[résolu]acces admin ap derriere portail

tryfaz

Bonjour :)

Je me demandais si il y avait moyen d'accéder à l'interface web d'administration de mes points d'accès sans fil sans me trouver physiquement sur le réseau sans fil. J'utilise le portail captif de pfsense et j'ai accès à l'interface de pfsense sur internet. Faut-il utiliser la fonction VPN ?

AP
|
lan 192.168.1.0
|
Pfsense
|
wan 192.168.0.0
|
box internet
|
| (internet)
|
box internet
|
ma machine

jdh

Quand on installe un firewall, c'est qu'on veut de la sécurité.
A partir de là, il me parait très logique de considérer que, pour administrer quoi que ce soit dans le réseau interne, il faille passer par un VPN.

Avec pfSense 1.2.3 et pour OpenVPN, il faut créer une PKI avec 'easy-rsa' fourni par OpenVPN sur un poste principal pour créer TOUS les certificats (ca, cert-pfsense, dh, et cert-users).

Avec pfSense 2.0RC et pour OpenVPN, la gestion de la PKI est géré dans l'interface pfSense (et franchement c'est assez simple !)

ccnet

Faut-il utiliser la fonction VPN ?

Sans hésitation oui. Et sans hésitation non plus : il ne faut pas permettre l'administration de Pfsense par l'interface Wan.

tryfaz

Merci pour vos réponses rapides. Je viens de m'apercevoir que j'ai oublié de préciser la raison pour laquelle j'ai opté pour cette configuration : en fait sur le Lan ce sont des invités avec qui je partage la connexion internet de la box et c'est donc plus la fonction de portail captif qui m'intéresse sur pfsense, la fonction firewall me permettant de filtrer au maximum leur trafic pour les contraindre à une simple consultation du web ou de leurs mail le reste étant bloqué. Histoire d'être en conformité je récupère les logs de leurs connexions sur un syslog-ng déporté.
Donc oui je comprend bien que l'administration pfsense ne devrait pas être accessible par l'interface WAN mais j'ai une règle qui limite l'accès à mon IP.

Ce qui m'intéresse serait d'avoir accès à l'interface web de configuration des points d'accès qui se trouvent sur l'interface lan. Pour le moment grâce au menu diagnostics je peux aller les pinger de chez moi mais ça s'arrête là.

Dans mon cas c'est quel type de VPN qu'il faut mettre en place (ipsec/openvpn/pptp) ?

ccnet

OpenVPN semble tout indiqué. PPTP est à proscrire (peu sûr) . Ipsec est lourd à mettre en oeuvre.

en fait sur le Lan ce sont des invités avec qui je partage la connexion internet de la box

Vous devriez ne pas mélanger ces deux types de trafic sur le même réseau. Une troisième interface OPT 1 devrait être utilisée pour les invités, l'administration étant réalisée sur l'interface Lan.

tryfaz

Vous devriez ne pas mélanger ces deux types de trafic sur le même réseau. Une troisième interface OPT 1 devrait être utilisée pour les invités, l'administration étant réalisée sur l'interface Lan.

J'ai souvent lu ce conseil et j'admets qu'il doit y avoir de sérieuses raisons. L'administration par le lan signifie pour moi de me trouver physiquement sur place, administrer par le wan m'épargne un déplacement de 400kms avec autant de pollution en moins pour la planète et autant d'économie de carburant.

Ca a pas l'air très compliqué openvpn sauf que :

The following input errors were detected:

    * The field 'Shared key' does not appear to be valid

J'arrivais a un peu plus de résultats avec IPSEC et shrew soft (sans pour autant accéder au LAN)

ccnet

L'administration par le lan signifie pour moi de me trouver physiquement sur place

Pas du tout si vous montez un vpn. J'administre de nombreux clients sur ce mode. Le VPN SSL (OpenVPN) vous permettra d'accéder au lan, le tunnel étant monté jusqu'à l'interface Wan de Pfsense. Un VPN qui vous connecte au lan est fort différent d'une administration sur Wan.

The following input errors were detected:

* The field 'Shared key' does not appear to be valid

Je vous déconseille cette méthode (la PSK). Il est simple et beaucoup plus sûr d'utiliser des certificats. Les utilitaires Easy RSA et, ou XCA vous permettrons de faire facilement ce travail.

jdh

ccnet donne les bons conseils :

• une interface LAN ou OPT1 en plus, c'est juste 10-15€ en plus,
• l'administration en WAN (même avec changement de port) est à déconseiller,
• un VPN en OpenVPN, c'est juste très simple (surtout en 2.0 RC1 avec gestion directe des certificats),
• un VPN en IPSEC, c'est juste (bien) plus compliqué, la PSK étant à déconseiller, les clients IPSEC free étant difficiles à trouver voire moins simple à traverser routeur NAT.

Il faut reconnaitre que l'ensemble demande(ra) un peu plus d'expertise, mais quelle satisfaction de faire "propre", élégant et sûr !

NB : derrière quelques box, en mode routeur, il n'est même pas possible d'établir un tunnel IPSEC, sauf artifice NAT-traversal pas forcément géré par le client ou le serveur (p.e. pfSense 1.2.3).

tryfaz

Tout à fait exact et je remercie pour vos bons conseils.
Ce n'est pas le prix de l'interface qui m'empêche mais c'est une contrainte technique (carte alix 2d2)
J'ai bien fait de persévérer car je viens d'atteindre mon but : accéder à la page d'administration de mon access point derrière le portail captif de pfsense via un vpn openvpn !
Moi qui n'y connait pas grand chose en informatique (mon truc c'est plutôt l'art) j'en ai beaucoup appris sur les vpn et les certificats.

Encore merci a vous de m'avoir aiguillé sur les bons rails sans pour autant me donner la réponse toute cuite, la satisfaction de réussir par soi même est intacte.