Dans ce guide je détaille comment j'ai installé l'infrastructure de ma Situation Professionnelle n°2 (VPN site à site pour pfsense)
En effet, les 2 situations professionnelles dépendent l'une de l'autre. De ce fait j'ai intégré à la fin de ce tutoriel le lien vers l'autre Situation Professionnelle.
Disclaimer: Yes, my whole blog is in english, but there are french teachers/inspectors/professionals that are most probably going to read this specific installation guide because this is part of one of my final exams for my networking degree, so here's why i need to write it in french.
The entirety of this guide has also been explained elsewhere on this same blog, although in smaller individual parts that you can choose if you don't understand french.
L'intégralité de cette installation a été faite sur virt-manager, sur mon PC portable. Les ISOs sont dans /mnt/vault/ISOS et mes VMs sont dans /mnt/vault/VMs.
Donc on installe le premier routeur pfsense1 en suivant le schéma tout en haut: il faut que la VM ait 2 interfaces réseaux, une qui est dédiée au 'WAN' qui est tout simplement le réseau par défaut de virt-manager, et une seconde interface réseau dédiée au réseau local LAN lui correspondant. Ici c'est le LAN A, on ne veut pas que virt-manager ne touche à la configuration ipv4 des 2 réseaux locaux LAN A et LAN B, donc on suis les étapes suivantes:
Afin d'assigner les interfaces à leurs roles il faut qu'on puisse les distinguer, et on ne peut les distinguer que grâce à leurs addresses physiques, donc on vérifie laquelle correspond à l'interface connectée au réseau WAN et on en déduit que la seconde appartient au réseau LAN. Une fois que les interfaces ont été attribuées, on leur affecte leurs adresses IP en suivant le schéma réseau.
Le pool DHCP du réseau local n'a pas été choisie au hasard. J'ai laissé 18 addresses (10.1.0.2-19) non utilisées afin qu'elles puissent être utilisées en tant qu'adresses IPs statiques si besoin est. Pour la suite on ne va pas ré-installer un second pfsense, on va tout simplement cloner la VM existante et la configurer correctement comme notre premier routeur pfsense.
Maintenant qu'on est là on peut commencer l'installation de la VM debian10 sur le WAN car nous n'avons pas encore configuré les deux pfsense. (il faut qu'il y ait un hôte dans le LAN du pfsense en question, et qu'il accède à sa passerelle (10.2.0.1/16 ou 10.1.0.1/16) pour configurer cette dernière.)
Maintenant que les 2 routeurs pfsense ont étés configurés, on remet la VM debian dans le LAN A comme il a été indiqué dans le schéma réseau, et on lui affecte une IP statique:
Ici on a la preuve que notre pfsense fonctionne, elle a attribué une adresse via DHCP à notre VM debian. Mais afin de suivre le schéma du réseau, nous voulons l'adresse IP 10.1.0.10/16 pour notre VM debian:
Maintenant que nous avons mis en place nos VMs pfsense ainsi que notre VM debian, nous mettons en place les 2 VMs du LAN B:
Maintenant qu'on a installé notre VM WS2019 et qu'on a ajouté nos 2 OUs avec nos 4 Administrateurs et nos 4 Utilisateurs, nous allons installer notre VM client Windows 10:
Une fois que notre client sur windows 10 a redémarré, il est intégré à l'Active Directory de notre WS2019, nous avons donc complété l'installation de notre infrastructure, il ne manque plus que les deux situations professionnelles. Dans cette situation professionnelle, nous allons mettre en place une connection VPN Site-a-Site:
La seconde Situation Professionnelle consiste à installer un VPN site à site liant les deux lans séparés par les 2 routeurs pfsense entre eux, grâce à l'implémentation d'OpenVPN dans pfsense:
On laisse le reste par défaut et on clique sur 'sauvegarder':
On permet les traffics openvpn sur l'interface WAN puis on permet les traffics sur l'interface OpenVPN:
Une fois qu'on a permis le traffic sur l'interface OpenVPN on peut continuer:
Ici on a besoin de copier la shared key pour notre second pfsense, et on va la faire passer sur l'autre machine par un pastebin:
Donc maintenant on a notre pastebin comportant la clée ici, et nous allons donc configurer notre second routeur pfsense avec cette clée:
Et voila ! On a réussi à mettre en place un VPN Site-à-Site permettant de relier les 2 réseaux locaux entre eux. On peut donc par exemple accéder au serveur Nextcloud (10.1.0.10) depuis le LAN B (10.2.0.0/16):
Nous avons donc terminé notre mise en place de la seconde Situation Professionnelle.
On va ensuite récupérer la clée privée SSH sur notre hote windows server 2019 afin de pouvoir nous connecter via SSH au serveur debian10:
Et voila ! On a pu vérifier que la connection SSH par clé privée est possible depuis un hôte du LAN B jusqu'au serveur debian10.
Donate XMR: 8AUYjhQeG3D5aodJDtqG499N5jXXM71gYKD8LgSsFB9BUV1o7muLv3DXHoydRTK4SZaaUBq4EAUqpZHLrX2VZLH71Jrd9k8
Contact: nihilist@contact.nowhere.moe (PGP)