Double NAT et OpenVPN



  • bonjour,

    j'essaye de configurer pfsense mais ce dernier me pose quelques problèmes.

    Je travail sur un pfsense 2.0.2-RELEASE sur un esxi.

    Ma configuration réseau est la suivante:

    ISP–--------(ip public)ROUTEUR(192.20.1.1)-----------(192.20.1.2 WAN)PFSENSE(192.10.x.x)-------LAN
                                                                                                          |
                                                                                                         (10.x.x.x) --------------- DMZ

    Cette configuration m'impose de faire un double NAT et me pose donc problème pour configurer OpenVPN.

    doit-ton dédié une interface (ex: opt2) pour OpenVPN ou pas ?

    Je me tourne vers vous afin de pouvoir m'aiguiller sur la démarche a suivre.

    Je vous poste ma configuration actuelle:

    Les interfaces :

    WAN 192.20.1.2 (passerelle 192.20.1.1)

    LAN 192.10.x.x

    DMZ 10.x.x.x

    Nat outbound :

    WAN   10.x.x.x/24        * * * * *      NO    dmz->wan

    WAN   192.10.x.x/24 * * * * * NO    lan->wan

    WAN   192.20.x.x/30 * * * * * NO    nat pour firewall lui-même

    Nat forward:

    WAN TCP * * DMZ net 53 (DNS) 10.x.x.x 53 (DNS)

    (et d'autres ...)

    Firewall: Rules

    WAN:

    TCP * * 10.x.x.x      80 (HTTP)        * none         PAT WAN -> DMZ (srv web)

    UDP * * WAN address 1194 (OpenVPN) * none   pour OpenVPN

    LAN:

        • LAN Address 443/80 * * Anti-Lockout Rule
    • LAN net * * * * none   Default allow LAN to any rule

    DMZ:

              • none   passe OK vers ALL (pour les TESTS)
    • DMZ net * WAN net * * none   passe OK DMZ vers WAN (port a def)

    • DMZ net * LAN net * * none   passe NOK DMZ vers LAN  (option reject)

    OpenVPN:

              • none   OpenVPN roadwarrior wizard

    merci de m'avoir lu,

    tous conseils seront les bienvenus car je patauge un peu la...



  • Premier problème : les numéros de réseaux utilisés en interne sont des réseaux publiques.
    http://whois.domaintools.com/192.20.1.2
    http://whois.domaintools.com/192.10.1.2
    Ensuite :
    Le double nat n'est pas un problème a priori pour openvpn. La conception du vpn SSL ne pose pas de difficulté à cet égard, contrairement à IpSec.

    Je travail sur un pfsense 2.0.2-RELEASE sur un esxi.

    Acceptable en test uniquement ET à condition de maitriser les implications réseaux de l'ESX. L'expérience nous a montré, que ce n'est pas souvent le cas chez ceux qui tentent d'installer Pfsense sur ESX (ce pour pour quoi il n'est pas fait).

    doit-ton dédié une interface (ex: opt2) pour OpenVPN ou pas ?

    Mauvaise compréhension probable. La réponse est non.

    j'essaye de configurer pfsense mais ce dernier me pose quelques problèmes.

    Les utilisateurs parviennent ils à se connecter en vpn ?

    Nat outbound :
       
    WAN      192.20.x.x/30    *    *    *    *    *    NO    nat pour firewall lui-même

    Je ne comprend pas.

    Nat forward:

    WAN    TCP    *    *    DMZ net    53 (DNS)    10.x.x.x    53 (DNS)

    Dns c'est de l'udp.

    OpenVPN:

    *    *    *    *    *    *    none        OpenVPN roadwarrior wizard

    Quelle est la règle ? Pass, Reject ?

    Beaucoup d’imprécisions, aucune vision de votre configuration réseau ESX. A ce stade difficile d'en dire plus.



  • merci de vous intéressé au problème, je vais essayer d'être plus précis.

    Premier problème : les numéros de réseaux utilisés en interne sont des réseaux publiques.

    Je n'ai pas exposé ici les vraies IP privées, mais je posséde bien des IP privées entre le routeur et le firewall.

    Le double nat n'est pas un problème a priori pour openvpn. La conception du vpn SSL ne pose pas de difficulté à cet égard, contrairement à IpSec.

    doit-ton dédié une interface (ex: opt2) pour OpenVPN ou pas ?

    D'accord.

    Le VPN est pour le moment non fonctionnel.

    OpenVPN:

    *    *    *    *    *    *    none        OpenVPN roadwarrior wizard

    C'est bien du ACCEPT pour la régle du VPN.

    Nat outbound :
     
    WAN      192.20.x.x/30    *    *    *    *    *    NO    nat pour firewall lui-même

    Cela n'est pas nécessaire de NATé l'interface WAN du firewall vers l'interface du routeur ?
    C'est vrai que j'aurais du mettre un /32 dans ce cas…

    Je travail sur un pfsense 2.0.2-RELEASE sur un esxi.
    Acceptable en test uniquement ET à condition de maitriser les implications réseaux de l'ESX. L'expérience nous a montré, que ce n'est pas souvent le cas chez ceux qui tentent d'installer Pfsense sur ESX (ce pour pour quoi il n'est pas fait).

