Installer un serveur VPN sur mon LAN avec pfSense



  • Bonjour,

    Je souhaiterais remplacer la fonction Serveur VPN de mon Microsoft TMG qui est à l'agonie.
    Le serveur VPN actuel étant utilisé pour permettre aux collaborateurs en déplacement de se connecter au LAN pour accéder à des ressources (serveurs de fichiers, ERP, etc). Actuellement ça fonctionne bien avec TMG mais il est tout proche de la retraite.

    Je suis donc allé voir la section correspondante aux VPN dans http://irp.nain-t.net/doku.php
    Compte-tenu du fait que la page date de 2009, je me demandais si les 2 solutions proposées à savoir le Tunnel GRE ou l'Open VPN étaient toujours d'actualité, notamment en matière de sécurité ou s'il y avait des solutions plus secure, toujours sur pfSense.

    Merci de votre aide.

    Pascal.



  • Le choix de base, sur pfSense, c'est le serveur OpenVPN.
    Ipsec est un autre choix, mieux, à mon avis, en terme de sécurité.



  • Merci d'avoir répondu.
    Je vais donc étudier la mise en place d'un VPN IPSec sur mon pfSense.
    Pascal.



  • pfSense est un vrai firewall contrairement à Microsoft TMG.
    (Ca fait longtemps que vous avez réfléchi …)

    Les 2 VPN conseillés avec pfSense sont :

    • Ipsec : plutôt pour le site-2-site, difficile de trouver un client gratuit pour le roadwarrior, sensible au NAT (si pas T-NAT)
    • OpenVPN : plutôt pour le roadwarrior, (plusieurs) client(s) gratuit(s), pensez au mode administrateur !

    Donc plutôt qu'Ipsec, pas moins sûr, en roadwarrior, pensez à OpenVPN !



  • Je lis le guide qui explique les différents types implémentables avec pfSense…
    (j'ai effectivement pris le temps de la réflexion, j'ai migré toute mon infra physique et virtuelle sur les dernières versions des serveurs Microsoft Server, Exchange, SQL. Ca a pris du temps...)
    Merci.
    Pascal.



  • infra physique et virtuelle sur Microsoft ?

    Un jour il faudra que quelqu'un vous explique qu'il existe VMware …
    Parce qu'un noyau d'hyperviseur qui demande plusieurs Giga ne peut être aussi fiable et solide qu'un hyperviseur de quelques centaines de Mo !

    Au moins vous n'avez pas virtualisé le firewall ?! (j'ignore si HyperV sait virtualiser FreeBSD)



  • En 2011 quand j'ai décidé de virtualiser mes serveurs je suis allé voir un site qui utilisait VMWare, 7 ou 8 serveurs et une centaine de postes, le tout sous Windows.
    On m'a fait une démo qui était séduisante, je découvrais la virtualisation.

    Ensuite j'ai fait chiffrer les 2 solutions par mon fournisseur de matériel de l'époque, DELL, qui poussait plutôt VMWare.

    Financièrement parlant l'avantage était nettement en faveur de Microsoft pour diverses raisons (et pas uniquement à cause du fait qu'HyperV était fourni avec Windows Server).

    En outre, avec VMWare je me voyais obligé de me former à des outils tiers et j'imaginais qu'en choisissant HyperV, la virtualisation assurée par l'éditeur de l'OS ça allait couler de source.

    En pratique, je suis donc parti sur HyperV et j'ai installé un failover cluster de 2 hôtes sur lesquels j'avais 4 serveurs Windows et un SAN. La fonctionnalité de failover n'a jamais très bien fonctionné automatiquement, mais l'origine du problème était matérielle (un comble dans la mesure où c'est DELL qui m'avait vendu l'ensemble de la solution matérielle et logicielle) mais à part ça je n'ai jamais rencontré de problème avec HyperV.
    A l'époque c'était sous Windows Server 2008 R2. Aujourd'hui je passe à la version 2016 qui semble s'être bien améliorée pour le clustering.

    Non je ne virtualise pas mes Firewall. Ni TMG, ni les 2 pfSense, ce sont 3 machines physiques. Et j'ai un DC physique aussi car il en faut au moins 1.

    Pascal.



  • On est hors fil …

    Pour les PME, VMware propose le Kit Essentials Plus, qui permet jusqu'à 3 hôtes de virtualisation bi-processeur.
    Ce kit permet la high Availability de façon transparente (et la config est simplissime). (Seul manque le déplacement de Datastore qui ne peut être fait que VM arrêtée.)
    Aucun besoin, donc, de créer un cluster de VM pour assurer une redondance ...
    (J'ai même vu une VM de SCO Unix, ce qui a résolu le problème de sauvegarde de ce serveur !)

    En ajoutant autant de Windows Datacenter que d'hôtes, et, bien sûr Veeam Backup pour sauvegarder, vous obtenez une infra au nombre illimité de VM Windows, bien sécurisée et très fiable. Pas besoin de redémarrer les hôtes régulièrement pour les mettre à jour ! La seule différence est ce coût du kit, qui est peu excessif ~4000-4500 € puisque le reste sera aussi nécessaire avec HyperV. A l'usage il n'y a aucun regret à avoir dépensé cet argent car les arrêts obligatoires d'HyperV coute aussi de l'argent !

    Au delà de cette taille, le coût augmente puisqu'il faut une licence par serveur hôte ...

    NB : DELL fournit les iso de VMware et les drivers de matériels DELL déjà embarqués. (HP doit faire de même)



  • Merci pour ces infos.
    A intégrer dans la réflexion lors du prochain renouvellement de mes serveurs…
    Pascal.


Log in to reply