VPN Client & Transmission



  • Bonjour,

    J'ai chez moi un routeur pf-sense après avoir eu pendants des années un routeur dd-wrt. Je ne suis pas un spécialiste des réseaux  :-[

    Ce que je souhaite faire :

    1/ Mon Lan sorte sur l'interface Wan de mon FAI
    2/ Mon NAS uniquement pour le port 51413 de transmission passe par le VPN et que le port 51413 soit ouvert sur le firewall sur le VPN uniquement

    Pour le moment ce qui marche la partie 1
    La partie 2 fonctionne en partie tout le NAS passe par le VPN, j'ai pas réussi à isoler le port 51413. Et le flux 51413 est fermé  :o

    Voici quelques copies d'écran de ma config

    D'avance merci pour votre aide











  • @rjulie95:

    2/ Mon NAS uniquement pour le port 51413 de transmission passe par le VPN et que le port 51413 soit ouvert sur le firewall sur le VPN uniquement

    Je ne comprends rien. Désolé  :-
    Quel VPN ?
    C'est un tunnel entre quoi et quoi ?



  • Merci d'avoir pris le temps de me répondre !

    Alors le VPN c'est l'interface IPVanish

    Tout les flux du NAS (diskstation_lan1) sortent sur internet par la gateway dédiée au VPN
    Mais le flux entrant sur le port 51413 n'est pas ouvert, j'aimerais qu'il transiste aussi via le VPN

    De plus j'aimerais aussi isoler les flux de transmission pour qu'ils transistent par le VPN et les autres par l'interface WAN

    Merci



  • Tout cela me semble bien confus. Les règles sont assez "exotiques". Lire la doc de Pfsense pourrait être utile !
    Un schéma, un plan d'adressage, aussi. Vous utilisez des noms dont vous êtes le seul à savoir à quoi ils correspondent. Et on ne sait pas de qui de quoi, pourquoi ce vpn.



  • ça c'est clair, je pense que c'est bien confus …. j'ai lu la doc tout au moins la partie me concernant.

    Je vais la relire  :P



  • L'étape suivante serait de la comprendre. Si vous expliquez votre besoin sans préjuger des solutions nous arriverons, peut être, à vous aider.



  • Je me demande s'il ne s'agirait pas juste de mettre en place une solution qui permettrait à des utilisateurs "externes" d'accéder, via un tunnel VPN accessible depuis internet, au NAS  ???



  • @chris4916:

    Je me demande s'il ne s'agirait pas juste de mettre en place une solution qui permettrait à des utilisateurs "externes" d'accéder, via un tunnel VPN accessible depuis internet, au NAS  ???

    En partie !

    Je fait un NAT pour un serveur web avec l'adresse IP de mon FAI et ça fonctionne

    Ce que je n'arrive pas à faire c'est un NAT qui passe par l'adresse IP fourni par le VPN
    Et deuxième truc que  je n'arrive pas à faire c'est qu'a partir du NAS, je voudrais que seul le port 51413 passe par le VPN, le reste passe par l'interface Wan

    Je vais essayé de faire un schema de ce que je souhaite faire

    Merci



  • @rjulie95:

    Je fait un NAT pour un serveur web avec l'adresse IP de mon FAI et ça fonctionne

    tiens un élément nouveau qui apparaît: NAT

    Ce que je n'arrive pas à faire c'est un NAT qui passe par l'adresse IP fourni par le VPN

    Un peu brutalement, pour moi ça ne veut rien dire. Le serveur VPN à une adresse externe (l'adresse publique de pfSense (sur le WAN) que les clients accèdent et ils se retrouvent alors sur le LAN ou presque, mais pas sur le WAN.
    Quel est le but ? Parce que ce qu'il convient de comprendre et d'exprimer clairement dans un premier temps, c'est l'objectif et non pas la solution et ici, NAT, c'est une solution  ::)

    Et deuxième truc que  je n'arrive pas à faire c'est qu'a partir du NAS, je voudrais que seul le port 51413 passe par le VPN, le reste passe par l'interface Wan

    Je ne comprends pas ça non plus. Pour moi, "NAS" c'est un serveur, lequel ne passe nulle part. Il écoute sur des interfaces et des ports et se sont les clients qui "passent" par une route pour accéder au service.

    Je vais essayé de faire un schema de ce que je souhaite faire

    C'est une bonne idée  ;D



  • Je me doutais bien que je ne m'exprimais pas bien  :'(

    On va parler en service alors

    TransmissionBT vers le VPN
    Les autres services Non

    Pour le schema ça va venir ….. il me faut un peu de temps :-)



  • @rjulie95:

    TransmissionBT vers le VPN
    Les autres services Non

    Et hop, un nouveau besoin: TransmissionBT  ;D ;D
    en revanche, le reste à disparu  >:(  Quid du NAS ?

    ou alors tu fais un joyeux mélange entre NAS et TransmissionBT  ???

