[Résolu]Avoir l'ip d'un client OpenVPN (NordVPN)avec un serveur OpenVPN wizards?



  • Édité le 27/03/2017

    Avant de passer à la solution je vais résumer se que je voulais faire exactement.
    J'ai un client OpenVPN(NordVPN) sur mon PfSense où je fais passer l'ensemble du traffic internet des appareils connecté dessus, j'ai aussi créé un serveur OpenVPN pour me connecter à mon réseau local chez moi depuis l’extérieur pour notamment avoir accès à mon NAS, mais quand je me connectais à mon réseau local depuis l’extérieur via mon serveur OpenVPN l’adresse ip affiché sur par exemple "mon-ip.com" était l'ip de ma box sur le quelle Pfsense est raccordé, pour finir mon but était que se soit l'ip de mon client OpenVPN(NordVPN) et non l'ip de ma box qui s'affiche quand je suis connecté de l’extérieur via mon serveur OpenVPN.

    Solution:

    Déjà j'avais fais une erreur dans la configuration de l'interface du client OpenVPN(NordVPN) à la ligne "IPv4 Configuration Type" j'avais mis "None" il faut mettre "DHCP" c'était plus un oubli d'une erreur.

    Dans "Firewall-> NAT-> Outbound" il faut créer une règle voir deux mais avec une ça marche:

    Première:
    Interface="interface du client OpenVPN(NordVPN), Source="Network" et mettre le subnet du serveur OpenVPN.

    Deuxième:
    Comme la première règle mais en plus j'ai coché "Static Port" dans la section Translation à la ligne "Port or Range".
    Ça marche aussi sans cette deuxième règle mais vu que lorsque j'ai configuré mon client j'avais du mettre ces deux ligne mais avec le subnet de mon LAN je préfère suivre la même logique(d'ailleurs si quelqu'un peux m'expliquer le pourquoi du comment merci d'avance)

    Pour finir il faut faire une modif dans la règle situé dans "Firewall-> Rules-> OpenVPN", cette règle laisse par défaut passer le traffic sortant du serveur OpenVPN vers WAN, dans cette règle il faut aller à la section "Extra Options" et cliquer sur "Display Advanced" et aller en bas de page à la ligne "Gateway" et sélectionner l'interface du clients OpenVPN(NordVPN) sauvegarder et c'est bon!

    –---------------------------------------------------------------------------------------------------------------------------------------------------------------

    Contexte :

    Bonjour,

    Ça fait environ 2 mois que j’ai inverti dans un Pc-Engine APU2 sur le quel j’ai installé PfSense actuellement en version 2.3.3 que j’utilise dans le cadre d’une utilisation personnelle pour sécuriser mon réseau domestique et y avoir accès depuis l’extérieur.
    Je suis dans une période de découverte des possibilité de ce dernier et je m’excuse par avance si mon problème paraît évidant à vos yeux mais je bloque complètement a trouver la solution à mon problème.

    Question :

    J’ai installé un serveur OpenVPN avec wizards en suivant ce tuto: https://www.adrienfuret.fr/2016/08/04/pfsense-openvpn/ , tout fonctionne très bien mais lorsque je m’y connecte depuis l’extérieur mon adresse Ip est l’Ip publique de ma box, j’ai un client OpenVPN configuré pour NordVPN sur mon Pfsense en suivant les explications que vous pouvez trouver dans la section PfSense 2.3.2 de ce lien : https://support.nordvpn.com/hc/en-us/articles/207875115-pfSense-router-setup .
    Je souhaiterais pouvoir utiliser l’ip publique de NordVPN au lieu de mon Ip publique réel quand je me connecte de l’extérieur à mon serveur OpenVPN sur PfSense. Chose étonnante, quand je vais dans "status→openvpn" en étant connecté depuis l’extérieur et que je regarde la colonne "real address" de la section qui concerne le serveur openvpn l’Ip qui apparaît est celle de mon Ip publique de NordVPN et pas celle de ma box qui apparaît pourtant dans duckduckgo dans je tape le terme « ip » dans la barre de recherche.

    Schéma :

    Interfaces :
    WAN igb0
    LAN igb1
    OPT1 igb2
    Switch bridre0
    NordVPN_lu1 ovpnc2
    J’ai créé un bridge des ports LAN et OPT1. NordVPN_lu1 est sur ovpnc2 et non sur ovpnc1 car j’ai une deuxième config NordVPN mais non activé donc inutile de l’ajouter.