    Je decouvre pfsense et je n'ai pas trouver d'autre version dispos, pensant que celle la etait la derniere "stable".

    Je dois dans un futur proche publier des serveurs sur le web (virtualisé), et je voulais utiliser un firewall (type appliance vmware) pour securité et réaliser tout ca.

    Je pense avoir bien configurer la "mise en reseau" sur l'ESXi pour quelle soit fonctionnelle sur le pfsense.

    1 NIC –> Vswitch LAN
    1 NIC --> Vswitch WAN
    0 NIC --> Vswitch DMZ

    PFsense est connecté aux 3 vswitchs.

    Ma configuration de PFsense vous parait-elle correcte (niveau NAT et rules) ?
    Les règles doit être affinées mais dans les grandes lignes es ce correcte?



  • Cela n'est pas nécessaire de NATé l'interface WAN du firewall vers l'interface du routeur ?
    C'est vrai que j'aurais du mettre un /32 dans ce cas…

    Si Wan est en dhcp, rien à faire. Si wan est en statique il suffit d'indiquer sa gateway. Cela suffit au bon fonctionnement de base de Pfsense. Commençons par cela. Là règle sur l'interface openvpn est bonne et nécessaire.
    Le masquage des ip privées ne sert à rien.

    Je decouvre pfsense et je n'ai pas trouver d'autre version dispos, pensant que celle la etait la derniere "stable".

    Je ne me suis pas bien fait comprendre. Je ne fais pas référence à la version de Pfsense. Je point l'installation de Pfsense sur un ESX qui est une aberration en production.

    Je dois dans un futur proche publier des serveurs sur le web (virtualisé), et je voulais utiliser un firewall (type appliance vmware) pour securité et réaliser tout ca.

    Raisonnablement Pfsense doit être une machine strictement dédiée.

    1 NIC –> Vswitch LAN
    1 NIC --> Vswitch WAN
    0 NIC --> Vswitch DMZ

    Je ne comprend pas ce que cela signifie. Combien de cartes physiques sur ESX ?
    Je comprend bien que chaque interface de Pfsense est connectée à chacun des 3 vswitchs virtuels.



  • Oui l'interface WAN est en statique et je lui est indiqué sa gateway.

    Le masquage des ip privées ne sert à rien.

    C'est a dire ? (pas sur d'avoir bien compris)

    J'ai un boitier ALIX dédiée que je pourrais utiliser par la suite, mais je pensais que l'utilisation d'un pfsense virtualisé pour des serveurs virtualisé était le mieux, a aprioris non.

    J'ai 4 cartes physiques (NIC) disponibles sur l'ESX reparties comme cela:

    2 NIC –> vswitch datastore
    1 NIC --> Vswitch LAN
    1 NIC --> Vswitch WAN
    0 NIC --> Vswitch DMZ



  • Avec la bonne gateway, sans le nat outbound et en s'assurant que les paquets udp parviennent à l'interface wan on devrait avoir quelque chose qui va finir par tomber en marche.
    Le boitier Alix est hautement préférable. Virtualiser le firewall, quelque soit le contexte, est un risque supplémentaire, celui induit par l'hyperviseur. Il faut y ajouter les risques inhérents à la complexité supplémentaire où, une perception erronée de l’environnement, peut conduire à des erreurs de configurations graves.
    Je suis très partisan de la virtualisation, mais pas n'importe comment, ni aveuglément de façon systématique. Par exemple je recommande un esx = une zone de sécurité. Pas d'ESX avec une vm dns la dmz et une autre dans un lan par exemple. Si l'esx est compromis tout le réseau, toutes les zones sont compromises. Je vous rappelle que le code source d'esx a été volé à Vmware.



  • J'ai modifié la configuration du nat, pour n'avoir que la gateway pour l'interface wan.

    Cependant les paquets (tcp/udp) ne parviennent pas à l'interface WAN de pfsense.

    Cela doit être un problème de NAT/PAT sur mon routeur mikrotik que je ne maitrise pas encore.

    Je vous tiendrais aux nouvelles des avancements.



  • Le plus simple est de router, sans filtrage tout le trafic vers l'interface Wan. Tants que cela n'est pas fait, tant qu'on ne voit pas les paquets UDP/1194 sur wan il n'y a rien à espérer.



  • J'ai NATé l'IP publique sur l'IP privée sur le routeur (cf. piece jointe) et ajouter une régle pour que  "tout" passe.

    Mais ce n'est pas trés convaincant …

    Si je fais un scan de port sur l'ip publique le port 1194 n'est pas ouvert.

    Edit: Je viens de penser (ca m'arrive :D) à un truc possible, doit-on ajouter une route sur le routeur pour le "tunnel network" configurer dans openvpn?




