VPN pour sécuriser un accès via 4G

Services FAI VPN
1

Bonjour,

Sur les conseils de Kitoy, et suite à deux écrasements à tort de ma connexion FTTH en trois mois, j’ai pris un VPN Iloth pour pouvoir basculer mon réseau sur une connexion de secours via le réseau mobile de mon smartphone.

Il y a eu quelques complications, sans entrer dans les détails, je n’ai pas réussi à activer l’interface wifi de l’hyperviseur qui est au coeur de mon infra. Et j’utilise pfSense comme routeur pare-feu.

On a pu se rendre compte que pfSense ajoute automatiquement des règles de blocage pour les requêtes entrantes depuis le VPN, il est sûrement possible de les enlever mais pour simplifier les deux problèmes d’un coup rapidement j’ai opté pour la solution suivante.

J’ai installé openWRT sur un tp-link que j’avais déjà, qui permet assez facilement de récupérer le signal du smartphone sur une interface wifi et de se connecter au VPN puis de tout transférer au pfSense, ce qui m’a évité de refaire mes sous-réseaux et vlan.

J’ai quand même quelques questions car je découvre openWRT.

1 - Coté pare feu, vu qu’il y a un pfSense derrière, j’ai tout ouvert sur le routeur wifi, est-ce bien ?

image
image781×310 36.2 KB

2 - Pour transférer le trafic, c’est un port forwarding qui expose tous les ports et tous les protocoles directement sur le WAN du pfSense. Est-ce qu’il y a une meilleure manière de faire ?

2

Salut,

le VPN wireguard d’ILOTH fonctionne de manière très simple c’est comme si c’était un modem/ONT mais virtuel donc c’est un logiciel et pas un bidule électonique qui fait office de modem. En gros, tout ce qui vient d’internet en passant ton IP publique fournit par ILOTH passe par ton VPN wireguard.

Donc tes règles de parefeu tu fais les mêmes règles que tu le ferais pour ton ton accès internet classique sauf que tu filtres sur l’interface wireguard.

En général tu bloques tout en entré et tu laisses passé en sortie et ensuite tu ouvres uniquement les ports qui sont nécessaires à tes services.

Pareil pour le transfert de ports (port forwarding en anglais). par exemple tu ouvres le port 80 sur l’accès VPN, si je me connecte au port 80 sur l’adresse IP de ton VPN ILOTH vers quelle adresse IP de ton réseau local ça doit aller. Il y a des règles à ajouter pour ça; que tu utilises ton VPN sur pfsense ou sur openwrt, c’est la même chose.

Voila, pour les explications que je peux te fournir.

Heu, c’est difficile de te répondre comme ça. Ta configuration est un peu compliqué… j’ai compris que ton pfsense est branché sur le port LAN et ton accès à internet avec du wifi sur l’interface WAN de ton routeur TP-Link et que tu as tout ouvert …

Si tu veux que le réseau LAN du TP-link soit isolé du réseau WAN c’est pas une mauvaise chose comme ça avec des règles de parefeu, tu peux filtrer ce qui rentre ou sort de ton réseau LAN gérer par ton routeur Openwrt, ce qui rentre et sors par l’ip de ton VPN est gérer par openwrt, ce qui rentre et sors par l’IP de pfsense est gérer par pfsense .

Ben ce n’est que mon avis mais oui, pour le transfert de port la source d’entrer c’est le VPN iloth et pas ton WAN donc l’interface wireguard et non l’interface WAN, ce sont deux réseaux différents.

On va partir avec le port 80 comme exemple:

Dans un premier temps tu vérifie si à partir de ton routeur Openwrt tu arrives à joindre (par un ping par exemple) l’IP de la machine qui fait tourner ton service sur le port 80, tu as l’outil diagnostic pour faire cela dans Openwrt.

Ensuite hé bien tu fais un transfert du port du port 80 qui arrive sur l’IP du wireguard (la source) vers l’IP de la machine qui fait tourner ton service(la destination).

Voila j’espère été clair malgrès la configuration compliqué :stuck_out_tongue:.

3

Merci pour ta réponse !

Oui tu as bien compris.

Bon ben si tu ne vois pas de problème de sécurité, je laisse comme ça, ça marche, c’est ce qui compte…

4

C’est pas tout à fait fini…

Mon objectif est de maintenir en production des sites web et un serveur mail en cas d’interruption de service FTTH et j’y arrive mais il y a quand même un problème que je ne comprends pas..

En connexion 4G/LTE sur l’interface WWAN, tout marche, voici l’état de mes interfaces dans ce cas :

working
working992×820 145 KB

Voici les règles de routage :

routes
routes968×428 67.3 KB

Les règles de pare-feu sont dans mon précédent message, elles n’ont pas changé.

Si j’utilise l’interface WAN avec la connexion FTTH en client PPPoE, tout a l’air d’aller bien, le VPN se connecte et tout semble OK :

not_working
not_working992×820 141 KB

L’accès à internet depuis le LAN fonctionne, l’ip publique est bien celle du VPN.
Sauf que là, sans rien changer au firewall ni à la redirection (iloth_VPN → PfSense), c’est très bizarre (à mon avis) :

Depuis la connexion locale, tout marche.

Depuis une connexion externe :

Les requêtes web en http (80) sans vhost apache, donc avec réponse par default.conf, ça marche.
Je n’ai pas essayé avec le default-ssl.conf.

Les requêtes en http sur un vhost (http://batipos.fr/), time out.

Les requêtes en https sur un vhost (https://info.libre34.org/), time out.

Les mails entrants depuis d’autres serveurs, c’est long mais ça marche.

Les mails sortants vers d’autres serveurs, je ne sais pas trop, rspamd me montre que le message est parti, puis plus rien et finalement les mails arrivent quand je rétablis le service d’une manière ou d’une autre.

Et en fait, le blocage présumé de pfSense ne semble pas être la bonne piste car il y a la même règle en PPPoE direct (23 et 24) et tout marche très bien.

pftop
pftop1442×800 207 KB

Si quelqu’un a une idée… J’aimerais bien éviter de changer tout les champs A des différents domaines dès qu’il y a une panne.