Stormshield & OVH : mode bridge PPPoE

Formation Stormshield Network Security

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. OVHCloud
  4. Stormshield & OVH : mode bridge PPPoE

Dans la plupart des cas, les particuliers disposent d'une box fournie par leur fournisseur d'accès à Internet (FAI), qui intègre déjà toutes les fonctionnalités de routage, de NAT et de pare-feu nécessaires.


Cependant, dans le cadre d'une entreprise (ou pour les plus "geeks" d'entres vous 😋), il peut être avantageux de remplacer la box du FAI par un routeur ou par un pare-feu bien plus complet, d'avantage de performance et surtout plus de sécurité.




Sommaire
  1. Introduction
  2. Se connecter à l'interface OVH Customers
  3. Configuration avancée
    1. Le mode Bridge
    2. Le mode DMZ
  4. Récupérer les identifiants PPPoE
  5. Configuration de l'interface PPPoE avec Stormshield
  6. Configuration du routage sur le SNS
  7. Politiques de sécurité
    1. Ouvrir un port public
    2. Règle NAT pour un réseau protégé
  8. Conclusion

Introduction

Pour effectuer ce genre de procédé, c'est ici qu'intervient le mode bridge car il va permettre de connecter notre routeur ou pare-feu directement à la ligne ADSL ou XDSL avec des identifiants particuliers afin de s'authentifier sur la ligne du FAI :


Concrètement, le mode bridge permet au routeur du FAI transparent et de tout laisser passer. Ce sera donc à vous de gérer la sécurité, le NAT, l'authentification PPPoE et l'ouverture de ports publics.


Le mode bridge n'est pas toujours disponible pour les particuliers, mais une option assez similaire est le mode DMZ qui consiste à fournir au routeur FAI l'adresse IP de l'équipement en DMZ. Petit bémol : avec le mode DMZ, vous devez garder le routeur FAI. Pas top top, mais c'est mieux que rien... 😉


Dans ce tutoriel, nous allons voir comment configurer le mode Bridge sur une ligne télécom OVH en passant par la récupération des informations d'identifications PPPoE et l'activation du "Bridge Mode", mais également la configuration sur un Stormshield d'une interface Modem et ainsi que le routage et le NAT.


Se connecter à l'interface OVH Customers

Afin de prendre la main sur votre modem géré sur OVH Telecom, rendez vous sur "https://www.ovhtelecom.fr" et connectez-vous à votre espace client. Allez dans la partie "Telecom" en haut.




Une fois connecté avec votre identifiant client OVH, allez dans "Accès internet" à gauche de la page, cliquez sur votre pack et ensuite sur votre accès ADSL / VDSL.



Sélectionnez ensuite l'onglet "Mon modem". Vous visualisez actuellement l'interface de gestion du modem OVH.


Configuration avancée

Dans la configuration avancée, deux modes sont actionnables :

  • Le mode bridge : transparence totale, donc plus besoin du routeur.
  • Le mode DMZ : consiste à renseigner l'adresse IP de l'équipement souhaitant être mis en DMZ, routeur FAI obligatoire : NAT & ouverture de port à faire en amont.

Le mode Bridge

Le mode bridge peut être activé depuis cette interface. Dans la section "Configurations avancées", cochez l'option : "Mode bridge activé".

À noter que cette action ne peut être désactivable uniquement après un reset usine du modem OVH.

Un redémarrage du routeur sera effectué et durera environ 15 minutes.


Le mode DMZ

Le mode DMZ est possible juste sous la section "Bridge Mode". Cliquez sur le menu DMZ puis ajoutez l'adresse IP de la DMZ :




Récupérer les identifiants PPPoE

Chez OVH, il est possible de récupérer PPPoE depuis l'interface OVH. Logiquement lors de la configuration ou le reset d'un modem OVH, cela provoque systématiquement un envoi automatique des nouveaux identifiants PPPoE.

Voici une documentation OVH vous permettant de récupérer vos identifiants : https://docs.ovh.com/fr/xdsl/obtenir-identifiants-ppoe/


Vérifiez vos E-mails, sinon effectuez un reset du modem et cela entrainera automatiquement un envoi E-mail avec les identifiants PPPoE et d'administration du modem.



Les identifiants PPPoE reçus doivent ressembler à cela :

- Login : [email protected]

- Password : xxxxxxxx


Configuration de l'interface PPPoE avec Stormshield

Une fois les manipulations effectuées précédemment, vous pouvez connecter votre ligne OVH Telecom directement sur le firewall ou équipement susceptible de remplacer le modem OVH.

Pour Stormshield, il est nécessaire de créer une interface modem de type PPPoE. Connectez-vous sur votre SNS et allez dans CONFIGURATION > RÉSEAU > Interfaces.



Renseignez les informations suivantes :

  • État : Activer l'interface,
  • Nom d'interface (exemple : ovh_pppoe),
  • Interface parente : interface connectée directement au modem / ligne OVH Telecom (ici : INT-XXXX),
  • Authentification (à remplacer pas les vôtres) :
  • Identifiant : [email protected]
  • Mot de passe : xxxxxxxx

Valider la création de cette nouvelle interface.



Votre interface est maintenant connectée. Mais le firewall n'a pour le moment pas accès à Internet...