    Faut-il également conclure que je me suis trompé et qu'il ne s'agit pas d'un serveur mais d'un client VPN ?

    Bref, chaque nouveau message, jusque là, ne précise pas bien le périmètre et les besoins mais ajoute, de mon point de vue, de la confusion  :-[



  • Je vais faire un dessin ça sera plus clair du moins je l'espère  ;)

    Mais bon pour VPN Client et Transmission c'est dans le titre, mais je suis confus dans mes explications c'est clair  ;D ;D



  • Bon j'arrive pas à dessiner ce que je veux !

    Plutôt que vous faire perdre votre temps ! Je vais continuer à chercher pour trouver la solution à ce que je veux faire

    Merci pour votre aide



  • un schéma est certainement plus compliqué à faire qu'un bout de texte car cela demande d'avoir déjà une idée de la solution (quoique, ça dépens du type de schéma).
    Pourquoi ne pas faire simplement une liste des besoins, à condition que ce soit raisonnablement exhaustif, sans en mette un bout dans le titre et le reste dans le texte  :)

    donc il y a du bit torrent, un NAS…. et je ne comprends pas ce que vient faire le VPN au milieu. C'est un client sur un poste qui se connecte à un serveur à l'extérieur ?



  • Merci pour ta patience, vais encore essayer une nouvelle fois !

    Ma config

    1 Accès ADSL Free
    1 Routeur PF-Sense avec un client Open VPN configuré pour se connecter sur un serveur exterieur (ipvanish)
    3 PC
    1 NAS

    Sur le NAS j'ai pas mal d'appli : Sabnzbd, Sonnar, Couchpotato, Transmission pour le Torrent

    Comme j'ai pas envie de me faire repérer je souhaite faire passer par le VPN Client l'application Transmission, mais que cette application.



  • @rjulie95:

    Merci pour ta patience, vais encore essayer une nouvelle fois !

    Ma config

    1 Accès ADSL Free

    1 Routeur PF-Sense

    jusque là ça va  ;D

    avec un client Open VPN configuré pour se connecter sur un serveur exterieur (ipvanish)

    un client VPN sur pfSense ?
    ipvanish ce n'est pas un client par poste ?
    le tunnel sur le FW, c'est plus généralement fait pour faire du site-à-site.

    3 PC
    1 NAS

    ça ça va aussi

    Sur le NAS j'ai pas mal d'appli : Sabnzbd, Sonnar, Couchpotato, Transmission pour le Torrent

    Comme j'ai pas envie de me faire repérer je souhaite faire passer par le VPN Client l'application Transmission, mais que cette application.

    • les "applis sur le NAS" n'ont rien à voir avec des fonctionnalités de NAS  ::)  pas étonnant que je n'y comprenais rien.
      NAS, c'est Network Access Storage, c'est donc un serveur  qui permet d'accéder à du stockage (disque) en réseau en mode fichier (par opposition, en quelques sorte, au SAN qui offre ce service en mode block).

    Les applications que tu décris tournent certainement sur le même hardware (serveur) mais n'ont rien à voir avec le NAS (même si des constructeurs comme Netgear et plein d'autres offrent avec leurs NAS des fonctionnalités dans ce style.

    Quand il s'agit de discuter de FW et de design de réseau, ces points qui peuvent te paraître un détail sont au final importants  8)

    Donc si je résume, tu veux que ton client bit torrent passe par le VPN mais pas le reste…  ::)
    le problème c'est que, à ma connaissance, le VPN, si installé sur pfSense, va soit fonctionner en mode site-à-site et donc intercepter tout ce qui est à destination des réseaux décrits comme étant "distant via le VPN" sans distinction de port.
    pour atteindre ton objectif, je ne vois pas comment faire à part se lancer dans des trucs à base de NAT compliqués. Mais comme je ne sais pas comment fonctionne le client IPVanish, il y a peut-être des solutions que je n'imagine même pas  :-[

    Sauf si tu as déjà une idée très précise de ce truc, je pense que ça vaut le coup de valider que tu veux faire tourner ton client IPVanish sur pfSense et non pas sur ton poste ou sur ce que tu appelles le NAS.



  • J'ai peut-être rien compris au truc dans ce cas !

