Openvpn sur pfsense
xxx31fr
Messages postés
86
Date d'inscription
Statut
Membre
Dernière intervention
-
xxx31fr Messages postés 86 Date d'inscription Statut Membre Dernière intervention -
xxx31fr Messages postés 86 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
j'ai configuré un client OpenVPN sur un firewall PFsense.
le client se connecte bien au serveur.
Je peux pinguer le serveur depuis le client
et le serveur pingue le client
=> dans les deux sens cela fonctionne.
Lorsque je connecte un 2ieme client au serveur Openvpn, il se connecte bien.
Depuis le 2nd client, j'arrive à pinguer le client configuré sur le Pfsense.
J'arrive, par l'ip attribué par le serveur Openvpn a me connecter à l'interface WEB de Pfsense.
Par contre, je souhaite pouvoir avoir accès aux Lans qu'il y a derriere le pfsense.
Pour l'instant, j'arrive a pinguer UNIQUEMENT les gateways des différents lan et qui sont configuré sur le pfsense.
Je n'arrive pas à m'en sortir afin que le client 2, connecté en VPN par openvpn puisse avoir accès aux LANs du pfsense.
dans le fichier de conf du serveur openvpn, j'ai ajouté cela:
server 10.8.0.0 255.255.255.0
#ifconfig-pool-persist /etc/openvpn/ipp.txt
#push "redirect-gateway def1 bypass-dhcp"
#push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
client-config-dir ccd
route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
client-to-client
et au niveau du client openvpn configuré sur le pfsense, j'ai ajouté
iroute 192.168.0.0 255.255.255.0;iroute 192.168.1.0 255.255.255.0;iroute 192.168.2.0 255.255.255.0
Malgré cela, depuis le client 2, je n'arrive pas à accèder aux aux lans qui sont configuré sur le pfsense.
Pouvez vous m'aider, car, j'ai aucune idée sur comment faire.
bien cordialement
j'ai configuré un client OpenVPN sur un firewall PFsense.
le client se connecte bien au serveur.
Je peux pinguer le serveur depuis le client
et le serveur pingue le client
=> dans les deux sens cela fonctionne.
Lorsque je connecte un 2ieme client au serveur Openvpn, il se connecte bien.
Depuis le 2nd client, j'arrive à pinguer le client configuré sur le Pfsense.
J'arrive, par l'ip attribué par le serveur Openvpn a me connecter à l'interface WEB de Pfsense.
Par contre, je souhaite pouvoir avoir accès aux Lans qu'il y a derriere le pfsense.
Pour l'instant, j'arrive a pinguer UNIQUEMENT les gateways des différents lan et qui sont configuré sur le pfsense.
Je n'arrive pas à m'en sortir afin que le client 2, connecté en VPN par openvpn puisse avoir accès aux LANs du pfsense.
dans le fichier de conf du serveur openvpn, j'ai ajouté cela:
server 10.8.0.0 255.255.255.0
#ifconfig-pool-persist /etc/openvpn/ipp.txt
#push "redirect-gateway def1 bypass-dhcp"
#push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
client-config-dir ccd
route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
client-to-client
et au niveau du client openvpn configuré sur le pfsense, j'ai ajouté
iroute 192.168.0.0 255.255.255.0;iroute 192.168.1.0 255.255.255.0;iroute 192.168.2.0 255.255.255.0
Malgré cela, depuis le client 2, je n'arrive pas à accèder aux aux lans qui sont configuré sur le pfsense.
Pouvez vous m'aider, car, j'ai aucune idée sur comment faire.
bien cordialement
A voir également:
- Openvpn sur pfsense
- Pfsense - Forum Réseau
- PfSense - Forum BSD
- Openvpn technologies tap provider v9 ✓ - Forum Windows 7
- Pfsense - Forum BSD
- OpenVPN ✓ - Forum Ubuntu
10 réponses
Salut Brupala,
les machines du lan sont des pcs portables, qui n'ont donc pas vocation a resté dans le Lan.
lorsque les pc sont dans le lan, le pfsense fournit toutes les routes et conf réseau.
cdlt
les machines du lan sont des pcs portables, qui n'ont donc pas vocation a resté dans le Lan.
lorsque les pc sont dans le lan, le pfsense fournit toutes les routes et conf réseau.
cdlt
rebonjour,
Voici le problème décrit sous forme de schéma,peut être que quelqu'un pourra mieux m'aider.
