OpenVPN sous Pfsense

OpenVPN sous Pfsense

 

 

 

Problématique de base


Imaginons que nous avons une entreprise avec plusieurs sites géographiques.

Chaque site géographique possède sa propre liaison INTERNET.

Au niveau de la législation française, nous sommes obligé d’authentifier et d’archiver l’activité de nos utilisateurs.

Pour se faire , nous avons décidés d’installer sur chaque site un serveur PfSense.

Tout nos administrateurs sont au niveau du Site principale. Il faut donc que nos administrateurs puissent accéder à distance à chaque serveur PfSense Distant.

Nous allons donc mettre en place une liaison VPN entre notre site principale et nos sites isolé. Cela nous permettra :

– De pouvoir administrer nos sites distants de manière sécurisé

– D’avoir un échange de donnée possible entre nos LAN Internet. (Enregistrement centralisé des Logs, Intégration de nos ordinateurs distants dans un domaine unique, etc … )

Avec un serveur PfSense, nous pouvons mettre en place plusieurs types de VPN :

IPSec (nécessite 2 IP WAN Fixe)

L2TP (nécessite 2 IP WAN Fixe)

OpenVPN (nécessite qu’une seul IP WAN Fixe)

PPTP (nécessite 2 IP WAN Fixe)

Dans notre cas, nous allons partir sur la mise en place d’un OpenVPN.

Pourquoi ? Car ce VPN à l’avantage de fonctionner en mode client / serveur et donc ne nécessite qu’une seul IP WAN Fixe sur un de nos sites.

Vu que nous allons raccorder plusieurs OpenVPN sur notre site principale, le plus judicieux est de mettre l’adresse IP public de notre site principale en Fixe.

 Tout fournisseur d’accès propose ce service (généralement payant).

10

 

 

Configuration de notre liaison OpenVPN


 

Pour ce faire, nous allons configurer ce dernier étapes par étapes.

Afin de mieux comprendre comment le mettre en place, nous allons commencer au niveau de notre poste d’administration (situé sur la partie serveur)

Configuration PfSense du site principale


Configuration de l’OpenVPN


1Jusqu’ici, rien de compliqué. Nous avons un Lan qui va être NATé via l’IP Wan de notre box pour qu’il puisse naviguer sur internet.

La première chose à faire sur notre PfSense c’est de créer notre partie « Serveur »

Pour ce faire, on va aller dans l’onglet :

VPN > OpenVPN.

Dans l’onglet Server nous allons cliquer sur le petit « + » afin de créer notre serveur OpenVPN.

 

 

Les paramètres à mettre en place sont les suivants :

2

Server Mode: Peer to Peer (Shared Key)

Pour monter notre VPN, nous allons utiliser un secret partagé (Shared Key). Ce secret va être commun à tous nos clients ainsi qu’avec notre serveur. Il va falloir le copier/coller à chaque fois que nous allons paramétrer une connexion OpenVPN. Ce secret est automatiquement généré par le serveur.

Interface : Interface WAN

IPv4 Tunnel Network : Mettez une adresse réseau du genre 10.10.10.0 /24

(ce réseau est un réseau privé de classe A)

Le tunnel OpenVPN à besoin de cette information pour fonctionner, il faut juste faire attention que le réseau choisi est assez grand afin d’accueillir tous nos clients OpenVPN et qu’il n’est pas utilisé autre part.

Une fois le paramétrage fini, cliquer sur « Save ».

Notre serveur OpenVPN est configuré.

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux que nous avons besoin.

 

Configuration du Firewall


 

Pour ce faire, aller dans l’onglet :

Firewall > Rules.

On peut voir que chaque interface possède un firewall. Par défaut, Personne ne peut emprunter notre tunnel et toutes les demandes de connexion VPN venant de l’extérieur sont bloquées par le Firewall WAN. Nous allons donc autorisé ces flux.

 

Au niveau du Firewall OpenVPN :

3

 

Au niveau du Firewall WAN :

4

 

 

Configuration de notre accès INTERNET


 

5Par défaut, une BOX refuse toute demande de connexions venant de l’extérieur vu qu’elle ne sait pas à qui cette demande est destinée (Vu que la BOX Fait du NAT).

Pour ce faire, nous allons indiquer à la BOX que si une demande de connexion VPN viens de l’extérieur sur le port par défaut utilisé par OpenVPN (UDP 1194). Elle devra la redirigé vers notre Pfsense.

Pour ce faire, nous allons mettre en place du port-forwarding (redirection de port).

Vu le nombre de box différentes présente sur le marché, le mieux c’est de faire une recherche sur google avec la référence de la box ainsi que le mot « port-forwarding ».

 

 

Configuration PfSense de nos sites Isolés


 

Configuration de l’OpenVPN


 

6

La première chose à faire sur notre PfSense c’est de créer notre partie « Cliente ».

(Vous trouverez la configuration sur l’image ci-dessous)

 

 

 

 

 

 

 

8

Server host or address 

Il va falloir mettre l’adresse IP du serveur OpenVPN tel qu’il est vu sur internet. Ce sera donc l’adresse IP de la patte WAN de la BOX « maison mère ».

Comment obtenir cette adresse ? Il faut aller sur le site www.mon-ip.com à partir d’un poste de la maison mère et le tour est joué.

Shared Key

Copier / Coller le secret partagé du serveur ici

IPv4 Tunnel Network

Mettre le même network que le serveur

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux que nous avons besoin.

 

Configuration du Firewall


 

Pour ce faire, aller dans l’onglet :

Firewall > Rules.

Vu que c’est le client qui doit faire la demande de connexion, il n’est pas nécessaire de rajouter une règle au niveau du firewall WAN. Nous allons uniquement intervenir sur le firewall OpenVPN pour rajouter les mêmes règles que la partie serveur :

7

 

Configuration de notre accès INTERNET


Il n’y à pas d’action à mener sur les BOX Internet de nos sites Isolé vu qu’il sont en mode « Client ». Ce sont eux qui font faire la demande d’ouverture du tunnel OpenVPN.

 

Test de bon fonctionnement


Pour tester votre connexion VPN, essayer d’accéder à la page d’administration du PfSense distant depuis un poste du site principale.

Si cela ne fonctionne pas, il va falloir vérifier les logs de nos firewall si un de nos flux n’a pas été bloqué.

Ce schéma de principe peut vous aider dans votre recherche de panne

9

 

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!

Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

 

FingerInTheNet.com

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *