Stormshield & OVH : mode bridge PPPoE

Formation Stormshield Network Security

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. OVHCloud
  4. Stormshield & OVH : mode bridge PPPoE

Dans la plupart des cas, les particuliers disposent d'une box fournie par leur fournisseur d'accÚs à Internet (FAI), qui intÚgre déjà toutes les fonctionnalités de routage, de NAT et de pare-feu nécessaires.


Cependant, dans le cadre d'une entreprise (ou pour les plus "geeks" d'entres vous 😋), il peut ĂȘtre avantageux de remplacer la box du FAI par un routeur ou par un pare-feu bien plus complet, d'avantage de performance et surtout plus de sĂ©curitĂ©.




Sommaire
  1. Introduction
  2. Se connecter Ă  l'interface OVH Customers
  3. Configuration avancée
    1. Le mode Bridge
    2. Le mode DMZ
  4. Récupérer les identifiants PPPoE
  5. Configuration de l'interface PPPoE avec Stormshield
  6. Configuration du routage sur le SNS
  7. Politiques de sécurité
    1. Ouvrir un port public
    2. RÚgle NAT pour un réseau protégé
  8. Conclusion

Introduction

Pour effectuer ce genre de procédé, c'est ici qu'intervient le mode bridge car il va permettre de connecter notre routeur ou pare-feu directement à la ligne ADSL ou XDSL avec des identifiants particuliers afin de s'authentifier sur la ligne du FAI :


ConcrĂštement, le mode bridge permet au routeur du FAI transparent et de tout laisser passer. Ce sera donc Ă  vous de gĂ©rer la sĂ©curitĂ©, le NAT, l'authentification PPPoE et l'ouverture de ports publics.


Le mode bridge n'est pas toujours disponible pour les particuliers, mais une option assez similaire est le mode DMZ qui consiste Ă  fournir au routeur FAI l'adresse IP de l'Ă©quipement en DMZ. Petit bĂ©mol : avec le mode DMZ, vous devez garder le routeur FAI. Pas top top, mais c'est mieux que rien... 😉


Dans ce tutoriel, nous allons voir comment configurer le mode Bridge sur une ligne tĂ©lĂ©com OVH en passant par la rĂ©cupĂ©ration des informations d'identifications PPPoE et l'activation du "Bridge Mode", mais Ă©galement la configuration sur un Stormshield d'une interface Modem et ainsi que le routage et le NAT.


Se connecter Ă  l'interface OVH Customers

Afin de prendre la main sur votre modem géré sur OVH Telecom, rendez vous sur "https://www.ovhtelecom.fr" et connectez-vous à votre espace client. Allez dans la partie "Telecom" en haut.




Une fois connecté avec votre identifiant client OVH, allez dans "AccÚs internet" à gauche de la page, cliquez sur votre pack et ensuite sur votre accÚs ADSL / VDSL.



SĂ©lectionnez ensuite l'onglet "Mon modem". Vous visualisez actuellement l'interface de gestion du modem OVH.


Configuration avancée

Dans la configuration avancée, deux modes sont actionnables :

  • Le mode bridge : transparence totale, donc plus besoin du routeur.
  • Le mode DMZ : consiste Ă  renseigner l'adresse IP de l'Ă©quipement souhaitant ĂȘtre mis en DMZ, routeur FAI obligatoire : NAT & ouverture de port Ă  faire en amont.

Le mode Bridge

Le mode bridge peut ĂȘtre activĂ© depuis cette interface. Dans la section "Configurations avancĂ©es", cochez l'option : "Mode bridge activĂ©".

À noter que cette action ne peut ĂȘtre dĂ©sactivable uniquement aprĂšs un reset usine du modem OVH.

Un redémarrage du routeur sera effectué et durera environ 15 minutes.


