Vpn." Isole openvpn des autres interfaces" (dans mon cas mon Lan)



  • Bonjour,

    Context : cadre labo test. (Donc pour test) alixboard  256ram, compactflash 4go
    Server vpn utilisé :Openvpn
    client vpn utilisé : Openvpn
    Pfsense : 2.1.5

    Besoin :
    Isolé openvpn des autres interfaces (dans mon cas mon Lan)

    QUESTION
    Actuellement j’ai un ‘openvpn server’ qui tourne sur une alixboard. J’ai delà 3,4 client opevpn qui si connecte, également sur une alixboard

    La connections entre vpn fonctionne bien.

    J’aimerai si possible isolé openvpn de mon interface Lan ex : 192.168.21.10 ?
    Pour le moment : sur mon pc qui est branché dans mon lan (sur une alixboard monde client), j’arrive à pingé 172.32.32.10, c’est l’adresse que le server openvpn a donné au client..  Mais j'aimerai bloqué ça.

    Schéma
    Server
    172.32.32.0/20
    Avec push route  « push route 172.32.32.0 255.255.240.0"

    Client
    172.32.32.22
    172.32.32.18
    172.32.32.10

    Log server :
    default 10.0.0.100 UGS 0 2836854 1500 vr1
    10.0.0.0/24 link#2 U 0 53106 1500 vr1
    10.0.0.15 link#2 UHS 0 0 16384 lo0
    10.15.15.0/24 link#1 U 0 4785622 1500 vr0
    10.15.15.1 link#1 UHS 0 0 16384 lo0
    127.0.0.1 link#7 UH 0 36 16384 lo0
    172.32.32.0/20 172.32.32.2 UGS 0 12 1500 ovpns1
    172.32.32.1 link#10 UHS 0 0 16384 lo0
    172.32.32.2 link#10 UH 0 0 1500 ovpns1
    192.168.4.0/24 link#3 U 0 0 1500 vr2
    192.168.4.1 link#3 UHS 0 0 16384 lo0

    Log client:

    IPv4
    Destination Gateway Flags Refs Use Mtu Netif Expire
    default 172.20.119.1 UGS 0 36427390 1500 re1
    127.0.0.1 link#6 UH 0 8109 16384 lo0
    172.20.119.0/24 link#2 U 0 2961903 1500 re1
    172.20.119.40 link#2 UHS 0 0 16384 lo0
    172.27.4.0/24 link#1 U 0 0 1500 re0
    172.27.4.1 link#1 UHS 0 0 16384 lo0
    172.32.32.0/20 255.255.240.0 UGS 0 22 1500 ovpnc1
    172.32.32.1/32 255.255.240.0 UGS 0 0 1500 ovpnc1
    172.32.32.22 link#10 UHS 0 0 16384 lo0
    192.168.2.0/24 link#3 U 0 61081052 1500 re2
    192.168.2.1 link#3 UHS 0 0 16384 lo0
    255.255.240.0 link#10 UH 0 0 1500 ovpnc1

    Source
    Je ne mets rien, je rien trouve de très concert

    Je vous remercie de votre aide.




  • Je ne comprend pas bien votre configuration même si j'entrevois ce que vous souhaitez éviter.

    J’aimerai si possible isoler openvpn de mon interface Lan ex : 192.168.21.10 ?

    Cette façon de formuler les choses n'est pas claire. Ce que je comprend :
    Vous ne souhaitez pas que les clients vpn puissent accéder au réseau Lan mais seulement à autre chose, sans doute, mais quoi ?
    Si l'on considère le point de vue architecture réseau, il est bien évident (façon de parler) que les machines destinées à être accéder via un vpn doivent se trouver dans une zone bien cloisonnée (une dmz quasi étanche) pour éviter le pivotage (ou rebond) en cas de compromission. Ceci pour le principe général. Après comme je ne comprend pas bien votre demande je ne sais pas en dire plus.



  • Je vais expliquer plus empellement la phrase
    « J’aimerai si possible isoler openvpn de mon interface Lan ex : 192.168.21.10 ? »

    Une fois qu’ Openvpn client à pris sont ip dans le Vpn.

    Avec mon pc « qui est dans le lan du pfsense », j’arrive à pigné l’ip attribué dans le vpn.

    Donc concrètement :

    Mon pfsense à 2 interfaces le wan et le lan. J’ai configuré un client vpn avec openvpn.  Client qui se connecte à un Openvpn server.

    Je ne suis pas encore un expert dans les règles dans le pfsense.

    Ma question initiale est

    « Isolé openvpn des autres interfaces »

    Mais je peux surement voir la chose à l’ envers

    La question peut être

    « Comment isoler mon Lan, afin que je ne puisse accéder à Internet et mon Lan, mais rien D’autres ?»

    J'ai joint les réglés de mon lan.

    d'avance merci pour votre temps




  • Je pense qu'il est temps de décrire complètement et exhaustivement votre configuration.
    Vous nous dites qu'il y a deux interfaces sur Pfsense mais dans votre copipe d'écran on en voit 8 (certes Openvpn inclus) !

    Une fois qu’ Openvpn client à pris sont ip dans le Vpn.

    Perception des mécanismes mis en œuvre assez approximative …

    Mon pfsense à 2 interfaces le wan et le lan. J’ai configuré un client vpn avec openvpn.  Client qui se connecte à un Openvpn server.

    Les possibilités d'accès du client connecté via Openvpn vont dépendre principalement (mais pas seulement) des règles présentes sur l'interface Openvpn. Le routage choisi n'est pas neutre.

    Comment isoler mon Lan, afin que je ne puisse accéder à Internet et mon Lan, mais rien D’autres ?

    Avec les bonnes règles sur l'interface Lan.

    Sur le plan fonctionnel je ne vois toujours pas clairement où vous souhaitez en venir. On ne comprend à quel service ou application les utilisateurs du vpn doivent accéder. Ce qui conditionne les règles à utiliser.
    Merci d'accorder un peu plus de soin à la rédaction (orthographe et syntaxe) de vos messages, assez pénibles à lire.



  • Je fais plus de shema, ça devrait être plus facile à comprendre. :P

    merci de votre aide.










  • correction shema




  • Vous ne savez pas poser un problème correctement, ce qui rend sa résolution difficile. Tout ce que je peux vous dire, de ce que je comprend : mettez une règle sur Lan pour interdire la destination 72.32.32.10.


Log in to reply