Ajoutez un serveur OpenVPN autonome à l'aide d'une machine virtuelle pfSense dans Performance Cloud VMware (NSX-T)


TABLE DES MATIÈRES

Description

Un serveur OpenVPN peut être déployé dans votre centre de données virtuel pour permettre aux clients distants, y compris les appareils mobiles, de se connecter à votre environnement Performance Cloud VMware (NSX-T) à l'aide d'un réseau privé virtuel (VPN).

Dans cet article, nous allons déployer une machine virtuelle pfSense pour ajouter la fonctionnalité VPN point à site (P2S) dans un réseau existant.

Notes

- Certaines étapes supposent que vous disposez les bases nécessaires à la création de machines virtuelles. Veuillez vous référer aux principaux articles du Guide de démarrage si nécessaire.

 - Veuillez noter que le support de Sherweb pour un appareil réseau virtuel ou « Network Virtual Appliance » est très limité.

Procédures


Créer la machine virtuelle

Ajoutez une nouvelle machine virtuelle dans une application virtuelle ou « vApp » existante en choisissant le modèle nommé « PFSense-OPENVPN ».
 

Notez que l'option « Forcer la repersonnalisation » ne fonctionnera pas pour la machine virtuelle pfSense.

Configurez la carte réseau avec l'adresse IP LAN souhaitée sur votre réseau.

Dans cet exemple, nous utiliserons 10.123.123.20.

A screenshot of a computer

Description automatically generated

 

 

Si nécessaire, veuillez consulter cet article pour obtenir de l’aide avec la création d'une machine virtuelle en utilisant un modèle préconstruit et une application virtuelle ou « vApp » dans Performance Cloud VMware (NSX-T).



 

Configurer l'interface réseau
 

Une fois la machine virtuelle créée, l'interface réseau doit être configurée à l'intérieur de la machine virtuelle à l'aide de l'option 2 de la console. Dans cet exemple, nous utiliserons 10.123.123.20/24 et 10.123.123.1 pour la passerelle.

A screenshot of a computer

Description automatically generated


A screenshot of a computer

Description automatically generated



Entrez l'adresse IP souhaitée pour cette machine virtuelle (dans cet exemple, la machine virtuelle n'a qu'une seule interface connectée au réseau interne mais est nommée « WAN » dans la machine virtuelle pfSense).

A screenshot of a computer

Description automatically generated

 

 

Entrez le nombre de bits du masque de sous-réseau.

A screenshot of a computer screen

Description automatically generated

 

 

Entrez la passerelle par défaut pour le réseau choisi.

A screenshot of a computer

Description automatically generated


A screenshot of a computer

Description automatically generated


A screenshot of a computer

Description automatically generated


A screenshot of a computer

Description automatically generated

 

A screenshot of a computer

Description automatically generated


 

Dans certains cas, l’interface « WAN » doit être réaffectée à la carte vmx0 à l'aide de l'option 1 du menu principal.

A screenshot of a computer

Description automatically generated




Règles de pare-feu et « DNAT »

Créez des règles de pare-feu et « DNAT » pour OpenVPN (port UDP/1194).
Consultez cet article pour obtenir de l’aide sur la configuration des règles de pare-feu et NAT dans la passerelle Edge.

La règle de pare-feu devrait ressembler à ceci :

A close-up of a computer screen

Description automatically generated


 

En option - Créez des règles de pare-feu et « DNAT » pour l'interface web de la machine virtuelle pfSense (le port TCP/80 par défaut peut être personnalisé ultérieurement).

La règle DNAT devrait ressembler à ceci :



Une fois le port HTTP ouvert, vous devriez pouvoir accéder à l'interface web pfSense en utilisant http://WANIPADDRESS

Si cela ne fonctionne pas, un redémarrage de la nouvelle machine virtuelle pfSense devrait résoudre le problème.

A screenshot of a login screen

Description automatically generated


 

Informations d'identification par défaut de la machine virtuelle :

Nom d'utilisateur par défaut = admin

Mot de passe par défaut = pfsense

 

Veuillez mettre à jour le mot de passe après la première connexion.


Notes


Dans un environnement de production, nous vous déconseillons de configurer « Tous » ou « Any » comme source pour l'accès à l'interface web à partir de l'adresse IP publique pour des raisons de sécurité.


Cette règle permettant l'accès à l'interface web depuis l'adresse IP publique peut être activée à la demande ou complètement désactivée dans la section des règles de pare-feu.

 

Si l'interface web à partir de l'adresse IP publique est bloquée, vous devrez accéder à l'interface web à l'aide de l'adresse IP interne.



Gestion des utilisateurs
 

Créez des utilisateurs dans la machine virtuelle pfSense.

Consultez cet article pour obtenir de l’aide sur la création d'utilisateurs: https://docs.netgate.com/pfsense/en/latest/usermanager/users.html


Notes: Les protocole LDAP (Lightweight Directory Access Protocol) ou RADIUS (Remote Authentication Dial-In User Service) peuvent être exploités pour la gestion et l'authentification des utilisateurs au lieu de gérer les utilisateurs locaux dans la machine virtuelle pfSense. Consultez cet article pour plus de détails.

  


Client OpenVPN

 

Accédez à VPN et OpenVPN, puis « Client Export ».

Remplacez « Host Name Resolution » par « Other » et sous « Host Name », entrez l'adresse IP publique de la passerelle Edge.
 

Cela garantit que l'adresse IP publique est utilisée pour se connecter au client OpenVPN et non l'adresse IP interne attribuée à l'interface « WAN » de la machine virtuelle pfSense.

 

Cliquez ensuite sur « Save as default ».

 

Allez au bas de la page dans la section « OpenVPN Clients ».

 

Cliquez sur le fichier d'installation à télécharger pour votre ordinateur

A screenshot of a computer

Description automatically generated

 

 

Une fois installé, vous devriez pouvoir vous connecter à l’aide des informations d’identification VPN.

A screenshot of a computer

Description automatically generated

Références

https://docs.netgate.com/pfsense/en/latest/general/index.html

https://docs.netgate.com/pfsense/en/latest/usermanager/authentication-servers.html