  • doit-on ajouter une route sur le routeur pour le "tunnel network" configurer dans openvpn?

    Non. C'est un tunnel le routeur ne voit pas les ip du tunnel.
    Il serait plus simple d'avoir l'ip publique sur l'interface wan de Pfsense.
    Il faudrait vous assurer de ce que l'interface wan de votre routeur accepte réellement. Peut être filtre t elle le trafic entrant, peut être même n'en accepte t elle aucun ?



  • Le problème est que si je met une IP pub sur l'interface WAN je ne peux pas définir une gateway différente sur pfsense.

    Par contre je suis en tcp/1194 pour openvpn je vais essayer en udp car certains routeur ne veulent pas router les paquets tcp sur le port 1194 ( De ce que j'ai vu sur le net, info ou intox ?)



  • @nassyno:

    Le problème est que si je met une IP pub sur l'interface WAN je ne peux pas définir une gateway différente sur pfsense.

    Il est certain que cela change la configuration de wan. Votre isp peut voir dire quelle est la gateway à employer. Un simple tracert www.google.fr vous le montrera probablement.

    Par contre je suis en tcp/1194 pour openvpn je vais essayer en udp car certains routeur ne veulent pas router les paquets tcp sur le port 1194 ( De ce que j'ai vu sur le net, info ou intox ?)

    Intox ou explications maladroites. C'est juste une question de paramétrage du routeur. Le routeur fait ce qu'on lui demande de faire. Le vpn en tcp n'a aucun intérêt. Cela diminue les performances on augmentant la surcharge protocolaire.



  • J'ai obtenu des ip via un SNAT et donc mon trafic est redirigé vers une autre ip privée.

    Je n'ai donc pas de gateway sous le même sous réseau que mon ip publique.

    Je pourrais faire du 1:1 mais c'est la solution de facilité et puis sa me plait pas cette méthode.

    Je continu mes tests  ;D



  • Je dois bien dire que j'ai du mal à vous suivre. Mais si vous savez où vous allez …



  • Je maitrise pas tout les rouages du réseau et faut dire que je m'y perd également …

    Pour faire simple, j'ai une interface physique sur mon routeur qui possède 2 IP.

    Une IP en privé connecté sur un routeur du FAI et une IP publique qui est "NATé" sur la même passerelle.

    Je vais essayer de démêle ce sac de nœud avec mon responsable la semaine prochaine ...



  • Un schéma peut être ?



  • Mais biensur  ;D




  • Une démarche simple et saine serait de connecter l'interface eth2:1 en 5.x.x.x du routeur FAI sur l'interface wan de pfsense. En l'état des informations disponibles le routeur R1 ne sert à rien. Et puis ces deux liens entre les deux routeurs … quelle utilité ? A part générer des problèmes.
    Sur les gateways je ne vous comprend pas bien. Ce que je comprend :
    192.10.x.x/24 a pour gateway eth3 sur Pfsense.
    La machine 10.x.x.2 devrait avoir pour gateway 10.x.x.1 (interface Pfsense) mais quid réellement ?
    Dans cette configuration avec juste des règles vues plus haut sur wan et sur l'interface openvpn tout devrait fonctionner sans problème.

    Juste une chose comment faite vous vos tests pour le vpn  ?

    Avec toute les réserves que je réitère pour l'installation de Pfsense sur un ESX ...



  • Une démarche simple et saine serait de connecter l'interface eth2:1 en 5.x.x.x du routeur FAI sur l'interface wan de pfsense.

    Je le conçois mais il me faut l'autorisation du "boss". A voir la semaine pro…

    En l'état des informations disponibles le routeur R1 ne sert à rien.

    Pour l'instant les PCs du LAN ont comme passerelle le routeur R1 est non pas PFSENSE.

    Et puis ces deux liens entre les deux routeurs … quelle utilité ? A part générer des problèmes.

    C'est simple R1 est dans nos locaux et l'autre c'est pas nous qui le gérons.

    Ce que je comprend :
    192.10.x.x/24 a pour gateway eth3 sur Pfsense.
    La machine 10.x.x.2 devrait avoir pour gateway 10.x.x.1 (interface Pfsense) mais quid réellement ?

    1.Non l'interface du routeur R1 pour l'instant (sinon je casse toute la prod …)
    2.Oui c'est le cas ! mais 10.x.x.1 n'a quand à lui pas de gateway.

    Juste une chose comment faite vous vos tests pour le vpn  ?

    Pour testé le VPN j'utilise un pc du LAN en wifi qui est sous un sous réseau différents. ( il récupère comme IP pub une IP différente de 5.X).
    Il m'indique connexion refused, mais trouve bien l'ip.

    Avec toute les réserves que je réitère pour l'installation de Pfsense sur un ESX ..

    C'est un casse tête c'est vrai, mais ca me permet d'apprendre pas mal de chose.


Locked