    Rules :
    -WAN

    • RFC 1918 networks * * * * *  Block private networks
    • Reserved Not assigned by IANA * * * * * Block bogon networks
      IPv4 TCP * * 192.168.1.24 32400 * none  NAT Ouverture de port pour plex
      IPv4 UDP * * WAN address 1194 (OpenVPN)  * none

    -LAN

        • LAN Address 443/80 * * Anti-Lockout Rule
          IPv4 * 192.168.1.24 * * * WAN_DHCP none
          IPv4 * * * * * NORDVPN_LU1_VPNV4 none
          IPv4 * LAN net * * * * none Default allow LAN to any rule
          IPv6 * LAN net * * * * none Default allow LAN IPv6 to any rule

    -OPT1
    Rien.

    -SWITCH
    IPv4 * * * * * * none

    -NORDVPN_LU1
    Rien.

    -OpenVPN
    IPv4 * * * * * * none OpenVPN OpenVPN_Local wizard
    OpenVPN n’est pas dans les interfaces, j’ai la possibilité de l’ajouter mais quand je fais ça je perds l’accès à internet quand je me connecte depuis l’extérieur, par contre ça ne l’interdit pas de me connecter sur le serveur OpenVPN et j’ai accès à mon réseau local attaché à PfSense.

    Port Forward :
    WAN TCP * * WAN address 32400 192.168.1.24 32400 Ouverture de port pour plex

    Outbound:( En mode « Hybrid Outbound NAT rule generation. »
    NORDVPN_LU1  192.168.1.0/24 * * * NORDVPN_LU1 address * localhost to NordVPN
    NORDVPN_LU1  192.168.1.0/24 * *  500 NORDVPN_LU1 address * ISAKMP - Lan to NordVPN
    NORDVPN_LU1 127.0.0.0/8  * * * NORDVPN_LU1  address *  localhost to NordVPN
    NORDVPN_LU1 127.0.0.0/8  * * 500  NORDVPN_LU1 address * ISAKMP - Lan to NordVPN

    WAN 127.0.0.0/8  * * 500 WAN address * Auto created rule for ISAKMP - localhost to WAN
    WAN 127.0.0.0/8  * * * WAN address * Auto created rule - localhost to WAN
    WAN 192.168.1.0/24  * *  500  WAN address  *  Auto created rule for ISAKMP - LAN to WAN
    WAN 192.168.1.0/24  * * * WAN address  *  Auto created rule - LAN to WAN


    Le serveur OpenVPN est sur le subnet 192.168.2.0/24, et il est connecté sur le l’interface WAN.
    Le serveur PfSense est sur le subnet 192.168.1.0/24.
    La Box est sur le subnet 192.168.0.0/24.

    Packages ajoutés :
    openvpn-client-export

    Recherches :
    J’ai essayé pas mal de mal de pistes, ajouté Openvpn_Local à l’interface et l’ajouter dans le bridge qui comprends LAN et OPT1(dans ce cas je ne peut même plus me connecter au serveur OpenVPN depuis l’extérieur), dans le rules de OpenVPN j’ai essayé de changer geteway any par l’interface de NordVPN et aussi par LAN. Je ne comprends pas encore bien le rôle de Outbound mais j’ai essayé plusieurs manip à ce niveau en ajoutant l’interface OpenVPN(qui est disponible même si elle n’est pas ajouté dans interfaces). C’est un peut difficile d’être précis dans tout se que j’ai essayé car j’écris après coup, mais dans une grande majorité des cas j’avais accès à mon réseau local mais plus à internet.



  • salut salut

    J'aurais peu etre une piste ==>

    coté box
    – mise en dmz du pf
    -- redirection de port box> pf



  • Merci pour ta réactivité,

    J'avais omis de dire comment j'avais configuré côté box, je n'étais pas en DMZ  vers pfsense mais j'avais déjà fait une redirection du port 1194 UDP vers PfSense.
    Sur ton conseil j'ai ajouté la DMZ vers PfSense et j'ai aussi ajouté la redirection du port 1194 en TCP ce coup-ci, mais ça n'a rien changé. Dis moi quand même, t'ai-je bien compris quand du parlais de "redirection de port box vers PfSense", c'est bien du port 1194 du serveur OpenVPN dont tu parlais?

    Il y a juste un petit délai que je comprends mieux, dans "status->openvpn" au sujet de la colonne "real address" celle-ci affiche l'Ip réel du périphérique distant et non l'adresse de sortie du serveur VPN, j'avais l'Ip de NordVPN car je faisais parfois des test du routeur qui est comme je disais est lui même connecté à NordVPN vers ce même routeur.



