne DynDNS (et autres services similaires) : il y a un client (qui peut d'ailleurs être sur le LAN et pas nécessairement sur pfSense) qui récupère ton IP publique et qui l'enregistre dans le DNS du fournisseur de service DynDNS. Ce client vérifie régulièrement si ton adresse IP a changé ou pas.

    Selon les fournisseurs de service, l’authentification se fait par login/pwd ou par un jeton, à enregistrer auprès de l'appli cliente.



  • La méthode est simple :

    En local :

    A l'extérieur :

    • établissement d'un VPN avec pfSense = le pc distant est alors capable de communiquer avec les machines internes 'comme si' il était en local
    • l'administration se fait avec https://ip LAN:80 (comme en local)

    Donc le problème devient : comment créer un accès VPN distant ?

    • créer un service VPN, par exemple avec OpenVPN
    • ouvrir l'écoute sur WAN pour le service VPN
    • depuis le PC client, installer l'outil client VPN
    • dans le fichier de conf client, il faut indiquer l'ip publique correspondant au firewall
      C'est sur le dernier point que DynDns a de l'intérêt : si l'ip publique externe est fixe, pas de DynDns, si l'ip publique change, il faut une astuce comme DynDns (mieux No-Ip)

    NB : Tout cela fonctionne bien … si le WAN de pfSense reçoit l'ip publique !
    Si le WAN de pfSense n'est pas une ip publique, c'est qu'il y a une box ou un routeur ... qu'il faudra configurer pour forwarder le flux VPN ...



  • Merci à @jdh et @chris4916 pour votre piste pour l'ip publique je crois qu'elle est fixe vous pourrez le constater sur l'image:




  • @jdh:

    Donc le problème devient : comment créer un accès VPN distant ?

    • créer un service VPN, par exemple avec OpenVPN
    • ouvrir l'écoute sur WAN pour le service VPN
    • depuis le PC client, installer l'outil client VPN
    • dans le fichier de conf client, il faut indiquer l'ip publique correspondant au firewall
      C'est sur le dernier point que DynDns a de l'intérêt : si l'ip publique externe est fixe, pas de DynDns, si l'ip publique change, il faut une astuce comme DynDns (mieux No-Ip)

    NB : Tout cela fonctionne bien … si le WAN de pfSense reçoit l'ip publique !
    Si le WAN de pfSense n'est pas une ip publique, c'est qu'il y a une box ou un routeur ... qu'il faudra configurer pour forwarder le flux VPN ...

    Escuse moi si je redemande mais j'aimerais savoir si c'est la procedure a suivre pour créer VPN distant? Si oui , essai de détaillé un peu pour moi.

    Lorsque que tu dis  "il faut indiquer l'ip publique correspondant au firewall" je suis un peu confus mais je laisse l'image de ma page d'accueil pfsense.




  • Dans votre configuration Pfsense est derrière un routeur (une box probablement) qui effectue une translation d'adresse comme vois l'aviez indiqué initialement. C'est donc sur cet équipement qu'il faut rechercher l'adresse ip publique. Il faut aussi que cet équipement transmette à Pfsense le flux de la connexion vpn.



  • Mon adresse IP Publique est WAN IPv4: 41.207.8.42



  • Il me semble difficile d'être plus détaillé que je l'ai été : chaque étape est simple et limitée.

    Merci à ccnet qui est plus long que moi 'Si le WAN de pfSense n'est pas une ip publique, c'est qu'il y a une box ou un routeur … qu'il faudra configurer pour forwarder le flux VPN ...'

    NB : Orange en général fourni des ip non fixes : regarder l'ip publique à 1 journée d'intervalle. Cachez votre ip publique sur les forums : elle ne nous donne rien !

    Du fait que vous avez une box, c'est à ce niveau qu'il faudra configurer un nom dns dynamique : l'assistance Orange vous renseignera.
    De même le renvoi/forward du trafic VPN doit se faire à ce niveau.



  • @jdh:

    NB : Orange en général fourni des ip non fixes : regarder l'ip publique à 1 journée d'intervalle. Cachez votre ip publique sur les forums : elle ne nous donne rien !

    et

    @onegame:

    Contexte : milieu pro, installé depuis 4 mois pour le partage de connexion

    Donc si on parle bien d'un environnement pro, l'IP fixe est comprise dans l'abonnement.
    Il suffit de la demander.

    Pour les particuliers, il est fort possible que l'option (chez Orange) soit payante.



  • Le WAN de PFSENSE est : 192.168.2.20
    Le routeur me donnant accés a internet est une box d'orange. Comment faire pour forwader le flux de mon VPN  avec un autre routeur ou avec le meme routeur?



  • C'est une question dont la réponse est dans la documentation Orange, ou à voir avec le support Orange. Je n'ai pas de Livebox sous la main pour suppléer le support Orange. Et puis il faut un peu vous prendre en main, c'est formateur.