[Résolu] Nombre de tentative de connexion au WebGUI



  • Bonjour,

    Contexte : Pro, Étudiant, Nouveau, pfsense installé sur HYPER-V
    Besoin : Modifier le nombre de tentatives de connexion de l'interface graphique

    Schéma : Toutes les interfaces possèdent leur propre carte réseau virtuelle
    WAN: 192.168.15 x/22
    LAN: 192.168.10 x/24
    SYNC: 10.0.10.254/24 FAILOVER
    LAN2: 10.2.0.x/16

    Configuration authentification:
    Configuration LDAP. Les utilisateurs utilisent leur compte AD afin d'avoir uniquement accès à la page "Client export" d'OpenVPN (ce qui fonctionne correctement).

    Question:
    Par défaut pfsense bloque l'adresse IP publique d'un utilisateur après 15 tentatives de connexion échouer pendant 24 h. Peut-être que je me trompe mais je trouve que ce nombre est trop élevé.
    Corrigez-moi si je me trompe.
    Du coup est-ce possible de réduire ce nombre ? Si oui est-ce recommander ?



  • Ton WAN possède un IP local ( RFC 1918 ) donc je te conseille de regarder de plus près les règles NAT et parafeu de ton routeur en amont. T’auras une petite surprise.
    Règle d'or : jamais - sauf peut être le VPN (porte) 1194 - doivent être natté en amont.
    Règle d'or 2 : le GUI n'est pas accessible à partir du WAN - et par défaut c'est le cas.

    T'as donc rien a faire - sauf respecter ces ceux règles - et fini les tentatives.

    Règle perso : le LAN ne doit que avoir des appareils de confiance. En cas de doute, ne branche même pas le LAN, et utilise tes appareils internes sur tes autres interfaces, et bloque avec une règle parafeu l'accès au GUI.

    edit : après ré-lecture : tes clients doivent se connecter sur "OpenVPN => Client Export Utility" (autrement dit, une partie de GUI de pfSense) venant de l’extérieur pour ramasser leur fichier "ovpn" ??
    Euh …. moi, je ne laisse personne accéder à pfSense comme ça, restriction d'une page, ou pas.
    J'exporte vers un fichier ovpn et je le transmet par La Poste ... clé usb ou mail tout simplement.



  • Les utilisateurs de pfSense devraient être des administrateurs.
    Pour quelles (fausses) raisons des clients devraient avoir un profil utilisateur de pfSense ?

    Si on encourage un utilisateur à se connecter à un firewall, cela amènera forcément à des problèmes !
    "Y en a q'ont essayé, ils ont eu des problèmes …"

    Qu'un administrateur, qui créé le certificat d'un utilisateur et qui génère le 'client_export', n'est-il pas très simple qu'il fournisse (ou mieux, qu'il installe) ledit programme  (toute en indiquant les règles d'utilisation) ?

    En ce qui me concerne, de toute façon, les utilisateurs NE SONT PAS administrateurs de leurs PC (et c'est BIEN mieux), donc ils ne peuvent l'installer.
    De plus, je n'installe plus OpenVPN Client GUI, car je suis resté sur la nécessité d'être administrateur pour l'exécuter (ce qui n'est peut-être plus le cas).
    (J'installe SecurePoint SSL VPN Client qui fonctionne très bien, et avec la config d'OpenVpn bien sûr.)



  • @jdh:

    .. (ce qui n'est peut-être plus le cas).

    Ce qui est le cas depuis peu, heureusement. Le GUI OpenVPN, donc l'outil coté VPN client démarre maintenant sans droits admin.
    Installer le package OpenVPN nécessite toujours le droit admin sur le PC.



  • (Hors sujet, mais REX d'un programme client)

    L'installation d'un client VPN n'est pas anodin :

    • c'est une install de programme,
    • c'est, en particulier, un programme qui donne un accès à un réseau interne.
      Cela fait 2 raisons pour lesquelles l'administrateur doit être attentif.

    Securepoint, outre qu'il ne nécessite pas d'être admin à l'exécution, a un atout supplémentaire :

    • au moment de l'install, on peut choisir de l'installer SANS possibilité d'ajouter par le logiciel et manuellement une config par la suite.
      Cette possibilité n'empêche pas l'administrateur d'installer une config (hors logiciel) en la copiant à l'endroit idoine.
      Ces 2 atouts m'en ont fait mon client standard. Je vous encourage à l'essayer, en alternative à OpenVPN 'standard'.
      (NB : il exige d'avoir un driver TAP : j'installe le TAP d'OpenVPN bien sûr.


  • Bonjour,

    Je vous remercie de tous vos retours. Je vais donc désactiver cette fonction.

    @Gertjan:

    Ton WAN possède un IP local ( RFC 1918 ) donc je te conseille de regarder de plus près les règles NAT et parafeu de ton routeur en amont. T’auras une petite surprise.
    Règle d'or : jamais - sauf peut être le VPN (porte) 1194 - doivent être natté en amont.
    Règle d'or 2 : le GUI n'est pas accessible à partir du WAN - et par défaut c'est le cas.

    L'adresse IP de mon WAN est lié avec une IP Public. L'accès au GUI depuis le WAN a été désactivé.

    @jdh:

    Les utilisateurs de pfSense devraient être des administrateurs.
    Pour quelles (fausses) raisons des clients devraient avoir un profil utilisateur de pfSense ?

    Mon tuteur souhaitait juste donner un accès limité au GUI afin d'éviter de transférer constamment les configurations aux utilisateurs. Vu vos retours je vais désactiver cet accès.

    @jdh:

    En ce qui me concerne, de toute façon, les utilisateurs NE SONT PAS administrateurs de leurs PC (et c'est BIEN mieux), donc ils ne peuvent l'installer.
    De plus, je n'installe plus OpenVPN Client GUI, car je suis resté sur la nécessité d'être administrateur pour l'exécuter (ce qui n'est peut-être plus le cas).
    (J'installe SecurePoint SSL VPN Client qui fonctionne très bien, et avec la config d'OpenVpn bien sûr.)

    Au siège nous n'utilisons pas le client Openvpn également à cause du problème que vous mentionnez. Cette configuration avait pour cible les utilisateurs en télé travaille ou mobile qui sont administrateurs de leurs machines perso.

    Je vous remercie encore
    Cordialement