  • Merci d'avoir pris la peine de documenter votre demande.

    lorsque je m’y connecte depuis l’extérieur mon adresse Ip est l’Ip publique de ma box, j’ai un client OpenVPN configuré pour NordVPN sur mon Pfsense

    Je ne comprend pas ce que cela signifie. Je relis cette pharse et je ne parviens pas à lui associer un schéma réseau.

    Je souhaiterais pouvoir utiliser l’ip publique de NordVPN au lieu de mon Ip publique réel quand je me connecte de l’extérieur à mon serveur OpenVPN sur PfSense

    D'un point de vue fonctionnel, quel est l'objectif ?
    Je ne parviens pas à "démêler" vos deux ip publique dont il est question plusieurs fois. Celle de la box je comprend bien. Celle de Nordvpn_lu1 ?



  • Oui c'est ça l'Ip de l'interface de NordVPN_lu1 est ce que j'appelais la 2éme Ip publique, quand je parle d'Ip publique je parle de l'ip qui me représente sur internet, il s'agit de celle fourni par mon opérateur(Free) et celle qui m'est fourni par NordVPN.

    J'ai configurer PFsense pour que tous mes appareils connectés sur lui montre une Ip (au Luxembourg dans ce cas) et pas celle que me fournis free pour des raisons de confidentialité paranoïaque pour faire simple et aussi avoir accès à mon FreeNAS.

    Avant de faire mon serveur OpenVPN perso sur PfSense je pensais que du faite d'être connecté à distance et d'avoir une adresse local (192.168.2.2 quand je me connecte depuis mon travail avec mon PC portable) que mon pc portable distant se connecterait à internet comme mes autres périphériques que j'ai chez moi en passant par le client NordVPN pour naviguer sur internet ou au pire qu'il suffirait de créer une règle dans LAN ou OpenVPN du type  "  IPv4 *    192.168.2.2    * * *    NordVPN_lu1  ", mais en faite ça n'a pas l'aire d'être si simple au final car mon Ip de sortie est aussi celui d'entrer.

    Je vais schématiser mon propos,

    En local chez moi:
    PC portable -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

    De mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

    Se que je souhaiterais avoir depuis mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)



  • J'avoue ne pas tout comprendre non plus le design actuel mais je suis certain, comme tu as toutes les infos, qu'un petit schéma clarifierait bien les choses.

    Est-ce que ta question se résume à:
    "comment sortir au travers du tunnel VPN entre pfSense et NordVPN lorsqu'on se connecte au LAN via un client VPN ?"

    Car si je comprends bien, tu as 2 VPN:

    • un VPN (client, vu de pfSense) entre ton pfSense et NordVPN pour "annonymiser" tes accès au web
    • un VPN serveur (sur pfsense) qui te permet de te connecter depuis l'extérieur sur ton LAN

    Il est inutile de mettre ton pfSense "en DMZ". tu peux continuer à gérer la redirection des flux au niveau de ta Freebox si tu le souhaites  ;)

    Le problème, dans ce que je comprends de ce que tu veux faire, c'est que tu pense que comme tu arrives via un tunnel VPN depuis ton boulot, tu est sur le LAN (chez toi) et que donc tu devrais naturellement sortir via le tunnel pfSense - NordVPN.

    ce n'est pas le cas parce que:

    • tu n'arrives pas "sur le LAN" mais dans le subnet décrit par ton serveur VPN d'où tu es ensuite routé vers le LAN
    • d'un autre coté, ton lien "pfSense - NordVPN redirige les flux du LAN vers NordVPN

    c'est aussi simple que ça (si je comprends bien la description et la question)



  • "comment sortir au travers du tunnel VPN entre pfSense et NordVPN lorsqu'on se connecte au LAN via un client VPN ?"

