Pfsense et routage



  • Bonjour à tous,

    Je suis en train de refaire le réseau d'un lycée et je cherche une solution au problème suivant :

    L'existant :

    • Sur une des connexions ADSL (IP fixe), j'ai un PIX (506e) qui fait un tunnel vpn avec un autre réseau d'un autre établissement.
        après le Pix j'ai un réseau administratif qui communique avec un réseau distant grâce au VPN (exemple d'utilisation : Terminal Services) :

    Réseau – Pix -- //(VPN)/\ -- Pix -- réseau administratif (sur lequel je travail)

    • Toujours sur le même établissement j'ai une autre connexion ADSL (IP dynamique) avec un pfSense et un réseau classique

    Net --- ADSL --- PF --- réseau pédagogique

    Je souhaite mettre les 2 réseaux (administratif et pédagogique) derrière PF et je veux que ces deux zones puissent être accessible par le VPN

    ADSL -- Pix (nat)(192.168.1.1/24) ---- (192.168.1.2/24) -- PF -- Lan 1 : administratif (192.168.10.0/24)
                                                (VPN)                            |
                                                                                    |-- Lan 2 : pédagogique (192.168.11.0/24)

    Le PIX fait le NAT donc je souhaite savoir comment ne pas faire de NAT avec PF. (faut-il le "bridger" ??) Avec le but d'avoir les 2 réseaux qui communiquent avec le VPN).

    Merci de votre aide et à bientôt.



  • Une simple modification du routage et de la configuration du VPN pour étendre son domaine de cryptage a tous les réseau ne suffirait-il pas?
    Pouvez-vous poster un schema plus clair avec les IP et plage réseau, si possible la configuration du tunel (au niveau IP).



  • Je reconnais que ça peut paraitre confus d'autant plus que la configuration elle même est un peu confuse et que je ne connais pfsense que depuis quelques temps ;-)

    voila un petit résumé de la situation:

    • j'ai 3 sites A B et C qui sont des établissements scolaires (lycée, lycée pro et collège)
    • les 3 sites sont relié a internet par de l'adsl ou sdsl par un pix
    • les pix gèrent aussi un tunel vpn (voir plus bas)
    • dans chaque site, j'ai 2 réseaux, l'un appelé pedagoqie (pedago) et l'autre administratif (admin)
    • l'admin est un reseau virtuel dans le sens que l'admin de a, b et c communiquent ensemble par un tunnel vpn
    • les réseaux pedago de A B et C ne communiquent pas ensemble pour l'instant.
    • chaque réseau va sur internet par le pix respectif

    Mon objectif est de remettre de l'ordre dont les choses sont faites, Je vous passerais les détails pas très intéressant. Disons juste que je veux faire refaire la config de pix et l'adressage des réseaux pour permettre d'être plus cohérent.

    • a terme je voudrais que les pix fassent le vpn entre les sites sans nat (ce qui semble être le cas aujourd'hui vu une mauvaise gestion de l'adressage)
    • je voudrais que le pedago et l'admin de chaque reseau puisse prendre le tunnel mais je contrôlerais le traffic par pf.
    • chaque réseau pedago et admin sera d'abord relié par pf pour chaque zone
    • pas de nat sur les pf ni sur les pix (sauf pour aller sur le net évidement)

    comme ceci:

    [A]
    pedago –-
                  |--pf--pix --- internet
    admin   ---                       |
                                          | vpn
    **|
    pedago –-                       |
                  |--pf--pix --- internet
    admin   ---                       |
                                          | vpn
    [C]                                  |
    pedago –-                       |
                  |--pf--pix --- internet
    admin   ---

    Comme je veux partir de zero, je voulais adresser de cette manière:
    note: j'admets ici que le pix ne fait pas de nat entre les réseau mais un tunnel vpn simple et qu'il a les routes vers chaque réseau, ce qui a priori est faisable même si je ne connais rien au pix...
    ..et je ne suis pas un spécialiste réseau non plus ;-)

    [A]
    (192.168.1.2->254) pedago –- (192.168.1.2)
                                                       |-- pf (192.168.3.2)--(192.168.3.1) pix --- internet
    (192.168.2.2->254) admin   --- (192.168.2.2)                                                     |
                                                                                                                      | vpn
    **|
    (192.168.4.2->254) pedago –- (192.168.4.2)                                                     |
                                                       |-- pf (192.168.6.2)--(192.168.6.1) pix --- internet
    (192.168.5.2->254) admin   --- (192.168.4.2)                                                     |
                                                                                                                      | vpn
    [C]                                                                                                              |
    (192.168.7.2->254) pedago –- (192.168.7.2)                                                     |
                                                       |-- pf (192.168.9.2)--(192.168.9.1) pix --- internet
    (192.168.8.2->254) admin   --- (192.168.8.2)

    Quelque chose dans ce genre ... il est possible que pour l'interface des pix l'adressage soit différents vu que je ne connais pas les bonnes pratiques a ce niveau la (un autre réseau entre les pix et les passerelles pfsense?)

    mes questions:

    • est ce que cela vous semble cohérent?
    • est ce que pf peut faire une passerelle internet tel que je l'indique mais sans notion de bridge ou bien le bridge est indispensable pour ce que je veux faire?

    Voila pour l'instant, merci pour vos commentaires!****



  • Pourquoi ne pas utiliser tes pfsenses à la place de tes pix ? Tu pourrais éventuellement monter des tunnels IPsec entre chaque site via tes pf. Comme tu supprimes déjà un niveau de complexité sur ton infra.
    Enfin ce n'est que mon avis.


Log in to reply