Je vais déjà commencer par définir PBR. Cela signifie Policy based routing.
En gros, ça veut dire qu’on va router en fonction de politiques que l’on définit. Sur OPNSense, cela se fait en manipulant la partie « Gateway » dans une règle.
En théorie, ça marche bien. Quand on veut router uniquement une adresse IP via un VPN fonctionnant sur un firewall OPNsense, c’est parfait.
Mais quand on veut avoir un NAT en entrée depuis ce VPN, ça se complique.
Enfin, maintenant que j’ai compris ce qui n’allait pas, c’est facile 🙂
En fait, quand vous créez une règle de NAT dans OPNsense, vous avez la possibilité de créer automatiquement une règle de filtrage autorisant le trafic naté.
Et là, si vous avez toujours vos deux neurones actives (pas comme moi), vous comprenez aussitôt où est le problème : il ne faut pas créer cette règle automatiquement, il faut la créer à la main.
Donc vous allez dans les règles de firewall liées à l’interface correspondant à votre VPN, et vous créer la règle.
Attention : OPNSense fait le filtrage après le NAT, donc il faut absolument indiquer l’adresse IP de destination sur votre LAN.
Et dans la section avancée, dans la zone « reply to », mettez la passerelle correspondant à votre VPN.
Voilà, de rien. J’ai perdu 45 minutes sur cette connerie. Le symptôme est que le trafic arrive bien vers l’IP locale, celle-ci répond (attesté par le tcpdump tant sur le firewall que sur la machine cible sur votre LAN) mais le paquet retour transite ensuite sur l’interface WAN publique !
Laisser un commentaire