VPN site à site UTM SOPHOS / PFsense

Posté le par

Configuration pas à pas d'un VPN SSL site à site d'un UTM Sophos avec une PFsense. Dans cet exemple l'UTM Sophos fera office de serveur.

Description de l’infrastructure cible :

192.168.20.0/24 <-> UTM Sophos <-> INTERNET <-> PFsense <-> 192.168.10.0/24

PARTIE SERVEUR

1) Se connecter à l'interface WEB d'administration de votre UTM Sophos

2) Tableau de bord - VPN site à site - SSL - Nouvelle connexion SSL...

vpnsas1

3) Renseigner les champs suivants votre configuration :

Type de connexion : Server
Nom de connexion : Champ libre sans importance
Réseau locaux : Réseaux internes à l'UTM Sophos
Réseau distants : Réseaux distants à l'UTM Sophos
Commentaire : Champ libre sans importance
Règles automatiques de pare-feu : Si vous cochez cette case, il n'est pas nécessaire de configurer le par feu de l'UTM Sophos (par défault le trafic sera autorisé)

Valider en cliquant sur Enregistrer

vpnsas4

4) Dans mon exemple, je souhaite modifier le port par défaut du VPN SSL

Tableau de bord - VPN site à site - SSL - Paramètres

Adresse d'interface : Interface WAN ou ANY pour sélectionner toute les interfaces
Protocole : TCP ou UDP
Port : Libre à vous de mettre se qu'il vous convient. Ce port sera à rediriger si votre UTM n'est pas connecté directement à internet (passage par une box/routeur)
Remplacer le nom d'hôte : Si votre UTM n'est pas accessible directement sur internet, renseigné votre IP publique.

Réseau de pool : Vous pouvez laisser le réseau mis par défaut ou le remplacer

/!\ Ces paramètres sont commun avec l'accès distant (Tableau de bord - Accès à distance - SSL) /!\

vpnsas2

5) Finalement, télécharger le fichier de configuration en cliquant sur l'onglet Connexions puis Download

vpnsas5

PARTIE CLIENT

PFsense 2.2.2

Se connecter sur l'interface d'administration de votre PFsense

Importation de l'autorité de certification

1) System - Cert manager - CAs - Cliquer sur "+"

vpnsas6

2) Remplir le champ : Descriptive name (champ libre)

Ouvrir le fichier de configuration téléchargé depuis l'UTM SOPHOS avec notepad++

Au alentour de la ligne 147 vous avez : BEGIN CERTIFICATE puis END CERTIFICATE
Copier le contenu et le coller dans Certificate data

Au alentour de la ligne 169 vous avez : BEGIN PRIVATE KEY puis END PRIVATE KEY
Copier le contenu et le coller dans Certificate Private Key (optional)

Cliquer sur Save

vpnsas7vpnsas8Importation du certificat client

1) System - Cert manager - Certificates - Cliquer sur "+"

vpnsas9

2) Remplir le champ : Descriptive name (champ libre)

Ouvrir le fichier de configuration téléchargé depuis l'UTM SOPHOS avec notepad++

Au alentour de la ligne 66 vous avez : BEGIN CERTIFICATE puis END CERTIFICATE
Copier le contenu et le coller dans Certificate data

Au alentour de la ligne 169 vous avez : BEGIN PRIVATE KEY puis END PRIVATE KEY
Copier le contenu et le coller dans Private key data

Cliquer sur Save

vpnsas10vpnsas11

Configuration de OpenVPN en client

1) VPN - OpenVPN - Client - Cliquer sur "+"

vpnsas12

Remplir les paramètres comme indiqué (modifier selon votre configuration)

2) General information

Server host or address : Renseigné l'IP Publique de votre UTM Sophos
Server port : Renseigner le port de votre VPN

vpnsas13

3) User Authentication Settings

Ouvrir le fichier de configuration téléchargé depuis l'UTM SOPHOS avec notepad++

Au alentour de la ligne 198 vous avez quelque chose qui ressemble à :
REF_AaaUse1
Cela correspond au champ Username

Au alentour de la ligne 200 vous avez quelque chose qui ressemble à :
REF_SSLSERVPNSASLAB0000ref_sslservpnsaslab
Cela correspond au champ Password

vpnsas14

/!\ Ces champs de configuration ne sont apparu que lorsque j'ai enregistré une première fois ma configuration OpenVPN (pfsense 2.2.1)  /!\

Si ces champs de configuration n'apparaissent pas :
Créé un fichier texte sur votre pfsense en SSH et le remplir de cette façon :

REF_AaaUse1
REF_SSLSERVPNSASLAB0000ref_sslservpnsaslab

Dans mon exemple le fichier créé est le suivant : /var/log/credentials.txt

Ensuite définir les paramètres avancés de la manière suivante :
vpnsas17

/!\ ATTENTION /!\ Il faut utiliser le même algorithme d'authentification coté serveur et client

Dans mon exemple (capture ci-dessus), j'utilise le MD5 ce qui correspond à ce que j'ai mis coté serveur

vpn_sas_ssl_sophos_pfsense

4) Cryptographic Settingsvpnsas15

5) Tunnel Settings
vpnsas16

6) Configuration des règle de par feu coté PFsense 

Firewall - Rules - OpenVPN - Cliquer sur "+"

Configurer selon vos besoin, dans mon exemple j'ai autorisé tout le trafic sans restriction
vpnsas19

Vérification de la configuration

Coté UTM Sophos :
vpnsas18

Coté PFsense :
vpnsas20

 

Articles suggérés :

  1. Configuration de Sarg sous PFsense
  2. Proxy authentifié RADIUS sous PFsense
  3. Sécuriser l'administration de votre PFsense
  4. UTM Sophos - Réinitialisation en configuration usine

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *