Pfsense, vmware, openvpn et toute la famille.



  • Bonjour/bonsoir les gens…

    Je viens chercher conseils ici après moult de nuits blanches...
    Je vous explique: (il s'agit d'un exercice)
    je cite:

    "Une entreprise Y souhaite sécuriser son réseau via utilisation de pfsense.
    Il m'est demandé de mettre en place l'architecture suivante:
    -Une DMZ à deux serveurs (http et ftp) 10.1.1.0/24
    -Un LAN 192.168.1.0/24
    -Un WAN avec ip de sortie 193.95.66.1
    L'admin aura accès depuis une machine z située sur le net au réseau local via un VPN.
    Les machines dans le LAN accèdent au WAN. La connexion http lan->WAN est autorisée.
    Dans un premier temps on utilisera des machines virtuelles"

    Voilà vous savez tout... C'est donc là que je meurs.
    Pour ceux qui croiraient que je me permets de mettre mes exercices ici au lieu de les faire, désolé si je suis pas très bon.
    Pour ma part, je suis arrivé à l'architecture suivante:

    Local Area ---------------(192.168.1.1)Pfsense(193.95.66.50)-------------Wan(193.95.66.1)--------  internet
                                                          (10.1.1.1)                                     
                                                                I
                                                                I
                                                              DMZ

    1. ou alors
      Local Area ---------------(192.168.1.1)Pfsense(193.95.66.1)-------------Wan
                                                            (10.1.1.1)                                     
                                                                  I
                                                                  I
                                                                DMZ

    Dites moi laquelle semble être la plus "juste" d'après vous?
    En travaillant sur la seconde architecture, mon LAN ping DMZ et WAN mais DMZ et WAN n'arrivent à pinger personne
    J'ai pourtant configuré pfsense en lisant n tutoriels sur le net.
    Je suis navré d'avoir été aussi long.
      Merci à ceux et à celles, qui essaieront de me répondre.



  • La seconde semble plus conforme à l'énoncé. Après tout dépend si l'on prend en compte le routeur du FAI. Dans la mesure où l'énoncé n'en fait pas mention prenons le second schéma.

    En travaillant sur la seconde architecture, mon LAN ping DMZ et WAN mais DMZ et WAN n'arrivent à pinger personne

    Cela dépens des règles sur les interfaces. Comme vous ne les indiquez pas on ne sait que dire. Sur la méthode il est évident que 'activation des logs sur toutes les règles et la lecture de ce logs permettront de mieux voir ce qui se passe. Il serait bon de commencer par cela. Juste un peu de méthode. Si vous faites cela en environnement entièrement virtualisé il y a fort à parier que ce n'est pas neutre.



  • Merci pour cette réponse. J'ai rêglé le pb du ping.
    Cependant, vu que je suis en environnement virtuel, comment simuler un routeur?
    J'ai une machine qui simule le lan en statique 192.168.1.2
    j'ai une machine dans le wan en 193.95.66.2
    et enfin une machine dans la dmz censée héberger les deux site web 10.1.1.2
    Comment simuler mon routeur?  Dois je créer une machine virtuelle, la connecter à une interface de vmware, genre vmnet8 en NAT,(dans ce cas je peux sufer sur le web) et après comment la connecter à la machine pfsense? (un lan segment?)
    Dans ce cas je me retrouve avec la machine routeur qui a une adresse du style 197.45.32.4 et une interface pfsense en 193.95.66.2
    Devrai je attribuer à la machine routeur une seconde adresse ip du genre 193.95.66.5?
    En réalité ma question est la suivante: comment connecter une machine virtuelle pfsense à internet?



  • Mise à jour (où suis je now)
    Vu la difficulté à progresser, voilà ce que j'ai décidé de faire:
    -La configuration retenue est effectivement la seconde.
    -J'ai créé un hôte dans le wan appelé wpc1 d'adresse ip 193.95.66.2 attribuée par pfsense  et une autre adresse (via interface eth1) 192.168.220.132 (attribuée par vmware). La carte eth1 est en NAT sur vmware.
    Ce que je constate c'est que wpc1 a accès à internet, mais il n'arrive pas à pinguer les autres machines (dmz1 et lan1). pourtant si je désactive eth1, ce problème est réglé. Le plus surprenant c'est que wpc1 voit pourtant pfsense (ping 193.95.66.1 marche bien).
    Ce problème est d'autant plus énervant qu'il y'a une heure, tout semblait marcher à merveilles; wpc1 pinguait dmz1 et lan1 avec eth1 connectée.
    Comment faire pour accéder à internet?
    Dans la configuration de pfsense (dhcp server) j'ai attribué à dmz le dns 10.1.1.1 (pfsense)
    Pour le lan, je me suis dit qu'il fallait attribuer comme server dns, un server capable de passer sur internet. Malheureusement pfsense n'as pas accès à internet. Aussi ai je décidé que le server dns dans la configuration pfsense du lan sera la machine 192.168.220.132 (wpc1 interface eth1). Machine sur laquelle je vais installer bind9.
    Qu'en pensez vous?
    Pouvez vous me dire pourquoi eth1 et eth0 ne peuvent pas marcher ensemble de sorte que je puisse et avoir accès aux machines derrière pfsense et me connecter à internet?



  • Pour openvpn j'ai suivi le tuto suivant: http://blog.nicolargo.com/2010/10/installation-dun-serveur-openvpn-sous-debianubuntu.html. Ca coince au niveau de l'importation du fichier client.conf… Ca me dit que le fichier client.conf n'est pas un fichier lisible ou alors un fichier configuration d'un vpn pour pc client.
    J'ai essayé de lire un tuto openvpn with pfsense  et bah dans mon pfsense  je n'ai pas d'endroit pour placer les fichiers ca.crt ta.key server.key et server.crt
    Ces emplacement n'existent pas.  Non de diou...!!!!



  • Surprenant ! (Enfin pas tellement !)

    Pour OpenVPN, il y a une différence énorme entre pfSense 1.2.3 et 2.0.
    Mais on ne sait pas la version installée … On ne sait pas plus les howto suivis ...

    Ce n'est pas parce qu'on trouve un billet sur un excellent blog que ce qui est décrit pour Debian peut ou doit s'appliquer à pfSense.
    Notamment avec la v2.0, il serait totalement stupide de suivre ce billet ...

    Tout cela manque de méthode, de référence, de lecture, de recul ...
    On ne sait même pas quel VMware est utilisé !
    Nous écrivons que, pour la virtualisation, il faut d'abord comprendre la vision réseau de l'outil.

    Tout cela est du bricolage ...

    La phrase de Seneque s'applique "il n'y a pas de vent favorable pour celui qui ne sait où il va" !



  • Et comme dit le faux proverbe chinois : "Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs."



  • :D    ;D  continuez avec vos proverbes, j'adore!!!
    Plus sérieusement, je suis parvenu à faire fonctionner openssh snort openvpn ssl pure-ftpd apache2 sur les machines lan/dmz/wan
    J'écrire un billet là dessus, histoire d'expliquer à d'autres comment y arriver. Je préciserai aussi ma version de pfsense, vmware (  ;) )
    Sinon j'arrive toujours pas à connecter pfsense à internet…


Log in to reply