    Car si je comprends bien, tu as 2 VPN:

    • un VPN (client, vu de pfSense) entre ton pfSense et NordVPN pour "annonymiser" tes accès au web
    • un VPN serveur (sur pfsense) qui te permet de te connecter depuis l'extérieur sur ton LAN

    C'est bon tu as compris j'avais dejà fait un schèma pour ccnet mais je vais le remetre avec des détails supplèmentaire afin de clarifier mais je pense que trop de détails vas tuer la bonne comprention que tu as déjà:

    PC portable depuis chez moi=192.168.1.4
    PC portable depuis mon travail=192.168.2.2
    Serveur perso OpenVPN(ou Tunnel OpenVPN dans mon schèma)=192.168.2.1
    L'Ip internet du serveur perso OpenVPN est du genre 10.1.x.x et celle qui sort du tunnel OpenVPN 160.x.x.x
    PfSense=192.168.1.1
    Freebox=192.168.0.254
    L'ip local de PfSense pour ma Freebox est 192.168.0.23
    L'Ip internet de NordVPN est du genre 10.8.x.x et celle qui sort du tunnel NordVPN 75.x.x.x

    En local chez moi:
    PC portable-> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

    De mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

    Se que je souhaiterais avoir depuis mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

    tu n'arrives pas "sur le LAN" mais dans le subnet décrit par ton serveur VPN d'où tu es ensuite routé vers le LAN

    Je ne suis pas sûre que je sois routé vers le LAN mais plutôt sur le WAN directement, dans les règles(rules) j'ai un onglet OpenVPN dont la règle qui a été créé a une influence sur la connectivité de mon serveur OpenVPN si j'y touche, mais cet onglet c'est ajouté tout seul quand j'ai créé mon serveur avec OpenVPN Wizards, je ne l'ai pas ajouté moi même dans les interfaces mais j'ai la possibilité de le faire et de l'ajouter au bridge qui comprend LAN et OPT1 mais dans ce cas je ne peux même plus me connecter à mon serveur OpenVPN de l’extérieur, ensuite il est possible que se soit la solution et que c'est moi qui ne sache pas créer une règle dans ce cas de figure.

    Quand j'ai créé le serveur OpenVPN j'ai mis WAN dans la section "interface" comme indiqué dans le lien du tuto ajouté dans mon premier commentaire, peut-être faut-il que je change WAN en LAN et que je créé une règle pour laisser rentrer le flux WAN sur 192.168.2.1(server OpenVPN) et une autre pour faire sortir vers le geteway NordVPN_lu1.
      Là je ne peux pas le faire car je ne suis pas chez moi et je risquerais de perdre ma connexion à mon NAS, donc si je dis une bêtise n’hésitez pas a me le faire savoir avant que je teste en rentrant.

    Je précise que de mon travail je peux avoir accès aux sous-réseaux 192.168.0.0 ; 192.168.1.0 et je pense logiquement au 192.168.2.0 vu que je suis dessus et que j'avais configuré le serveur OpenVPN pour que les appareils connectés dessus puissent se voir.



  • Je n'ai pas vu ton schéma, désolé.
    Ni je n'ai regardé le détail de tes conf et encore moins les tutos. 😁

    Lorsque tu te connectes à ton serveur vpn pfsense, il faut déjà que celui ci soit configuré pour forcer tous les flux via le tunnel sans quoi tu vas sortir directement depuis le réseau du boulot vers Internet.
    Ensuite, comme j'ai essayé de l'expliquer, le tunnel vers nordvpn ne 'sert' que ton LAN si il écoute sur le port LAN. Pour que tout passe par ce tunnel, il faut, si tu ne viens pas du LAN, ce qui est le cas quand tu viens du boulot par un autre tunnel, que ce service vpn écoute sur localhost.

    Une autre solution plus élégante consiste, si c'est juste pour du flux HTTP et similaire, à utiliser un proxy sur ton lan



  • Je n'ai pas vu ton schéma, désolé.

    Pour le coup c'est moi qui suis désolé on ne doit pas comprendre la même chose en parlant de schéma peut-être, mais ceci n'est pas un schéma?

    En local chez moi:
    PC portable-> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

    De mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

    Se que je souhaiterais avoir depuis mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

    Lorsque tu te connectes à ton serveur vpn pfsense, il faut déjà que celui ci soit configuré pour forcer tous les flux via le tunnel sans quoi tu vas sortir directement depuis le réseau du boulot vers Internet.

    Oui c'est déjà le cas, je l'avais mis dans  se que j'appelle "schéma" ou étapes de connexion peut-être…

    De mon travail:
    PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> Freebox -> Internet(Ip Freebox)

    Ensuite, comme j'ai essayé de l'expliquer, le tunnel vers nordvpn ne 'sert' que ton LAN si il écoute sur le port LAN.

    On est d'accord.

    Une autre solution plus élégante consiste, si c'est juste pour du flux HTTP et similaire, à utiliser un proxy sur ton lan

    Intéressant, je vais méditer là-dessus en rentrant et voir comment faire, merci pour le tuyau.  :)



  • PC portable-> Tunnel OpenVPN -> Freebox -> PfSense -> NordVPN_lu1 -> Freebox -> Internet(Ip NordVPN)

    Je ne comprend pas l'utilité de cette tuyauterie.



