pfSense Support Subscription

Author Topic: Installer un serveur VPN sur mon LAN avec pfSense  (Read 148 times)

0 Members and 1 Guest are viewing this topic.

Offline PascalB41

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Installer un serveur VPN sur mon LAN avec pfSense
« on: November 23, 2017, 09:20:37 am »
Bonjour,

Je souhaiterais remplacer la fonction Serveur VPN de mon Microsoft TMG qui est à l'agonie.
Le serveur VPN actuel étant utilisé pour permettre aux collaborateurs en déplacement de se connecter au LAN pour accéder à des ressources (serveurs de fichiers, ERP, etc). Actuellement ça fonctionne bien avec TMG mais il est tout proche de la retraite.

Je suis donc allé voir la section correspondante aux VPN dans http://irp.nain-t.net/doku.php
Compte-tenu du fait que la page date de 2009, je me demandais si les 2 solutions proposées à savoir le Tunnel GRE ou l'Open VPN étaient toujours d'actualité, notamment en matière de sécurité ou s'il y avait des solutions plus secure, toujours sur pfSense.

Merci de votre aide.

Pascal.

Online chris4916

  • Hero Member
  • *****
  • Posts: 1804
  • Karma: +89/-11
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #1 on: November 23, 2017, 09:27:08 am »
Le choix de base, sur pfSense, c'est le serveur OpenVPN.
Ipsec est un autre choix, mieux, à mon avis, en terme de sécurité.

Offline PascalB41

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #2 on: November 23, 2017, 09:43:34 am »
Merci d'avoir répondu.
Je vais donc étudier la mise en place d'un VPN IPSec sur mon pfSense.
Pascal.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1703
  • Karma: +43/-11
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #3 on: November 23, 2017, 10:38:08 am »
pfSense est un vrai firewall contrairement à Microsoft TMG.
(Ca fait longtemps que vous avez réfléchi ...)

Les 2 VPN conseillés avec pfSense sont :
- Ipsec : plutôt pour le site-2-site, difficile de trouver un client gratuit pour le roadwarrior, sensible au NAT (si pas T-NAT)
- OpenVPN : plutôt pour le roadwarrior, (plusieurs) client(s) gratuit(s), pensez au mode administrateur !

Donc plutôt qu'Ipsec, pas moins sûr, en roadwarrior, pensez à OpenVPN !
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline PascalB41

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #4 on: November 23, 2017, 11:23:42 am »
Je lis le guide qui explique les différents types implémentables avec pfSense...
(j'ai effectivement pris le temps de la réflexion, j'ai migré toute mon infra physique et virtuelle sur les dernières versions des serveurs Microsoft Server, Exchange, SQL. Ca a pris du temps...)
Merci.
Pascal.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1703
  • Karma: +43/-11
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #5 on: November 23, 2017, 11:53:35 am »
Quote
infra physique et virtuelle sur Microsoft ?
Un jour il faudra que quelqu'un vous explique qu'il existe VMware ...
Parce qu'un noyau d'hyperviseur qui demande plusieurs Giga ne peut être aussi fiable et solide qu'un hyperviseur de quelques centaines de Mo !

Au moins vous n'avez pas virtualisé le firewall ?! (j'ignore si HyperV sait virtualiser FreeBSD)
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline PascalB41

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #6 on: November 23, 2017, 12:23:34 pm »
En 2011 quand j'ai décidé de virtualiser mes serveurs je suis allé voir un site qui utilisait VMWare, 7 ou 8 serveurs et une centaine de postes, le tout sous Windows.
On m'a fait une démo qui était séduisante, je découvrais la virtualisation.

Ensuite j'ai fait chiffrer les 2 solutions par mon fournisseur de matériel de l'époque, DELL, qui poussait plutôt VMWare.

Financièrement parlant l'avantage était nettement en faveur de Microsoft pour diverses raisons (et pas uniquement à cause du fait qu'HyperV était fourni avec Windows Server).

En outre, avec VMWare je me voyais obligé de me former à des outils tiers et j'imaginais qu'en choisissant HyperV, la virtualisation assurée par l'éditeur de l'OS ça allait couler de source.

En pratique, je suis donc parti sur HyperV et j'ai installé un failover cluster de 2 hôtes sur lesquels j'avais 4 serveurs Windows et un SAN. La fonctionnalité de failover n'a jamais très bien fonctionné automatiquement, mais l'origine du problème était matérielle (un comble dans la mesure où c'est DELL qui m'avait vendu l'ensemble de la solution matérielle et logicielle) mais à part ça je n'ai jamais rencontré de problème avec HyperV.
A l'époque c'était sous Windows Server 2008 R2. Aujourd'hui je passe à la version 2016 qui semble s'être bien améliorée pour le clustering.

Non je ne virtualise pas mes Firewall. Ni TMG, ni les 2 pfSense, ce sont 3 machines physiques. Et j'ai un DC physique aussi car il en faut au moins 1.

Pascal.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1703
  • Karma: +43/-11
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #7 on: November 24, 2017, 04:45:52 am »
On est hors fil ...

Pour les PME, VMware propose le Kit Essentials Plus, qui permet jusqu'à 3 hôtes de virtualisation bi-processeur.
Ce kit permet la high Availability de façon transparente (et la config est simplissime). (Seul manque le déplacement de Datastore qui ne peut être fait que VM arrêtée.)
Aucun besoin, donc, de créer un cluster de VM pour assurer une redondance ...
(J'ai même vu une VM de SCO Unix, ce qui a résolu le problème de sauvegarde de ce serveur !)

En ajoutant autant de Windows Datacenter que d'hôtes, et, bien sûr Veeam Backup pour sauvegarder, vous obtenez une infra au nombre illimité de VM Windows, bien sécurisée et très fiable. Pas besoin de redémarrer les hôtes régulièrement pour les mettre à jour ! La seule différence est ce coût du kit, qui est peu excessif ~4000-4500 € puisque le reste sera aussi nécessaire avec HyperV. A l'usage il n'y a aucun regret à avoir dépensé cet argent car les arrêts obligatoires d'HyperV coute aussi de l'argent !

Au delà de cette taille, le coût augmente puisqu'il faut une licence par serveur hôte ...

NB : DELL fournit les iso de VMware et les drivers de matériels DELL déjà embarqués. (HP doit faire de même)

Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline PascalB41

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Installer un serveur VPN sur mon LAN avec pfSense
« Reply #8 on: November 27, 2017, 04:50:03 am »
Merci pour ces infos.
A intégrer dans la réflexion lors du prochain renouvellement de mes serveurs...
Pascal.