<Résolu> OpenVpn et sélection du trafic



  • Bonjour à tous,

    Voici ma problématique : Nous sommes actuellement sur une infrastructure en France avec un routeur Pfsense avec 2 connections WAN, des Vlans, un AD et tout ce qui va bien :)

    Pour des raisons d'évolution de la structure, je souhaite migrer notre serveur de fichier contenant toute notre base de données actuellement sur un NAS Synology (qui se synchronise lui-même à un autre NAS distant) vers mon AD qui aurait un rôle de serveur de fichier (nous sommes une petite structure).

    Nous avons des bureaux en Pologne ; je souhaiterais donc, dans un premier temps, que nos collègues puissent installer un client VPN afin de pouvoir lire écrire et modifier les fichiers directement sur notre serveur.
    J'ai déjà mis en place OpenVpn qui fonctionne très bien pour nos utilisateurs nomades. Cependant, voici ma problématique : Je souhaiterais que mes collègues en Pologne ne passent par le tunnel que pour aller consulter la base de données (donc avec un plan d'adressage bien identifié). Tout le reste du trafic Internet (mises à jour Windows, Web, etc) devra passer par leur routeur directement. Il s'agit donc d'une table de routage à renseigner quelque part mais où ? Dans mon serveur PfSense, au niveau de la configuration des clients VPN ?

    A savoir que ce n'est qu'une 1ère étape, il n y a pas de routeur manageable sur place, des améliorations seront faites par la suite.

    Merci d'avance pour vos réponses et idées ;)



  • Les nouveaux gagnent à lire A LIRE EN PREMIER. Ici il manque une description plus précise des réseaux de part et d'autre : y a-t-il un pfsense en Pologne ? Est-il question d'en installer un ? Quid de l'authentification sur Synology ? Quel hardware (quels serveurs) en France ? ...

    Cependant, vous décrivez un besoin.
    Toutefois, votre besoin n'est pas suffisamment analysé, et vous pré-supposez une solution.

    Transfert de contenu vers AD :
    C'est une mauvaise pratique car déconseillé par Microsoft : un serveur qui fait contrôleur de domaine (AD) peut faire serveur DNS et DHCP, mais il ne devraient pas être, en plus, serveur de fichiers (et d'imprimantes) : il est conseillé d'avoir 2 serveurs (ou 2 VM).
    De plus, comment effectuer la sauvegarde comme le NAS à NAS (qui fonctionne bien, et c'est une bonne chose d'y avoir pensé) ?

    Base documentaire :
    On imagine un partage ouvert (en modif) à tous.
    Mais il n'y a pas d'infos sur l'authentification locale (et par là la sécurité), sur l'authentification pour les utilisateurs polonais, sur l'avenir ...
    Le mode collaboratif, basé sur le bon esprit de tous, s'effrite peu à peu quand le nombre d'intervenants augmente (regardez ce forum !). On finit toujours par avoir besoin de savoir qui a fait telle ou telle modification ...
    A mon avis, il vaut mieux avoir répondu à cette question avant d'avoir ouvert l'accès plutôt qu'avoir à y réfléchir après !

    pfSense en Pologne :
    Le besoin d'un pfSense en France n'est-il pas le même qu'en Pologne ?
    Il est facile de comprendre qu'avec un pfSense de part et d'autre, il serait aisé de créer un tunnel 'contrôlé' entre les 2 sites, ce qui évitera d'installer sur N postes un client VPN, et n'autorisera l'accès qu'à un serveur en France depuis la Pologne : restrictions sur le phase 2 du tunnel ou sur les rules Ipsec ou OpenVpn.

    Continuez à affiner votre besoin, et les solutions pour y arriver viendront facilement ...



  • Bonjour,

    Merci pour cette réponse, un peu abrupte. J'ai bien lu ce " à lire en premier", ne vous en déplaise, j'essaie d'adopter un ton convivial, tant sur le fond que la forme...

    Transfert de contenu vers AD : Je suis bien conscient du fait de devoir séparer les VM (AD, serveur de fichiers). Nous sommes une PME, le but n'étant pas de multiplier les Vms, ceci étant dit, il est possible de faire une machine dédiée au service de fichiers.
    Je ne souhaite plus utiliser la solution Synology qui crée des conflits lors des modifications de fichiers. Ceux-ci sont nombreux et nous avons régulièrement ces fameux doublons/conflits qui se créent. D'où l'idée de passer via un VPN. Le NAS servira de backup.

    Base documentaire : Tout l'authentification se fait bien via un compte Active Directory : tous les utilisateurs nomades du VPN s'authentifient bien avec leur compte AD ; Pfsense à bien été configuré dans ce sens.
    Concernant la sécurité, les droits ont déjà été définis pour mes utilisateurs, encore une fois grâce à l'AD, donc pas de souci sur qui à le droit de lire /écrire / modifier.

    PfSense en Pologne : Oui, il sera sûrement mis en place à l'avenir. Pour des raisons de temps et de tests, je souhaite d'abord qui'ils accèdent à la base via le VPN.

    Pour faire simple, encore une fois, ma question est simple. J'ai déjà réflechi à mon infrastructure, je souhaite juste savoir une seule chose :

    Où paramètre-t-ton cette fameuse table de routage qui indique au client que l'accès au serveur de fichiers se fait par le VPN, et que tout le reste passe par sa connexion classique ?

    Merci d'avance pour votre simple réponse. un peu plus de cordialité et d'esprit simple serait agréable.