  • C'était pour répondre à votre question.

    Je ne parviens pas à "démêler" vos deux ip publique dont il est question plusieurs fois. Celle de la box je comprend bien. Celle de Nordvpn_lu1 ?



  • Quel est l'intérêt fonctionnel ?



  • Chez moi tous mes appareils et jails sur FreeNAS qui sont branchés sur PfSense passent par mon NordVPN quand ils ont besoin d'aller sur internet pour anonymiser mon identité sur internet. Quand j'étais à mon travail par exemple avant d'avoir PfSense j'étais connecté automatiquement à NordVPN avec mon client VPN sur mon PC portable j'étais donc tranquille niveau anonymat lors de mon surf. Maintenant que j'ai PfSense avec un serveur OpenVPN je peux avoir accès en permanence à mon réseau local hors de chez moi se qui est vachement sympa, mais le truc moins sympa c'est que pour l'instant c'est l'Ip réel de ma box de chez moi qui est visible et ça je ne veux pas car je suis très attaché au principe de vie privé. La finalité de la chose c'est d'être connecté à internet(avec NordVPN) et mon réseau local dans les mêmes conditions que je sois chez moi ou à l’extérieur.



  • oui enfin c'est un peu plus compliqué que cela…  8)

    Un VPN pour anonymiser ses accès internet, c'est bien pour limiter un peu le tracking si tu as des activités que tu veux cacher comme du téléchargement "pas très légal" par exemple mais à condition d'utiliser un fournisseur dont tu as la quasi certitude qu'il ne conserve pas de log et qu'il ne redirige pas ceux-ci vers un organisme moins regardant.
    Pour le reste, si tu ne couples pas ce VPN à une machine (une VM par exemple) dédiée qui ne te sert qu'à cette activité spécifique, sans données personnelles, avec de l'offuscation type ToR  et sur laquelle tu vas très régulièrement supprimer les cookies, ne pense pas que tu es anonyme.
    Et même là, si l'emprunte de ton poste de travail ne change pas de temps en temps, tu finis par ne plus être anonyme.

    Du coup, ça veut dire que faire passer "tout ton flux" issu du AN vers ce tunnel, c'est peu utile, surtout si tu as des serveurs qui font des mises à jours par exemple.
    Et si en plus tu utilises un client Win 10, Microsoft se moque bien de savoir de quelle IP viennent les infos que tu lui envoies.

    Bref, c'est vraiment compliqué d'être anonyme.

    Depuis un poste de "travail" dédié, pourquoi pas  ::) mais à quel prix ?

    Par curiosité, pour accéder à ton VPN pfsense depuis le travail, tu as une IP fixe ?  ;D ;D ou du DynDNS...  un accès direct à internet je veux dire à partir duquel tu accèdes à ton LAN;)



  • Non ce n'est dans le but de jouer avec l’illégalité, je trouvais pas très utile de parler de la finalité car je voulais rester dans le sujet de départ sans déborder sur des questions philosophique, mais bon…

    Je suis déjà au courant de se que tu as dis, j'ai été très choqué par l'affaire Snowden et depuis je fais en sorte de toujours prendre la direction de mon droit fondamental à la vie privé, je me suis débarrassé de windobe pour Ubuntu, arrête google pour duckduckgo, supprimé mes comptes sur les réseaux sociaux et créé un compte sur le réseau diaspora, acheté un pc engine APU2 pour avoir un routeur par-feux open-source, investie dans des composants pour faire mon propre NAS pour géré au mieux mes donnés perso pour ne pas les offrir à la vente à des entreprises tiers et je ne vais pas me lancer dans les solutions mise en œuvre sur mon pc pour brouiller les pistes sinon je vais écrire trois pages, là on parle uniquement d'une connexion VPN chez NordVPN(basé au Panama qui ne garde pas les log et payable en bitcoin) mais avec un autre service VPN que j'ai je peux cumuler 9 connexions simultané à des serveurs VPN, quand j'aurais résolu mon problème je compte les utiliser sur PfSense avec des roulements en fonction des horaires et des appareils qui s'y connecte, mais chaque choses en son temps je commence par faire simple et une fois que ça marchera bien je passe à l'étape suivante, pour rappel ça fait que 2 mois que j'ai PfSense et j'ai ouvert ce topic car c'est la 1er fois que je me prends vraiment la tête sur un problème de config sur PfSense et que je ne trouve aucune réponse sur internet.

