Projet PAINS : Configuration de OPNsense | Partie 4

Maintenant on attaque vraiment sur proxmox

On commence avec OPNsense qu'on met sous VM. On lui ajoute deux interfaces réseau.
Ces interfaces sont des linux Bridge.

L'objectif est que OPNsense ait internet par l'interface vmbr0 et que les services installés soit dans vmbr1. 
Pour que notre VM OPNsense est internet, il va falloir aussi toucher à Proxmox.

Pour cela, on va aller sur le CLI de notre proxmox et entrer la commande : echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/routage-proxmox.conf
Cela va créer un fichier qui va permettre de rendre notre OS routeur de manière permanente.
Depuis debian13 ( qui est la base de proxmox ) la manière d'utiliser sysctl.conf est différente. Au lieu que ce soit tout dans un fichier, c'est la config par défaut qui est modifiée en fonction des fichiers .conf trouvés dans /etc/sysctl.d/.

On va ensuite créer la règle NAT pour pouvoir faire passer les paquets entre l'interface wlp3s0 ( interface wifi de mon proxmox ) et le vmbr1.
Toujours sur la CLI promox, on écrit : iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o wlp3s0 -j MASQUERADE .
wlp3s0 par rapport à mon interface physique sortante.
10.10.10.0/24 le réseau où se situe le WAN de mon OPNsense
MASQUERADE pour que ce soit l'ip de proxmox qui soit donné à la box et non celle de OPNsense.

Pour rendre permanente cette règle, on va l'écrire dans /etc/network/interfaces

Nous allons maintenant sur OPNsense.
Je l'aurais configuré 2 fois par CLI et une fois par GUI avant de me rendre compte qu'il tournait que sur le liveCD, et qu'il était pas installé. Je ne comprend toujours pas pourquoi il ne voulait pas installer en login...

le vmbr0 avec l'ip 10.10.10.5/24 gateway 10.10.10.1/24
le vmbr1 avec l'ip 192.168.15.250/24 gateway 192.168.15.1/24
Pour la configuration du WAN, il ne faut pas oublié de décoché "bloquer les réseaux privés". Dans mon cas c'est normal, car le WAN est dans un réseau privé, donc laisser cocher cette option va bloquer l'accès à internet.

Par défaut il va faire tout seul les bonnes règles, mais on va quand même en devoir ajouter pour que ça marche. 
Dans PARE-FEU / NAT / Sortant, nous allons rajouter la règle suivante : 
Interface                   WAN
TCP/IP Version          IPv4
Protocol                    any
Source                      LAN net
Source port              any
Destination              any
Destination port      any
Translation / target    Interface address / adresse de l'interface (en français )
Static-port             ❌ décoché

C'est vrai que cette règle manque de sécurité.  Dans le sens, dès qu'on est dans cette LAN, c'est comme si on était derrière la box, donc aucune limite. Je pense que par la suite, quand les services seront installés, on fera des règles spécifiques pour les services, pour bloquer le plus possible les accès dans la LAN.
Mais pour l'instant, on laisse comme ça.

Du fait que nous aurons constamment des règles de redirections à faire pour chaque service, de la box internet à proxmox, puis de proxmox à OPNsense, pour gagner du temps, je fais une redirection d'un ensemble de ports sur la box internet vers proxmox, et de même pour proxmox.

post-up iptables -t nat -A PREROUTING -p tcp --dport 2500:2700 -j DNAT --to-destination 10.10.10.5
post-up iptables -t nat -A PREROUTING -p udp --dport 2500:2700 -j DNAT --to-destination 10.10.10.5
post-down iptables -t nat -D PREROUTING -p tcp --dport 2500:2700 -j DNAT --to-destination 10.10.10.5
post-down iptables -t nat -D PREROUTING -p udp --dport 2500:2700 -j DNAT --to-destination 10.10.10.5

Oui pour mes services, j'alloue 202 ports, de 2500 à 2700. Surement trop au vue de ce que j'aurais, mais au moins je suis tranquille

Pour la box, se sera un peu aléatoire. Acutellement chez orange avec la livebox 5 ( un rectangle cheap ) je n'ai, en théorie, pas la possibilité de faire comme proxmox avec une plage. Mais d'après la communauté orange, on pourrait bidouiller ça.  Je vais tenter, et voir si par la suite, si cette technique marche, ou si je vais devoir faire à la main chaque règle de redirection de port. 
Mais nous verrons ça pour l'installation du premier service. Joyeux Noël quand j'écris ces lignes.