Configuration de Windows Server 2012 Foundation pour apather tout le trafic Internet via une connection OpenVPN utilisant RRAS

Tout d'abord, je ne suis pas (encore) un professionnel de l'informatique pleinement formé, mais juste un étudiant, alors s'il vous plaît, pardonnez-moi si certaines des choses que je vais poser pourraient sembler "stupides" parce que les réponses sont totalement évidentes pour vous.

Je suis presque prêt à configurer un server Windows Server 2012 Foundation pour notre réseau domestique. Il est configuré avec les rôles suivants:

Serveur de files, server d'printing, server DHCP, server DNS et server de security pour Trend Micro Worry-Free Business Security. Tout cela est déjà opérationnel, donc tellement bon.

Aperçu et objective

En plus de cela, je souhaite utiliser le server en tant que routeur et pare-feu OpenVPN à l'aide du «Pare-feu Windows avec security avancée» en combinaison avec RRAS. Je pense que j'ai terminé avec la mise en place de ces services, mais puisque, comme je l'ai mentionné précédemment, je ne suis pas un professionnel de l'informatique pleinement formé et je l'ai fait pour la première fois, je l'apprécierais beaucoup si certains d'entre vous pouvaient dites-moi si ma configuration est correcte avant de la connecter à un réseau public / non sécurisé.

Donc, d'abord, voici les réseaux que j'ai et ce que je veux que le server effectue:

Réseau domestique interne: 192.168.0.0/24 – IP 192.168.0.1 du server – connecté à la NIC1

Réseau local "non sécurisé": 192.168.3.0/24 – IP 192.168.3.2 du server – connecté à NIC2

login Internet OpenVPN: 10.8.1.52/30 – IP 10.8.1.54 du server – connecté à la carte virtuelle virtuelle OpenVPN

Maintenant, ce que je veux faire, c'est de laisser le server Windows Server 2012 parcourir le trafic Internet de mon réseau domestique interne via cette connection Internet OpenVPN. Il doit également bloquer tout trafic entrant non sollicité à partir de la connection Internet OpenVPN, peu importe si elle est destinée au server lui-même ou à mon réseau domestique interne et, en plus de cela, il doit bloquer tout le trafic vers et depuis le réseau local «en service» sauf pour La connection OpenVPN au server VPN de mon fournisseur de services VPN. La raison principale pour laquelle je le fais est que je vis en Allemagne et en apathant tout le trafic Internet sur la connection VPN de mon fournisseur basé aux États-Unis, tout mon réseau domestique sera connecté à l'aide d'une adresse IP basée aux États-Unis qui me permettra d'utiliser des services tels que Netflix, Hulu, Vevo et ainsi de suite qui ne fonctionneraient pas avec une adresse IP basée en Allemagne. Une autre raison en est que, en séparant complètement mon réseau domestique interne (sur NIC1) du réseau «non sécurisé» externe (sur NIC2), je peux utiliser le réseau «non sécurisé» pour fournir un access Internet pour des périphériques less sécurisés ou non fiables (comme les smartphones, Internet la radio ou les appareils apportés par les invités) directement sur la connection ADSL allemande sans risque de ces dispositifs compromettant de quelque façon que ce soit mon réseau domestique interne.

Sur le réseau "non sécurisé", il existe un appareil de routing ADSL standard avec une adresse IP 192.168.3.1 qui devrait être utilisé par OpenVPN pour établir une connection sécurisée et cryptée au server de mon fournisseur de services VPN. Sauf pour cela, tout le trafic entrant et sortant sur NIC2 devrait être complètement bloqué par le server.

Ce que j'ai fait jusqu'ici:

Pare-feu Windows avec security avancée

Général:

– En utilisant "gpedit.msc" J'ai configuré le "Pare-feu Windows avec security avancée" avec les parameters suivants:

(J'ai configuré les profils "Domaine", "Public" et "Privé" tous avec les mêmes parameters pour ne pas avoir à gérer la prise en count de la localization du réseau)

Etat du pare-feu: Activé (recommandé)

logins entrantes: bloc (par défaut)

logins sortantes: bloc

Autoriser une réponse unique: non

Appliquer les règles locales de pare-feu et Appliquer les règles locales de security de connection: Non (je l'ai fait pour éviter que les applications tierces ne «dérangent» avec les parameters du pare-feu en ajoutant leurs propres règles)

Règles entrantes:

Autoriser si adresse locale = 192.168.0.1 et adresse distante = 192.168.0.0/24 (cela devrait permettre toutes les connections entrantes depuis mon réseau domestique interne via NIC1)

Règles sortantes:

Autoriser si l'adresse locale = 192.168.0.1 OU 10.8.1.54 (cela devrait permettre toutes les connections sortantes sur NIC1 et la NIC virtuelle d'OpenVPN)

Autoriser si programme = "% ProgramFiles% \ OpenVPN \ bin \ openvpn.exe" et adresse locale = 192.168.3.2 et adresse distante = "l'adresse IP publique du server de votre fournisseur VPN" et protocole = "UDP" et port distant = 1194 (ceci devrait permettre à OpenVPN d'établir une connection cryptée sécurisée au server de mon fournisseur VPN sur NIC2)