    Pour répondre à ta question j'ai une Ip fix, de plus j'aime pas trop l'idée de donné mon adresse à un service du type Dyndns.

    Pour revenir au sujet principal j'ai galéré a essayer de comprendre comment configurer un serveur proxy, c'est très nouveau pour moi, au final j'ai pas réussi et j'ai bloqué l'accès à mon réseau local depuis l’extérieur ainsi que l'accès à internet pour une raison que j'ignore(super soirée). Là je refais un PfSense tout neuf et je vais essayer de faire écouter le serveur OpenVPN local sur le LAN je verrais le résultat et je te dirais se que ça donne.



  • Sur les aspects techniques:
    Je ne comprends pas comment un proxy peut bloquer l'accès internet… sauf si tu l'as installé "sur pfSense", ce qui, dans ce tu veux faire, ne va pas marcher our les mêmes raisons que ce que j'ai expliqué précédemment. tu n'as probablement pas compris pourquoi ça ne marche pas avec ton design actuel.

    Il faut que ton proxy HTTP soit une machine "sur le LAN".

    Il est cependant intéressant de discuter des aspects que tu appelles philosophiques ça ça permet de bien comprendre ce que tu veux faire.
    Dans le niveau d’anonymisation que tu vises, il faut également t'assurer que tu utilises un DNS interne et non pas pfSense ou celui de Free car tes requêtes DNs en disent long sur les sites que tu accèdes.
    Et du coup, ma proposition de proxy qui disait clairement "si il ne s'agit que de flux web…" ne marche pas car elle ne va pas répondre à ton cahier des charges.

    A mon avis, il va être très difficile de forcer tout le flux issu de pfSense via un tunnel VPN sauf si celui-ci force l'interception non seulement des flux en provenance du LAN (ce qui est simple) mais également des flux "locaux" à pfSense.
    c'est beaucoup plus simple si tu mets 2 composants en cascade.

    • Celui qui est le plus près de ta box fonctionne en tant que client VPN vers NordVPN
    • le serveur VPN qui héberge tes connexions venues de l'extérieur est lui sur le LAN (sur un autre serveur, comme devait l'être le proxy dans mon explication précédente) cet autre serveur peut tout à fait être ton pfSense principal qui offre les services réseau (DHCP, DNS etc...) car son WAN va passer par les tunnel VPN gérés par le boîtier en amont.

    Si la CIA lit ce forum, via ton enregistrement sur ce forum, ils vont te retrouver quand même mais au moins nous aurons essayé de faire un truc rigolo  8) 8) 8)

    Et en terme de téléphonie, tu fais quoi ? car ton smartphone, si tu en as un pour attraper des pokemon est très très bavard également !



  • Je ne comprends pas comment un proxy peut bloquer l'accès internet… sauf si tu l'as installé "sur pfSense"

    Il faut que ton proxy HTTP soit une machine "sur le LAN".

    C'est exactement ça, j'avais essayé d'installer squid et haproxy depuis "Package Manager" dans PfSense. J'avais pas compris qu'il fallait le mettre dans une Vm, problème depuis la dernière mise à jour de FreeNAS on ne peut plus utiliser VirtualBox c'est un problème pour beaucoup d'utilisateurs, à voir si je peux l'installer dans une jails.

    Hier je devais aller dormir du coup j'ai installé une backup de mon PfSense que j'avais fait la veille et ça remarche

    il faut également t'assurer que tu utilises un DNS interne et non pas pfSense ou celui de Free car tes requêtes DNs en disent long sur les sites que tu accèdes.

    Je sais, perso j'utilise des dns de OpenNic, je ne me suis pas encore penché sur la création d'un serveur DNS, mais quand tu dis "non pas PfSense" tu veux dire que je dois le faire aussi dans une Vm, ce n'est pas possible de créer un serveur DNS à l'aide de PfSense?

    Merci de prendre de ton temps pour me répondre, c'est sympa.

    Si la CIA lit ce forum, via ton enregistrement sur ce forum, ils vont te retrouver quand même mais au moins nous aurons essayé de faire un truc rigolo

    Ils vont surtout bien se marrer, car là j'écris depuis mon taf avec l'adresse Ip de mon domicile. D'ailleurs je peux la voir en bas de mes réponse(j'adooore… pas!).

    Et en terme de téléphonie, tu fais quoi ? car ton smartphone, si tu en as un pour attraper des pokemon est très très bavard également !