Le mode DMZ

Le mode DMZ est possible juste sous la section "Bridge Mode". Cliquez sur le menu DMZ puis ajoutez l'adresse IP de la DMZ :




Récupérer les identifiants PPPoE

Chez OVH, il est possible de récupérer PPPoE depuis l'interface OVH. Logiquement lors de la configuration ou le reset d'un modem OVH, cela provoque systématiquement un envoi automatique des nouveaux identifiants PPPoE.

Voici une documentation OVH vous permettant de récupérer vos identifiants : https://docs.ovh.com/fr/xdsl/obtenir-identifiants-ppoe/


VĂ©rifiez vos E-mails, sinon effectuez un reset du modem et cela entrainera automatiquement un envoi E-mail avec les identifiants PPPoE et d'administration du modem.



Les identifiants PPPoE reçus doivent ressembler à cela :

- Login : [email protected]

- Password : xxxxxxxx


Configuration de l'interface PPPoE avec Stormshield

Une fois les manipulations effectuées précédemment, vous pouvez connecter votre ligne OVH Telecom directement sur le firewall ou équipement susceptible de remplacer le modem OVH.

Pour Stormshield, il est nĂ©cessaire de crĂ©er une interface modem de type PPPoE. Connectez-vous sur votre SNS et allez dans CONFIGURATION > RÉSEAU > Interfaces.



Renseignez les informations suivantes :

  • État : Activer l'interface,
  • Nom d'interface (exemple : ovh_pppoe),
  • Interface parente : interface connectĂ©e directement au modem / ligne OVH Telecom (ici : INT-XXXX),
  • Authentification (Ă  remplacer pas les vĂŽtres) :
  • Identifiant : [email protected]
  • Mot de passe : xxxxxxxx

Valider la création de cette nouvelle interface.



Votre interface est maintenant connectée. Mais le firewall n'a pour le moment pas accÚs à Internet...


Configuration du routage sur le SNS

Lors de la création de l'interface Modem sur le SNS, des objets "Firewall_XX" correspondant à l'interface PPPoE sont créés (ici : Firewall_ovh_pppoe et Firewall_ovh_pppoe_peer). Vous y retrouverais comme valeur votre adresse IP publique de votre FAI. Vous dialoguez dÚs à présent entre Internet à destination de votre adresse IP publique (devant votre SNS) :



Afin de donner accĂšs Ă  Internet votre SNS, il est nĂ©cessaire de remplacer votre passerelle par dĂ©faut (corresponds au 0.0.0.0/0 par dĂ©faut si aucun routage spĂ©cifiĂ©). Dirigez vous dans le menu CONFIGURATION > RÉSEAU > Routage.



Spécifiez alors votre adresse IP publique (objet : Firewall_ovh_pppoe_peer, contrairement à la capture d'écran) afin de router le SNS vers l'adresse IP publique du FAI.


On peut alors effectuer rapidement un test afin de vĂ©rifier la connectivitĂ© Ă  Internet en effectuant une requĂȘte Ping vers les DNS de Cloudflare depuis la console CLI / NSRPC (CONFIGURATION > SYSTÈME > Console CLI) :

NSRPC> SYSTEM PING host=1.1.1.1



Ou bien directement sur la console SSH du SNS :

SNSFW1-SN910Axxxxxxxxx>ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=55 time=12.671 ms  <<---- ICMP Echo/Reply Connection OK
64 bytes from 1.1.1.1: icmp_seq=1 ttl=55 time=13.005 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=55 time=12.868 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=55 time=13.052 ms


Politiques de sécurité

Maintenant que notre SNS dispose d'un accÚs à Internet, voyons comment créer des rÚgles de filtrages dans notre politique de sécurité afin d'ouvrir des ports sur Internet avec le NAT. Nous verrons également les rÚgles NAT pour accéder à Internet depuis un réseau.


