[Résolu] Règles FW sur l'interface OPT1 (OpenVPN)
-
Bonjour,
J'ai mis en place une maquette pfsense pour la mise en place d'OpenVPN. Le client se connecte bien sur mon serveur VPN. Ca c'est OK.
Pour gérer les règles de FW sur OpenVPN, j'ai installé la version 1.2.3 de pfsense et dans l'onglet "interfaces", puis "assign", j'ai assigné OPT1 à TUN0.
Ce qui me crée une interface virtuelle pour pouvoir filtrer dans le tunnel VPN.Le problème est que même si je bloque tout, j'arrive quand même à pinguer mon PC LAN de gauche à partir de mon client VPN qui se trouve dans le LAN de droite (voir schéma ci-dessous).
Il faut savoir également qu'à côté de tun0 lorsque je vais dans interface > assign, il y a un chiffre entre parenthèses : tun0(2).
A quoi correspond ce chiffre svp ? Sachant que pour les interfaces physiques (LAN et WAN), ce qu'il y a entre parenthèse c'est l'adresse MAC.Il faut savoir également que j'ai testé cette même maquette à mon école en suivant exactement le même tuto qu'à mon entreprise et dans le même ordre et qu'entre parenthèses, je n'ai pas le chiffre 2 mais 64. Vu que je ne sais pas à quoi correspond ce chiffre, je ne sais pas si ça a une incidence.
Pouvez-vous m'aider et me dire comment je peux résoudre ce souci svp ?
Merci.
raptor45.
-
Une recherche dans le forum aurait (très) vite remonté qu'on ne peut pas filtrer les flux openVPN en 1.X.
Comme d'habitude merci de chercher, surtout que cette question a déjà été posée au moins 100 Fois.
-
Sauf qu'on m'a dit que sur la version 1.2.3 on peut ! Notamment en faisant ce que j'ai expliqué dans mon premier post !
Alors il faudrait savoir. Je ne comprends pas là !
raptor45.
-
En effet, je m'excuse je suis allé trop vite, j'avais oublié la dernière modification des auto-added rules sur les derniers snapshots.
Pour activer la fonction de filtrage openvpn, aller dans Advanced/Disable all auto-added VPN rules.
Ensuite vous pouvez filtrer. -
Ok, très bien.
-
En revanche, j'ai remarqué que je n'ai pas besoin de désactiver l'option dont vous m'avez parler.
-
Par contre si j'établis une règle sur l'interface OpenVPN comme
ICMP * * * * * block
Il faut que je redémarre pfsense pour que ce soit pris en compte. Et en effet, lorsque je reboot pfsense et que je reconnecte mon client VPN, le ping ne fonctionne plus. Cependant, si je mets cette règle:
ICMP * * * * * pass
Le ping refonctionne sans que j'ai besoin de redémarrer pfsense. Je ne comprends pas pourquoi !
Ce problème de redémarrage de pfsense, je le rencontre également si je mets cette règle sur l'interface WAN:UDP 1284 * * * block (description : tunnel VPN)
En effet avec cette règle, je dois redémarrer pfsense. Par contre, une fois redémarrée, donc mon client ne se connecte plus (normal) et si je réactive le tunnel, le client peut se reconnecter sans redémarrer pfsense.Pour résumer, je dois redémarrer la machine pfsense si je bloque du traffic sur le WAN ou OpenVPN pour que ça prenne effet. En revanche, pas besoin de redémarrer si j'autorise du trafic.
Pouvez-vous me dire pourquoi svp ? J'ai fais et refais les tests sur des install "propres" : le résultat est toujours le même. Je ne comprends pas.
J'attends vos réponses.
Merci.
raptor45.
-
-
Quoi qu'il arrive il faut désactiver l'option (comme expliqué dans la feature list de la 1.2.3) car par défaut une règle autorisant tout est générée automatiquement sur l'interface TUN.
Extrait:
Disable auto-added VPN rules option - added to System -> Advanced to prevent the addition of auto-added VPN rules for PPTP, IPsec, and OpenVPN tun/tap interfaces. Allows filtering of OpenVPN client-initiated traffic when tun/tap interfaces are assigned as an OPT. -
Ok. Je ferai ça mais c'est quand même bizarre que ça fonctionne sans que je désactive ça. Mais comme je disais, je dois redémarrer pfsense pour que ce soit pris en compte.
raptor45.
-
il y a effectivement un post dans la section anglaise qui parle de ce comportement au reboot car cela vient de l'ordre dans lequel est traité la mise en place des regles firewall (au reboot le fichier des regles est passé avant les regles automatiques a la différence de l'édition des regles apres le boot ou ou les regles auto sont appelée en premier dans le filter reload).
-
Merci bien pour cette info. Ceci explique donc bien ce que je constate.
Pouvez-vous me dire comment je peux résoudre celà s'il vous plaît ? Je veux dire : comment faire pour que lorsque j'applique des règles, je n'ai pas besoin de redémarrer PFSense ? Celà s'applique aussi bien sur l'interface OPT1 (OpenVPN) que sur l'interface WAN.
Je viens de tester en cochant l'option "disable all auto-added VPN rules." mais le souci est le même : si je bloque le traffic sur l'interface VPN, il faut que je redémarre pfsense pour que ce soir pris en compte.
Merci d'avance pour votre réponse.
raptor45.
[edit]
Rectification de ce que je viens de dire :
Finalement, je viens de m'apercevoir d'autre chose : j'ai attendu après avoir appliqué la règle (qui bloque tout) sur l'interface OpenVPN et effectivement le ping ne passait plus au bout de 20 à 30 secondes environ (j'ai pas chronométré). O`u est-ce que je peux régler le temps que doit mettre la règle à s'appliquer svp ?
Merci.
[edit] -
Ce comportement sur les interfaces de type TUN est décrit dans le forum anglais. Ca ne se configurre pas. En fonction de la plateforme matérielle, la mise à jour des règles est plus ou moins lente et ce que vous observez est tout à fait normal.
-
Ok. Et bien merci beaucoup pour vos explications. Au moins c'est rapide et clair. Et je sais désormais pourquoi j'ai ce comportement de la part de pfsense.
Merci.
raptor45.