"Panneau de configuration \ Réseau et Internet \ logins réseau"

NIC1

Dans les propriétés de NIC1, j'ai décoché le protocole IPv6 car je ne l'utilise pas et j'ai configuré IPv4 pour utiliser une adresse IP statique de 192.168.0.1, masque de réseau 255.255.255.0, pas de passerelle par défaut et server DNS préféré 192.168.0.1

NIC2

pour NIC2 où il dit "Cette connection utilise les éléments suivants" J'ai désactivé tout sauf IPv4, puis configuré IPv4 pour utiliser une adresse IP statique de 192.168.3.2, masque réseau 255.255.255.0, pas de passerelle par défaut, aucun server DNS préféré

NIC virtuelle d'OpenVPN

pour la NIC virtuelle d'OpenVPN où il dit "Cette connection utilise les éléments suivants" J'ai décoché tout sauf IPv4 et configuré IPv4 pour utiliser une adresse IP statique de 10.8.1.54, le masque de réseau 255.255.255.252, la passerelle par défaut 10.8.1.53, le server DNS préféré 127.0.0.1 [Je dois append une ligne au file de configuration OpenVPN qui lui dit de ne pas "désordre" avec ces parameters configurés manuellement mais je pense que cela ne devrait pas poser de problème]

"Routage et access à distance"

Général

Dans l'assistant «Configurer l'apathement et l'access à distance», j'ai choisi l'option «NAT» puis j'ai choisi NIC1 comme interface privée et la NIC virtuelle d'OpenVPN comme interface publique

Je suis allé aux propriétés du server et au «Routeur IPv6» non activé dans l'onglet «Général», puis je suis allé à l'onglet «IPv6» et n'a pas activé «Activer le renvoi IPv6»

"IPv4 \ General"

properties NIC2

Dans les propriétés de NIC2, j'ai vérifié "Activer la vérification de fragmentation" [est-ce nécessaire / recommandé ???], puis configurez les filters statiques suivants

Filtres entrants:

sélectionné "Supprimez tous les packages prévoyez ceux qui répondent aux critères ci-dessous", puis ajoutez le filter suivant

adresse source = TOUT, masque de réseau source = TOUT, adresse de destination = 192.168.3.2, masque de destination = 255.255.255.255

Filtres sortants:

sélectionné "Supprimez tous les packages prévoyez ceux qui répondent aux critères ci-dessous", puis ajoutez le filter suivant

adresse source = 192.168.3.2, masque de réseau source = 255.255.255.255, adresse de destination = TOUT, masque de destination = TOUT

(ces filters devraient éviter tout routing entrant ou sortant sur NIC2 et ne devrait permettre que des packages issus du server lui-même ou ciblés sur le server lui-même – et ces connections devraient alors être traitées par "Pare-feu Windows avec security avancée")

properties NIC virtuelles OpenVPN

dans les propriétés de la NIC virtuelle d'OpenVPN, j'ai vérifié "Activer la vérification de fragmentation" [est-ce nécessaire / recommandé ???], puis configurez les filters statiques suivants

Filtres entrants:

sélectionné "Supprimez tous les packages prévoyez ceux qui répondent aux critères ci-dessous", puis ajoutez le filter suivant

adresse source = TOUS, masque de réseau source = TOUT, adresse de destination = 10.8.1.54, masque de destination = 255.255.255.255

Filtres sortants:

sélectionné "Supprimez tous les packages prévoyez ceux qui répondent aux critères ci-dessous", puis ajoutez le filter suivant

adresse source = 10.8.1.54, masque de réseau source = 255.255.255.255, adresse de destination = TOUT, masque de destination = TOUT

(ces filters devraient éviter tout routing entrant ou sortant sur la NIC virtuelle d'OpenVPN alors qu'ils ne devraient pas affecter NAT car tous les packages NAT devraient avoir 10.8.1.54 soit comme source ou adresse cible)

"IPv4 \ Static Routes"

J'ai ajouté la route suivante

Destination: "l'adresse IP publique du server de votre fournisseur VPN"

Masque réseau: 255.255.255.255

Passerelle: 192.168.3.1

Interface: NIC2

Mésortingque: 1

"IPv6 \ General"

Étant donné que j'ai déjà débloqué IPv6 dans les propriétés NIC et j'ai également débloqué "IPv6 Router" et "Enable IPv6 forwarding" dans RRAS, je ne pense pas que je devrais m'inquiéter plus sur IPv6 mais juste pour être sur le bon côté, je suis allé à "IPv6 \ General" et aux filters statiques configurés pour NIC2 et la NIC virtuelle OpenVPN qui devrait bloquer tout trafic IPv6 entrant ou sortant sur ces NIC.

Merci pour la lecture!

Je sais que c'est BEAUCOUP de lire et de passer, mais comme c'est la première fois que je faisais une telle configuration, je pourrais vraiment dormir beaucoup mieux en sachant que sb plus expérimenté que moi-même avait un regard sur ces parameters avant de twigr le server à mon réseau "non sécurisé" et à Internet. J'apprécierais beaucoup cela.

Merci beaucoup d'avance et bonne fin de semaine!

Aleksandar