Ouvrir un port public

Par défaut sur un firewall SNS, tous les ports sont bien évidemment bloqués. Il est nécessaire de créer une rÚgle "Reverse NAT" qui permettra de diriger le trafic Internet à destination de notre adresse publique du FAI sur un port en particulier, pointant vers une ressource interne (un serveur Web, un serveur RDS...).


Dans notre exemple, nous souhaitons rendre accessible sur Internet un serveur Web sur le port 80, pointant sur la ressource interne "SRV-WEB". Dirigez-vous dans POLITIQUE DE SÉCURITÉ > Filtrage et NAT > Filtrage, puis crĂ©ez une nouvelle rĂšgle de sĂ©curitĂ© :

  • Action : Autoriser
  • Source :
  • Machines sources : Internet
  • Interface d'entrĂ©e : interface PPPoE (ici ovh_pppoe) afin de forcer le trafic Ă  arriver sur cette interface.
  • Destination :
  • Machines destinations : Adresse IP publique FAI
  • Onglet CONFIGURATION AVANCÉE > NAT sur destination : ressource interne (par exemple : SRV-WEB)
  • Activer la Publication ARP sur la destination externe (publique) : Cette option permet de pouvoir spĂ©cifier une publication ARP, uniquement si l'adresse IP de destination est une adresse IP n'appartenant pas au SNS, par exemple une adresse IP virtuelle.
  • Port / Protocole :
  • Port de destination : objet port "http" (Port www TCP:80) pour un serveur Web.


Voici le résultat de la rÚgle créée :



Pour faire simple, tout trafic arrivant depuis Internet sur l'interface PPPoE "ovh_pppoe" Ă  destination de notre adresse IP publique, j'accĂšs Ă  la ressource interne "SRV-WEB" sur le port HTTP (TCP:80).


De ce fait, en allant ainsi sur votre adresse IP depuis un navigateur Web, vous avez normalement accĂšs Ă  votre serveur Web depuis votre adresse IP publique.


RÚgle NAT pour un réseau protégé

Dans cet exemple, nous souhaitons rendre accessible un réseau protégé à Internet (ici Network_in).

Si vous disposez dĂ©jĂ  de rĂšgles de NAT ou crĂ©er une nouvelle rĂšgle de NAT, dirigez vous dans POLITIQUE DE SÉCURITÉ > Filtrage et NAT > NAT, afin de crĂ©er une nouvelle rĂšgle NAT :

  • État : Activer
  • Source :
  • Machines sources : Network_in
  • Destination :
  • Machines destinations : Internet
  • Onglet CONFIGURATION AVANCÉE > Interface de sortie : interface PPPoE (ici ovh_pppoe) afin de forcer le trafic Ă  arriver sur cette interface.
  • Source translatĂ©e :
  • Machine source translatĂ©e : Adresse IP publique FAI
  • Port source translatĂ© : ephemeral_fw
  • Activer la case : choisir alĂ©atoirement le port source translatĂ©


Voici le résultat de la rÚgle créée :



En résumé, tout trafic arrivant depuis le réseau "Network_in" à destination d'Internet sur l'interface PPPoE "ovh_pppoe", on translate le trafic sur notre adresse IP publique du FAI pour accéder au réseau (IP-PUB-OVH est notre adresse IP publique - c'est à dire la passerelle d'accÚs à Internet).


Conclusion

Et voilĂ  ! Maintenant, vous avez un petit bagage sur la mise en place du mode bridge. Bien que la procĂ©dure a Ă©tĂ© dĂ©crite pour OVH et Stormshield, la configuration est assez similaires pour d'autres produits / d'autres FAI. Je vous invite donc Ă  vous renseigner Ă  ce sujet pour plus d'informations complĂ©mentaires 😉


Pour toute suggestion / amĂ©lioration du tutoriel, n'hĂ©sitez pas Ă  Proposer une modification ! ✌

Niveau DĂ©butant

Technologies utilisées :

Proposer une modification
Antoine
Par Antoine
Rédigé le Samedi 18 Mars 2023