NAT et règles FW



  • Bonjour,

    Veuillez trouver ci-joint le schéma de ma maquette PFSense. Juste qu'il faut savoir que le HUB se trouvant dans le LAN droite n'y est plus mais est maintenant au milieu du WAN en haut.

    J'ai mis en place OpenVPN sur PFSense. Mon tunnel VPN est bien monté. Le client se connecte bien au tunnel. Si je fais un ping du client VPN ver un PC du LAN ça passe bien par le protocole UDP et si je fais un tracert du LAN ça passe bien par l'interface TUN. Donc mon tunnel est ok.

    J'ai monté ce tunnel avec les firewall désactivés. Je voudrai maintenant les activer mais je ne sais pas trop comment m'y prendre : en effet, je ne sais pas comment configurer le NAT (soit port forwarding, 1:1 ou bien outbound; je ne sais pas lequel prendre : j'ai lu de la doc sur ces 3 types de NAT mais j'ai du mal à savoir lequel mettre en pratique.). Ensuite, concernant le FW c'est pareil je sais pas trop comment "gongler" pour faire uen bonne config propre.

    Pouvez-vous m'aider svp ? J'attends vraiment vos infos, pistes, aides etc …

    Merci d'avance.

    raptor45.



  • Ensuite, concernant le FW c'est pareil je sais pas trop comment "gongler" pour faire uen bonne config propre.

    Il n'existe aucune réponse à cette question. Une bonne configuration est celle qui répond à des besoins fonctionnels précis avec un niveau de sécurité donné.



  • Mais est-ce qu'il faut que j'utilise du NAT ou pas ?

    Ensuite pour la règle de firewall, je pensais à ceci :

    Proto: UDP
    interface : WAN
    source : client du LAN de droite
    dest : client du LAN de gauche
    port : 1284
    gw : default

    Qu'en pensez-vous ?

    raptor45.



  • Mais est-ce qu'il faut que j'utilise du NAT ou pas ?

    Toujours la même question : qu'avez vous besoin de faire …
    Le reste je n'en pense rien pour la raison déjà expliquée plus haut.



  • Ce que je veux faire c'est faire passer mon VPN par le firewall. Est-ce que la règle précédemment citée suffit ?

    raptor45.



  • Oui, pas besoin de NAT. Vous êtes sûr du port 1284 ?
    Comprenez bien que cette réponse ne vaut pas grand chose. Mais elle est fonction de ce que vous avez pu exprimer du besoin. En général on établit un vpn pour accéder à des serveurs, à des services. Pas pour traverser le firewall. Ne pas confondre objectif et méthode.



  • Bonjour,

    Oui je suis sur le port 1284.
    Elle ne veut peut-être pas grand chose à vos yeux mais pour moi si car je ne savais pas trop quoi faire avec le NAT. Pourtant je sais ce que c'est, j'ai lu de la doc dessus et sur ses différents modes de fonctionnement mais juste de la théorie ce n'est pas forcément évident. Au moins avec votre réponse, je ne vais toucher qu'au FW.

    Concernant le FW, la règle évoquée lors d'un précédent message est-elle bonne et suffisante ? Pour des raisons de sécurité j'ai aussi divisé le pool d'adresses desservies au VPN en /29; je pense que que c'est une bonne chose, non ?

    Et justement mon VPN est mis en place pour pouvoir accéder à la machine de gauche sur mon schéma réseau; comme si c'était un serveur. Je veux y accéder en accès bureau à distance et sniffer les trames au milieu du réseau WAN pour voir si les trames passent bien en UDP. Est-ce le milleur moyen de vérifier que ça passe bien par le VPN ?

    Concernant votre remarque:

    En général on établit un vpn pour accéder à des serveurs, à des services. Pas pour traverser le firewall.

    Il faut quand même bien une règle sur le FW pour sécuriser un peu le tout non ? Peut-être pourriez-vous m'éclairer sur ce point que je n'ai peut être pas bien compris ?

    raptor45.



  • Je ne comprends vraiment pas tout là: je bloque tout sur les 2 FW des 2 PFSense mais j'arrive quand même à connecter mon client à mon serveur VPN !

    Pouvez-vous m'expliquer svp ?

    raptor45.



  • Y a-t-il un temps de mise en place de la règle FW lorsqu'on vient de l'appliquer ? Ou bien est-ce impossible de faire du filtrage pour OpenVPN ? Je ne sais pas mais il doit y avoir un truc ! Je bloque tout sur tout, et le client VPN se connecte.

    Pouvez-vous m'aider, m'éclairer svp ?

    Merci d'avance.

    raptor45.



  • Puisque vous être en 1.2.3RC3 :
    http://forum.pfsense.org/index.php/topic,16421.0.html
    Tous les filtrages que vous pourriez mettre sur les interfaces wan ou lan pour un client vpn seront inopérants. Le trafic tunnel arrive sur wan, mais pas celui contenu dans le tunnel. N'oubliez pas que le trafic "utile"  est encapsulé dans le tunnel.



  • Bonjour,

    Merci pour votre aide. Donc d'après le lien que vous m'avez donné, je comprends qu'il faut que je crée une interface virtuelle OPT1 et que j'assigne dessus le TUN0. Est-ce que c'est bien ça ?

    Si j'ai bien compris et que c'est bien ce que je dis, dans ce cas, je pourrai créer des règles de FW sur OPT1 et ça agira bien sur le tunnel VPN vu que ce sera assigné à TUN0.

    C'est bien celà ?

    J'attends votre retour.

    raptor45.



  • oui, c'esr cela.



  • ok c ce que j'ai fais. Mais les règles que j'applique à l'interface OPT1 ne s'appliquent pas !

    J'ai remarqué aussi que sur l'interface WAN si je bloque tout, mon client VPN se connecte quand même. Pouvez-vous me dire comment celà est possible svp ?

    A partir de là ça débloquera peut etre mon souci de règles sur l'interface OPT1.

    Merci d'avance.
    raptor45.


Log in to reply