Openvpn nomade et trafic internet
-
Bonjour,
j'ai mis en service openvpn et je l'utilise surtout pour des nomades, dont moi.
Je voudrais, lors d'une connexion nomade (3G ou Box) forcer le trafic à passer par le PfSense et ne plus passer en direct via la connexion en cours car cela outrepasse les règles de sécurité que j'ai mises en services dans ma société et du coup je me trouve hors de mon cadre de sécurité.
Existe-t-il une solution et laquelle ?
Merci -
C'est en effet une très bonne idée.
Voir les options OpenVpn, celle dont vous avez besoin s'appelle "Gateway-redirect" si ma mémoire est bonne. -
Je rentre de déplacement, merci de la réponse.
Je cherche encore car, si j'ai bien lu, il faut aussi activer le serveur DNS sur le PfSense et je me demande si je ne risque pas des ralentissements supplémentaires. -
Expliquez vous car c'est un peu confus ce "ralentissement supplémentaire".
Il n'y a pas de serveur dns sur Pfsense mais Dnsmasq, ce qui n'est pas vraiment la même chose. Dnsmasq fourni éventuellement une résolution locale pour des hôtes locaux et une mise en cache des résultats des requêtes dns réalisées sur les dns renseignés dans la configuration initiale. Cette méthode améliore plutôt les performances. -
Je m'explique,
depuis la mise en service du pfsense j'ai constaté des ralentissements de chargement/exécution de certains types de sites (a priori, java et flash) et vu que ce n'est pas la priorité de rendre facebook plus rapide en entreprise je ne m'y intéresse pas plus que ça (sûrement une config que j'ai dû raté quelque part). D'où ma crainte d'un traitement supplémentaire et donc d'un ralentissement, ce qui n'était pas une critique.
Ma config globale est :
3 cartes réseau sur mon pfsense (VPN, ADSL et LAN)
Des sites distants qui sont connectés via un VPN Oleane
Un réseau local en AD serv2003
Des nomades, qui accèdent actuellement très bien au réseau mais dont la navigation internet n'est pas filtrée en déplacement.
Je progresse lentement du fait de mes multiples fonctions dans mon entreprise, désolé si je ne suis pas toujours très clair. -
Je m'explique,
depuis la mise en service du pfsense j'ai constaté des ralentissements de chargement/exécution de certains types de sitesJe n'ai jamais vu de semblables problèmes dûs à Pfsense à moins d'utiliser une très petite machine avec des cartes réseaux à 10 Mbits. Encore une question : avez vous installé un proxy (Squid) sur Pfsense ?
-
La machine ne comporte que des cartes 100 mega, 1Go de mémoire et un pentium IV 3GHz.
Squid est bien en service et je ne peux pas me passer d'un proxy à cause du VPN intersites. -
Pour pfsense cette machine est amplement suffisante. Pour Squid c'est une autre affaire. L'installation d'un proxy sur Pfsense (ou tout autre firewall) n'est pas une bonne idée. C'est même une mauvaise idée. Je peux comprendre que vous ne puisiez vous passer d'un proxy, il y a en effet de multiples bonnes raisons d'en utiliser un. Nous sommes plusieurs ici à avoir expliqué pourquoi c'est une mauvaise idée. Vos problèmes de performance sont très difficiles à résoudre dans cette configuration. Je ne saurai trop vous recommander l'usage d'un proxy autonome.
-
Ok merci de l'info, je ne le savais pas. Pour l'instant je résous mon souci avec le trafic openvpn et ensuite je me charge du proxy.