VPN pour sécuriser un accès via 4G

Bonjour,

Sur les conseils de Kitoy, et suite à deux écrasements à tort de ma connexion FTTH en trois mois, j’ai pris un VPN Iloth pour pouvoir basculer mon réseau sur une connexion de secours via le réseau mobile de mon smartphone.

Il y a eu quelques complications, sans entrer dans les détails, je n’ai pas réussi à activer l’interface wifi de l’hyperviseur qui est au coeur de mon infra. Et j’utilise pfSense comme routeur pare-feu.

On a pu se rendre compte que pfSense ajoute automatiquement des règles de blocage pour les requêtes entrantes depuis le VPN, il est sûrement possible de les enlever mais pour simplifier les deux problèmes d’un coup rapidement j’ai opté pour la solution suivante.

J’ai installé openWRT sur un tp-link que j’avais déjà, qui permet assez facilement de récupérer le signal du smartphone sur une interface wifi et de se connecter au VPN puis de tout transférer au pfSense, ce qui m’a évité de refaire mes sous-réseaux et vlan.

J’ai quand même quelques questions car je découvre openWRT.

1 - Coté pare feu, vu qu’il y a un pfSense derrière, j’ai tout ouvert sur le routeur wifi, est-ce bien ?

image781×310 36.2 KB

2 - Pour transférer le trafic, c’est un port forwarding qui expose tous les ports et tous les protocoles directement sur le WAN du pfSense. Est-ce qu’il y a une meilleure manière de faire ?

Salut,

le VPN wireguard d’ILOTH fonctionne de manière très simple c’est comme si c’était un modem/ONT mais virtuel donc c’est un logiciel et pas un bidule électonique qui fait office de modem. En gros, tout ce qui vient d’internet en passant ton IP publique fournit par ILOTH passe par ton VPN wireguard.

Donc tes règles de parefeu tu fais les mêmes règles que tu le ferais pour ton ton accès internet classique sauf que tu filtres sur l’interface wireguard.

En général tu bloques tout en entré et tu laisses passé en sortie et ensuite tu ouvres uniquement les ports qui sont nécessaires à tes services.

Pareil pour le transfert de ports (port forwarding en anglais). par exemple tu ouvres le port 80 sur l’accès VPN, si je me connecte au port 80 sur l’adresse IP de ton VPN ILOTH vers quelle adresse IP de ton réseau local ça doit aller. Il y a des règles à ajouter pour ça; que tu utilises ton VPN sur pfsense ou sur openwrt, c’est la même chose.

Voila, pour les explications que je peux te fournir.

Heu, c’est difficile de te répondre comme ça. Ta configuration est un peu compliqué… j’ai compris que ton pfsense est branché sur le port LAN et ton accès à internet avec du wifi sur l’interface WAN de ton routeur TP-Link et que tu as tout ouvert …

Si tu veux que le réseau LAN du TP-link soit isolé du réseau WAN c’est pas une mauvaise chose comme ça avec des règles de parefeu, tu peux filtrer ce qui rentre ou sort de ton réseau LAN gérer par ton routeur Openwrt, ce qui rentre et sors par l’ip de ton VPN est gérer par openwrt, ce qui rentre et sors par l’IP de pfsense est gérer par pfsense .

Ben ce n’est que mon avis mais oui, pour le transfert de port la source d’entrer c’est le VPN iloth et pas ton WAN donc l’interface wireguard et non l’interface WAN, ce sont deux réseaux différents.

On va partir avec le port 80 comme exemple:

Dans un premier temps tu vérifie si à partir de ton routeur Openwrt tu arrives à joindre (par un ping par exemple) l’IP de la machine qui fait tourner ton service sur le port 80, tu as l’outil diagnostic pour faire cela dans Openwrt.

Ensuite hé bien tu fais un transfert du port du port 80 qui arrive sur l’IP du wireguard (la source) vers l’IP de la machine qui fait tourner ton service(la destination).

Voila j’espère été clair malgrès la configuration compliqué .

Merci pour ta réponse !

Oui tu as bien compris.

Bon ben si tu ne vois pas de problème de sécurité, je laisse comme ça, ça marche, c’est ce qui compte…