    Lol! Je suis chez la pomme et j'utilise signal pour la plus part de mes appels(oui j'ai entendu parlé de vault 7…), j'avais touché à pokemon cet été mais en mode fake gps à new york de mon canap et scan avec une centaine de compte proxyfié sur tor, mais mon Loklass iv 100 m'a juré de garder le silence :D



  • Et merci de prendre sur ton temps pour me répondre c'est sympa :)



  • Je crains (c'est une façon de parler) que vos efforts ne servent éventuellement qu'à attirer l'attention.
    Votre employeur pourrait ne pas apprécier vos méthodes
    Votre fournisseur d'accès (car il vous en faut un !) pourrait vous trouver suspect.
    Je dis tout cela puisque nous sommes dans la parano fiction donc allons y gaiement.
    Je suis d'accord avec vous sur le respect de la vie privée. Mais je me limite à ne pas utiliser Chrome ou IE, pas les services Google et à ne pas être présent sur les réseaux sociaux. Et sans illusion sur le reste mais cela ne m'empêche pas de dormir !



  • Ne vous en faite pas pour mon employeur il est de ma famille, il connaît et respecte ma façon de penser. Après attirer l'attention pourquoi pas, ça ne me dérange pas, du moment où mes donnés sont crypté et que je me connecte à internet depuis un pays respectueux de la vie privée.

    Autrement, j'ai réfléchis sur la possibilité de mettre de mettre squid et le serveur openvpn sur mon nas, mais il y a un problème de taille, si je m'absente et que j'ai un problème avec mon nas je ne pourrais plus avoir accès à mon réseau local, j'avais déjà eu cette désagréable expérience l'été dernier avec un serveur openvpn sur mon nas qui était devenu totalement inaccessible après 2 jour de vacances se qui m'avais fait cogiter pas mal sur les raisons(problème informatique ou problème chez moi).

    Ce week-end j'ai continué a chercher une solution sans y parvenir mais j'ai quand même réussi une chose que je n'arrivais pas à faire avant, concernant l'assignation de l'interface du serveur openvpn, car quand je faisais ça je n'arrivais plus a me connecter à mon serveur openvpn de l’extérieur, en faite pour que ça marche après avoir assigné l'interface du client openvpn il faut copier la règle qui se créé automatiquement dans l'onglet openvpn (quand on créé le serveur openvpn) vers l'onglet de l'interface du serveur openvpn ajouté précédemment et désactiver la règle de l'onglet openvpn sinon il y a conflit, après il est aussi possible d'ajouter l'interface du serveur openvpn au bridge du lan. Cette manip me permet de faire des tests avec divers règle du faite que l'interface du serveur devient disponible dans les choix d’interfaces dans les régles ou les applications qu'on peux ajouter à pfsense.

    j'ai essayé aussi de toucher aux options avancés de openvpn côté serveur avec push "route [ip interface nordvpn]  255.255.255.0" mais aucun effet, hors l'option avancé du serveur openvpn j'ai remarqué que je pouvais faire un ping depuis l’extérieur vers [ip interface nordvpn].

    Si je n'arrive pas à trouver de solution avec pfsense pour faire passer le flux internet out du serveur vers le flux internet de nordvpn je vais essayer d'ajouter un fichier ovpn de nordvpn dans ma freebox, je pense que ça peux marcher mais ça veux dire que mon nordvpn sur pfsense passera aussi pas le client nordvpn de la freebox et ralentira ma connexion à mon domicile :-\



  • Je ne sais pas où tu as vu qu'il fallait, si tu déplace le proxy sur une machine à l'intérieur, déplacer aussi le serveur VPN ?
    Ce sont 2 choses totalement indépendantes.

    Je ne comprends pas non plus ta remarque sur la performance: tu veux tout faire passer par NordVPN pour les flux sortants de ta Freebox mais en même temps, tu relève le fait que tu vas perdre en performance. Oui effectivement mais ce sera vrai quelque que soit le client VPN, qu'il soit pfSense ou Freebox.

    Pour le reste, je n'y comprends juste rien. Déjà cette histoire de bridge, je n'ai pas compris (depuis le début) mais j'ai beau relire plusieurs fois, je ne comprends pas tes points vis à vis des règles de FW, d'onglets et de conflits.

    Tout ça m'a l'air vraiment très compliqué alors que la solution (partielle) à ta question est relativement simple.