Configuration du routage sur le SNS

Lors de la création de l'interface Modem sur le SNS, des objets "Firewall_XX" correspondant à l'interface PPPoE sont créés (ici : Firewall_ovh_pppoe). Vous y retrouverais comme valeur votre adresse IP publique de votre FAI. Vous dialoguez dès à présent entre Internet à destination de votre adresse IP publique (devant votre SNS) :



Afin de donner accès à Internet votre SNS, il est nécessaire de remplacer votre passerelle par défaut (corresponds au 0.0.0.0/0 par défaut si aucun routage spécifié). Dirigez-vous dans le menu CONFIGURATION > RÉSEAU > Routage.



Spécifiez alors votre adresse IP publique (objet : Firewall_ovh_pppoe) afin de router le SNS vers l'adresse IP publique du FAI.


On peut alors effectuer rapidement un test afin de vérifier la connectivité à Internet en effectuant une requête Ping vers les DNS de Cloudflare depuis la console CLI / NSRPC (CONFIGURATION > SYSTÈME > Console CLI) :

NSRPC> SYSTEM PING host=1.1.1.1



Ou bien directement sur la console SSH du SNS :

SNSFW1-SN910Axxxxxxxxx>ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=55 time=12.671 ms  <<---- ICMP Echo/Reply Connection OK
64 bytes from 1.1.1.1: icmp_seq=1 ttl=55 time=13.005 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=55 time=12.868 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=55 time=13.052 ms


Politiques de sécurité

Maintenant que notre SNS dispose d'un accès à Internet, voyons comment créer des règles de filtrages dans notre politique de sécurité afin d'ouvrir des ports sur Internet avec le NAT. Nous verrons également les règles NAT pour accéder à Internet depuis un réseau.


Ouvrir un port public

Par défaut sur un firewall SNS, tous les ports sont bien évidemment bloqués. Il est nécessaire de créer une règle "Reverse NAT" qui permettra de diriger le trafic Internet à destination de notre adresse publique du FAI sur un port en particulier, pointant vers une ressource interne (un serveur Web, un serveur RDS...).


Dans notre exemple, nous souhaitons rendre accessible sur Internet un serveur Web sur le port 80, pointant sur la ressource interne "SRV-WEB". Dirigez-vous dans POLITIQUE DE SÉCURITÉ > Filtrage et NAT > Filtrage, puis créez une nouvelle règle de sécurité :

  • Action : Autoriser
  • Source :
  • Machines sources : Internet
  • Interface d'entrée : interface PPPoE (ici ovh_pppoe) afin de forcer le trafic à arriver sur cette interface.
  • Destination :
  • Machines destinations : Adresse IP publique FAI
  • Onglet CONFIGURATION AVANCÉE > NAT sur destination : ressource interne (par exemple : SRV-WEB)
  • Activer la Publication ARP sur la destination externe (publique) : Cette option permet de pouvoir spécifier une publication ARP, lorsqu’on utilise une règle de filtrage avec du NAT sur la destination. Elle doit être activée si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle du SNS.
  • Port / Protocole :
  • Port de destination : objet port "http" (Port www TCP:80) pour un serveur Web.


Voici le résultat de la règle créée :



En résumé, tout trafic arrivant depuis Internet sur l'interface PPPoE "ovh_pppoe" à destination de notre adresse IP publique, j'accès à la ressource interne "SRV-WEB" sur le port HTTP (TCP:80).


De ce fait, en allant ainsi sur votre adresse IP depuis un navigateur Web, vous avez normalement accès à votre serveur Web depuis votre adresse IP publique.


Règle NAT pour un réseau protégé

Dans cet exemple, nous souhaitons rendre accessible un réseau protégé à Internet (ici Network_in).

Si vous disposez déjà de règles de NAT ou créer une nouvelle règle de NAT, dirigez-vous dans POLITIQUE DE SÉCURITÉ > Filtrage et NAT > NAT, afin de créer une nouvelle règle NAT :

  • État : Activer
  • Source :
  • Machines sources : Network_in
  • Destination :
  • Machines destinations : Internet
  • Onglet CONFIGURATION AVANCÉE > Interface de sortie : interface PPPoE (ici ovh_pppoe) afin de forcer le trafic à arriver sur cette interface.
  • Source translatée :
  • Machine source translatée : Adresse IP publique FAI
  • Port source translaté : ephemeral_fw
  • Activer la case : choisir aléatoirement le port source translaté


Voici le résultat de la règle créée :



En résumé, tout trafic arrivant depuis le réseau "Network_in" à destination d'Internet sur l'interface PPPoE "ovh_pppoe", on translate le trafic sur notre adresse IP publique du FAI pour accéder au réseau (IP-PUB-OVH est notre adresse IP publique - c'est à dire la passerelle d'accès à Internet).


Conclusion

Et voilà ! Maintenant, vous avez un petit bagage sur la mise en place du mode bridge. Bien que la procédure a été décrite pour OVH et Stormshield, la configuration est assez similaires pour d'autres produits / d'autres FAI. Je vous invite donc à vous renseigner à ce sujet pour plus d'informations complémentaires 😉


Pour toute suggestion / amélioration du tutoriel, n'hésitez-pas à Proposer une modification ! ✌

Niveau Débutant

Technologies utilisées :

Proposer une modification
Antoine
Par Antoine
Rédigé le Samedi 18 Mars 2023