  • J'ai réussi à trouver tout seul en farfouinant dans les paramètres de mon serveur OpenVPN.
    Voici ici la solution pour ceux qui pourraient se poser comme moi la question :

    Le réglage se fait au niveau de Pfsense. Il faut éditer le serveur VPN concerné et bien laissé décoché cette case : "Force all client-generated IPv4 traffic through the tunnel."
    La case "IPv4 Local network(s)" apparait : il faut renseigner le ou les réseaux vers le(s)quel(s) on veut accéder via le tunnel (de type 172.16.0.0/24 par exemple). Dans mon cas j'ai mis l'adresse du réseau où est sont situés les serveurs auxquels j'ai besoin d'accéder.
    Ainsi, seuls les paquets à destination du réseau (ici 172.16.0.0/24) passeront via le tunnel :)

    Cela fonctionne bien. Lorsque je connecte mon client en VPN, j'accède aux fichiers, au RDP, etc.. sur le réseau de la société, par contre tous les autres accès (notamment web) se font bien via la connexion wifi de mon point d'accès.



  • Salut salut

    Merci de ce retour qui se font plus que rare.
    merci par la même de modifier l'entête de votre premier poste en ajoutant un "résolu" afin de facilité les recherches de personne ayant la problématique.

    Cordialement.



  • @ludo1287 said in OpenVpn et sélection du trafic:

    Merci pour cette réponse, un peu abrupte. J'ai bien lu ce " à lire en premier", ne vous en déplaise, j'essaie d'adopter un ton convivial, tant sur le fond que la forme...
    Merci d'avance pour votre simple réponse. un peu plus de cordialité et d'esprit simple serait agréable.

    Votre config OpenVPN intégrait une case cochée 'Force all traffic througth tunnel'.
    Cette case est normalement décochée par défaut : on ne la coche que si on comprend ce qu'elle signifie !
    Il est assez inhabituel de la voir cochée ...
    (Vous ignorez, de plus, qu'un petit malin peut contourner votre choix !)

    Ce qui serait convivial, ce serait d'arrêter de prendre votre ton :

    • votre description est incomplète : il y a plusieurs réseaux distincts, votre config client OpenVPN fonctionne mais vous y avez coché une case inhabituelle et non comprise, ... Qu'est ce que vous coûtait d'en écrire un peu plus, plutôt que de laisser le lecteur faire des hypothèses ?
    • le formulaire n'est pas imposé (d'ailleurs j'ai répondu), mais c'est la marque d'un respect des pratiques conseillées du forum (puisqu'étiquetées) ...

    Je prends le temps de répondre, de manière construite, avec des éléments de bonnes pratiques, avec du contenu ...
    Je vous donne une réponse précise sur un point important (à mon avis) que vous n'avez pas même compris, puisque vous attendez encore autre chose.
    Où ai je écrit un mot injustifié ?

    Vous mordez la main de ceux qui vous répondent ?
    Et c'est vous qui allez nous donner des leçons ?
    Pour un premier fil, cela se pose là.

    Non cordialement ...
    Bien mal m'a pris de vous répondre !



  • Monsieur,

    Lisez mon 1er message, il était convivial avant de m'expliquer que mon besoin n'était pas suffisamment analysé et de remettre en cause mes réflexions concernant l'évolution de mon infrastructure. A la vue de vos autres réponses sur d'autres posts, il semblerait que vous preniez un certain plaisir à passer votre temps à corriger les gens.

    Je ne rentre peut-être pas complètement dans le moule concernant la structure de ma question, cependant se faire reprendre de la sorte n'est pas agréable, d'autant plus que je n'ai aucun problème à répondre aux questions pour affiner la discussion.

    Je n'avais pas reposté de questions sur un forum depuis longtemps, votre accueil m'a quelque peu refroidi.
    Vous vous permettez d'apporter des jugements inutiles au débat. Ce ne sont pas des gens comme vous qui donnent envie de pratiquer ce beau métier d'Administrateur réseau :

    Toutefois, votre besoin n'est pas suffisamment analysé, et vous pré-supposez une solution.
    (Vous ignorez, de plus, qu'un petit malin peut contourner votre choix !)
    Cette case est normalement décochée par défaut : on ne la coche que si on comprend ce qu'elle signifie !

    Prenez du recul, vous savez très bien écrire ; je suis sûr qu'au fond de vous même, vous savez que vous êtes condescendant.

    Sur ce, je passe le sujet en résolu...



  • @jdh said in <Résolu> OpenVpn et sélection du trafic:

    Continuez à affiner votre besoin, et les solutions pour y arriver viendront facilement ...

    Pour un premier fil, vous faites vraiment très fort !

    Jamais vous vous posez de questions : toujours les autres vous agressent ?
    Vous avez coché une case sans savoir les effets : qu'est ce que j'y peux ?
    Vous jugez que telles ou telles infos n'est pas utiles : vous êtes surpris qu'on ne les ait pas devinées ?
    On vous indique les bonnes pratiques ou les usages conseillés du forum : et ce serait vous reprendre ?

    Ca ne doit pas être facile de travailler avec vous ...

    Moi, on m'a appris à dire merci à ceux qui me répondent (gratuitement) quand je pose une question, quand bien même la réponse n'est pas celle attendue.
    J'ai même observé que l'on peut en apprendre beaucoup des autres, ... à condition d'accepter d'entendre.
    Mais je n'ai pas votre age et vos certitudes ...

    (Je ne demande pas même merci, juste n'être pas insulté dès que je signale le formulaire, dès que je souligne VOS insuffisantes recherches, descriptions, réflexions ...)

    Bien mal m'a pris de vous encourager et de vous répondre.