  • Je ne sais pas où tu as vu qu'il fallait, si tu déplace le proxy sur une machine à l'intérieur, déplacer aussi le serveur VPN ?

    Tu m'avais suggéré de les mettre sur des VM en cascades. Mise à part sur mon nas je ne vois pas  où je peux les mettre. Je découvre pfsense mais il ne me semble qu'on puisse faire des vm avec pfsense.

    tu veux tout faire passer par NordVPN pour les flux sortants de ta Freebox mais en même temps, tu relève le fait que tu vas perdre en performance. Oui effectivement mais ce sera vrai quelque que soit le client VPN, qu'il soit pfSense ou Freebox.

    Je comprends mais comme je disais dans une réponse précédent à terme je veux faire un roulement avec plusieurs clients nordvpn en fonction des horaires et des périphériques connecté, la client vpn sur freebox est bien moins paramétrable que celui de pfsense. C'est pas trop grave si j'ai une baisse de vitesse mais si je peux m'en passer c'est pas plus mal.

    Pour le reste, je n'y comprends juste rien. Déjà cette histoire de bridge, je n'ai pas compris (depuis le début) mais j'ai beau relire plusieurs fois, je ne comprends pas tes points vis à vis des règles de FW, d'onglets et de conflits.

    Je vais repartir de zero, quand j'ai créé le serveur openvpn il m'a crée deux règles dans outbound et une dans l'onglet openvpn qui se trouve dans rules tous ça pour le bon fonctionnement du serveur et ça fait je job.
    Pour faire passer le traffic de mes appareils vers le client nordvpn j'avais fait une régle dans LAN avec "any" partout et dans Gateway 'nordvpn_lu1", je pensais au départ qu'il me suffisait de faire une règle dans LAN en mettent l'interface du serveur openvpn dans source et dans Gateway 'nordvpn_lu1" mais je n'y arrivais pas car l'interface du serveur openvpn n'existait pas et après coup j'avais vu que l'interface du serveur était assignable mais que en le faisant je perdais internet quand je me connectait sur mon serveur openvpn et même en copiant la règle de l'onglet openvpn, en faite c'était bien de faire ça pour avoir l'interface du serveur visible mais pour que ça marche il fallait désactiver la régle de l'onglet openvpn qui était en trop, c'est comme si le serveur pensait qu'il y avait deux interfaces pour lui et qu'il s'emmêlait les pinceaux.
    Pour le bridge comme je disait au début du topic j'ai déjà un bridge fait avec LAN et un autre port ethernet pour faire passer le traffic du 2éme port ethernet sur LAN et comme j'avais réussi à avoir une interface pour le serveur openvpn fonctionnel j'en ai profité pour pour l'ajouter au bridge existant.
    Ca n'a pas était très utile je le conçois, mais comme j'avais réussi a faire quelque chose que je n'avais pas réussi à faire au début ça ma permis de voir le verre à moitié plein, j'avais appris un truc moi novice en pfsense.

    Tout ça m'a l'air vraiment très compliqué alors que la solution (partielle) à ta question est relativement simple.

    Par rapport au client vpn de la freebox tu veux dire? Si oui, c'est mon plan B.

    Au passage hier j'ai trouvé une piste intéressante dans la section anglais du forum, voici le lien: https://forum.pfsense.org/index.php?topic=116925.0
    Depuis le début outbound fait partie de mes pistes probables mais je ne comprend pas trop trop se que c'est même si je sais que je suis obligé de l'utiliser pour configurer mon client nordvpn. J'ai essayé vite fait de mettre mon interface nordvpn_lu1 et le subnet de mon serveur openvpn en source mais c'est peut-être autre chose que le subnet du serveur openvpn qu'il faut mettre en source ou bien une modif à faire sur le dns sur serveur openvpn, j'ai pas eu le temps de trop me pencher dessus car j'ai une semaine très chargé je prendrais le temps ce weekend , mais ça me plaît bien.



  • Eurekaaaa! J'ai trouvéééé!

    Dans l'interface du client OpenVPN à "IPv4 Configuration Type" j'avais oublié mettre "DHCP". Ensuit en créant une règle dans outbound avec interface=NordVPN_lu1, en source le subnet de mon serveur OpenVPN, et en mettent l'interface du client OpenVPN dans Gateway au niveau de la règle de OpenVPN dans Rules ça marche nikel, sur mon téléphone en 3g j'ai bien l'ip de mon NordVPN, ouuufff!!!

    Je vais essayer d'ajouter la solution détaillé sur le 1er poste du topic sinon à la suite de ce message.