VPN, IPsec…
-
Bonjour,
Je souhaite mettre en place un VPN pour acceder depuis Internet a un LAN derrière pfSense. J'ai plusieurs questions à ce sujet.
1. Quel est l'intêret de choisir l'une ou l'autre des solutions parmi OpenVPN, IPsec, L2TP, PPTP hormis le fait qu'il ne soit pas sur la même couche OSI ?
J'ai pour l'instant créer un Tunnel avec IPsec. Tout à l'air de fonctionner. Je peux me connecter et le message de bienvenue que j'ai écrit s'affiche bien.
2. Suis-je obligé de forcer NAT-T ou puis-je laissé sur enable ?
3. Pourquoi quand je regarde dans Status -> IPsec il y'a ceci :
4. A quoi correspond exactement le Local Network que l'on doit spécifier dans la phase 2 ? Parce que j'attribue une adresse en "192.168.168.X" mais dans Local Network j'ai mis un Lan "192.168.1.0" afin d'avoir acces a ce Lan depuis le VPN. Est-ce bien ce qu'il fallait faire ?
 -
Quel est l'intêret de choisir l'une ou l'autre des solutions parmi OpenVPN, IPsec, L2TP, PPTP
PPTP : obsolète et non sûr, l'algorithme utilisé pour le chiffrement, RC4, est cassé depuis plusieurs année. A proscrire.
L2TP : n'offre pas forcément toutes les fonctionnalités souhaitables et nécessité d'utiliser Ipsec pour assurer la confidentialité.
IPSec : nécessite un client. Implémentation plus ou moins compatible entre elles. Délicat pour un client nomade. Utilisé pour les vpn site à site permanent entre des équipement du même fournisseurs souvent mais pas obligatoirement. faire des tests.
OpenVPN : c'est du vpn SSL. Le plus adapté au clients nomades. Assez simple à configurer. Côté serveur bénéficie avec Pfsense V2 d'une bonne intégration de tous les outils nécessaires en ajoutant le package (dont j'aioublié le nom) pour gérer les utilisateurs.Je vus recommande Openvpn, c'est à dire le vpn SSL.
-
Tout d'abord merci pour cette réponse clair. Si quelqu'un a les réponses aux autres questions qu'il n'hésite pas :)
J'ai maintenant installé OpenVPN, le package "OpenVPN client export utility" et créer mon serveur.
Nouveau problème : La connexion ne peut être établie lorsque je lance le client directement avec la configuration fournie par le package. En revanche si je remplace la ligne :
pkcs12 pfSense-udp-1194.p12
par :
ca ca.crt
cert client1.crt
key client1.keyalors tout marche. Pourquoi ce problème ? Comment le résoudre ? Puis-je configurer moi-même le fichier de config ".ovpn" à exporter ?
PS : Si vous avez besoin de plus d'informations pour répondre à une de mes questions n’hésitez pas ;)
-
Je ne sais pas d'ou vient ce problème. Je ne l'ai jamais rencontré. Peut etre un bug lié à la version du package ?
-
Je ne sais pas d'ou vient ce problème. Je ne l'ai jamais rencontré. Peut etre un bug lié à la version du package ?
Version 0.9.9. La dernière je suppose. Mais si je peux éditer le fichier à exporter ce serait un début de solution sauf que je ne trouve aucune doc pour le package. Est-ce possible ?
-
Bon finalement le dernier problème est résolu même si les premières questions sont toujours en attente de réponses ;)
Le problème était qu'avant j'utilisais le certificat du Serveur pour me connecter.Alors la solution (si quelqu'un à le même problème que moi et tombe un jour sur ce post) :
J'ai crée un nouvel utilisateur en cochant la case :
Certificate Click to create a user certificate.
Puis dans "Client Export" lorsque j'installe le package correspondant au nouvel utilisateur (toujours avec pkcs ….p12) tout fonctionne.
-
Une autre question : J'aimerais que les utilisateurs ne puissent pas accéder aux même réseau en fonction de leurs droits. Y'a-t-il une possibilité de faire cela avec OpenVPN, IPsec, L2TP ou PPTP ? (Si possible avec une base Radius)
J'ai bien pensé a créer deux serveurs OpenVPN donnant des accès différents (push "route…"). Mais je trouve cette solution pas très "propre". De plus rien n'empêche a un client d'ajouter lui même les routes vers les réseaux.
J'ai aussi pensé a créer des règles firewall en fonction du client radius mais je n'ai pas trouvé comment faire.
-
Oubliez pptp une fois pour toute. Ce que vous souhaitez faire est possible avrc Open vpn. La distinction ne se fait pas sur la base de droits mais de l'authentification. Cette présntation peut conduire a des confusions.
Vous avez sans doutecremarqué que vous avez une interface supplémentaire visible dans vos régles de firewall. Vous pouvez donc filtrer. Ensuite vous pouvez, avec Openvpn, créer des configurations qui permettent en fonction de l'identité de l'utilisateur se spécifier son réseau, et, ou son ip.
Avec cela il y a tout ce qu'il faut pour répondre au besoin. L'authentification, local, radius ou ldap ne change rien. J'ai souvenir de l'avoir fait avec ldap. -
D'accord je retire PPTP de mon esprit ;D
Par contre j'ai bien peur d'être un peu lent à la compréhension car je ne vois par comment dans les règles du firewall sous l'interface OpenVPN on peut filtrer par client sachant que je ne connais leur adresse IP à l'avance.
-
sachant que je ne connais leur adresse IP à l'avance.
C'est faisable avec l'option "ifconfig-push" d'un fichier client spécifique (au client) qui permet de spécifier les adresses (aux extrémités du vpn), et réseaux, utilisés par par un client donnés.
http://doc.pfsense.org/index.php/OpenVPN_Settings pour l'implémentation dans Pfsense. dans l'interface : OpenVPN: Client-specific configuration. Pas testé dans Pfsense V2. -
Oups petite faute dans ce que j'avais écris même si je pense m'être fait comprendre :
"sachant que je ne connais pas leur adresse IP à l'avance."
En tout cas je vais suivre vos indications et creuser un peu.
Merci pour votre aide. :)
-
J'avais compris en effet.