    Mais sur l'onglet VPN je peux créer un client et là je lui demande de se connecter sur IPVanish (celui-ci ou un autre ça ne change rien)

    Ce qu'il fait sans problème

    Une fois que c'est fait j'ai deux Gateway de créer, la WAN de mon FAI et cette du VPN

    J'arrive à rediriger toute une adresse IP de mon réseau pour passer sur le VPN, je voulais juste le faire plus finement avec seulement une application

    Mais si c'est pas possible tant pis, vais quand même approfondir, ça doit être possible

    Pour info j'utilise la dernière version de Pf-Sense





  • Pour la partie VPN, tu peux bien sur configurer pfSense comme client VPN, ce qui, comme tu le fais justement remarquer, met à disposition une nouvelle gateway que tu peux ensuite utiliser.
    Mais comme tu l'as également noté, tu peux rediriger vers cette gateway des flux "par adresse IP" grâce au mécanisme de route.

    En revanche, pour atteindre l'objectif que tu vises, à savoir utiliser cette gateway non pas en fonction d'une route mais en fonction d'une application, laquelle va se connecter, en tant que client, sur différentes adresses IP, nécessite un mécanisme, au niveau de pfSense, qui reconnaît cette appli (basé sur le port ?) pour faire la redirection.

    La difficulté, selon moi, vient de ce que tu déportes le client VPN sur pfSense :

    • si tu installes le client IPVanish sur la machine qui fait tourner TransmissionBT, tu peux u niveau de cette machine, configurer cette application (Transmission), pour utiliser l'interface locale (la gateway VPN)
    • si tu déportes l'extrémité du tunnel, TranmissionBT ne connaît plus cette interface car les seules interfaces connues sont celles de ta machine "en local" et la gateway par défaut (ici pfSense).
      D'un strict point de vue route, la notion de port réseau n'est pas prise en compte.

    Du coup, à défaut d'une application qui intercepterait, sur pfSense, le flux Transmission pour le rediriger vers la gateway IPVanish, la seule solution me semble être un truc compliqué à base de NAT, niveau pfSense, coté LAN pour introduire cette notion de "gateway associée à des ports", autant dire que je ne pense même pas que ça marche  :-X

    Il te faudrait une sorte de "proxy TransmissionBT"  ;D  ça existe ce truc ?  ???

    Difficulté supplémentaire, si tu arrives à résoudre le problème décrit ci-dessus: c'est du Bit Torrent, qui suppose que tu partages à ton tour  ;D ;D et là il va se passer des trucs intéressants en terme de UPnP ou NAT-PMP  :o

    Attention : je ne prétends pas du tout avoir la connaissance absolue de ces protocoles et outils que je ne pratique pas  :-
    Il y a peut-être d'autres solutions que je n'ai pas imaginé ou des développements réalisés par les développeurs des couches logicielles sus-nommées et donc je me plante peut-être complètement avec mon feeling  :-[  Si tu trouves une solution (autre que je fais tourner Transmission localement sur l'extrémité du tunnel), n'hésites surtout pas  8)



  • J'arrive à rediriger toute une adresse IP de mon réseau pour passer sur le VPN, je voulais juste le faire plus finement avec seulement une application

    Mais si c'est pas possible tant pis, vais quand même approfondir, ça doit être possible

    Si vous voulez faire du nat d'un port ou d'une plage de port c'est possible. Même chose pour le filtrage bien sûr.
    Si vous voulez faire du routage c'est sur la base d'une destination (adresse ip ou réseau).

    Toujours pas d'exposé clair et structuré configuration, expression de besoin, c'est terminé pour moi.



  • Comme je n'y connais rien, je suis allé voir sur le site de IPVanish  :-[  et effectivement la finalité est de TOUT faire passer dans le tunnel (pour vivre heureux vivons caché  ;D ). De plus, leur site communique principalement sur la solution "utilisateur": un client VPN "end-user".

    La mise en œuvre dans un mode infrastructure fonctionne cependant.

    Le soucis vient de la volonté de faire du VPN "par application" alors que l'extrémité du tunnel n'est pas locale.

    Tout ça pour pouvoir télécharger, que des choses légales bien sûr  ::)  ;D, sans se faire voir  8)

    Après avoir passé un peu de temps à y réfléchir, je pense qu'il faut revenir aux fondamentaux et installer un client IPVanish sur le poste qui fait tourner l'appli à rediriger vers ce tunnel, ou laisser tomber les téléchargements…  :P



  • Merci a tous d'avoir pris le temps de répondre à mes interrogations !

    Je pense que c'est faisable, je vais donc continuer à chercher et si je trouve une solution, je viendrais l'exposer ici

    A bientôt pour d'autres questions  ;D



  • @rjulie95:

    Je pense que c'est faisable, je vais donc continuer à chercher et si je trouve une solution, je viendrais l'exposer ici

    N'hésite surtout pas. Je suis très intéressé par la réponse  ;)  et je ne suis certainement pas le seul.

    En fait, je suis plus intéressé par "comment est-ce que ça pourrait marcher ?" que la mise en œuvre proprement dite.


Log in to reply