cdlt
Voici le problème décrit sous forme de schéma,peut être que quelqu'un pourra mieux m'aider.
cdlt
Merci pour le schéma, car tu n'étais pas bien clair là....
encore une fois, les routes des machines sur lan 1 ?
pour 1020.0.0/16, c'est bien 10.10.255.254 ?
ou route par défaut ?
pour le ssh pc2 vers pc1, bon ça peut être n'importe quoi, une clé pas installée, un firewall.
encore une fois, les routes des machines sur lan 1 ?
pour 1020.0.0/16, c'est bien 10.10.255.254 ?
ou route par défaut ?
pour le ssh pc2 vers pc1, bon ça peut être n'importe quoi, une clé pas installée, un firewall.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Brupala,
Peux tu expliciter ta question, car, a prioris, ce sont les routes par défaut.
Cordialement
Peux tu expliciter ta question, car, a prioris, ce sont les routes par défaut.
Cordialement
j'ai fais un ping d'une machine sur le lan 10.10 vers le 10.20
regarde dans les logs de ta machine client openvpn, tu dois avoir des traces de ces traduction d'adresses.
Je ne pense pas que ce soit sur le serveur...
tu dois bien avoir quelque part quelque chose pour désactiver totalement le nat .
https://docs.netgate.com/pfsense/en/latest/nat/outbound.html
sinon,
essaie de passer l'interface vpn de wan à lan ...
Je ne pense pas que ce soit sur le serveur...
tu dois bien avoir quelque part quelque chose pour désactiver totalement le nat .
https://docs.netgate.com/pfsense/en/latest/nat/outbound.html
sinon,
essaie de passer l'interface vpn de wan à lan ...
par contre, les régles:
iptables -t nat -I PREROUTING -d 10.8.0.72 -j DNAT --to-destination 10.10.X.Y
et son pendant dans l'autre sens, afin de mieux maitriser:
iptables -t nat -I POSTROUTING -s 10.10.x.Y-j SNAT --to-source 10.8.0.72
c'est sur le serveur ou sur le pfsense qu'il faut les faire?
iptables -t nat -I PREROUTING -d 10.8.0.72 -j DNAT --to-destination 10.10.X.Y
et son pendant dans l'autre sens, afin de mieux maitriser:
iptables -t nat -I POSTROUTING -s 10.10.x.Y-j SNAT --to-source 10.8.0.72
c'est sur le serveur ou sur le pfsense qu'il faut les faire?
J'ai ajouté ces règles sur le serveur Openvpn (OVH):
Cela ne fonctionne pas....
donc je suppose que je dois surement faire cela sur le pfsense en ligne de commande
sauf que la commande iptables ne fonctionne pas sur pfsense
peux tu me confirmer , stp
Cela ne fonctionne pas....
donc je suppose que je dois surement faire cela sur le pfsense en ligne de commande
sauf que la commande iptables ne fonctionne pas sur pfsense
peux tu me confirmer , stp
le serveur est hébergé ?
je parlais côté client, c'est sur le pfsense pc1, pour les règles, voir nat 1:1
ou mieux encore à mon avis mon lien où le nat automatique est désactivé.
Mais au fond, il vaudrait bien mieux aucun nat.
je parlais côté client, c'est sur le pfsense pc1, pour les règles, voir nat 1:1
ou mieux encore à mon avis mon lien où le nat automatique est désactivé.
Mais au fond, il vaudrait bien mieux aucun nat.
Salut,
merci pour ta réponse, je comprends ce que tu me dis.
Dans pfsense, au niveau nat 1:1, je n'ai rien
dans nat: outbound ,j'ai
des régles auto créees par pfsense lorsque je suis passé en mode manual outbound au lieu de automatique
faudrait il que je reste en manual outbound nt et que je supprime toutes les règles?
Cdlt
merci pour ta réponse, je comprends ce que tu me dis.
Dans pfsense, au niveau nat 1:1, je n'ai rien
dans nat: outbound ,j'ai
des régles auto créees par pfsense lorsque je suis passé en mode manual outbound au lieu de automatique
faudrait il que je reste en manual outbound nt et que je supprime toutes les règles?
Cdlt
sur l'interface lan (10.10.255.254) les paquets ICMP partent bien du serveur, mais n'arrivent pas au pfsense.
j'ai voulu desactiver toutes les règles de NAT
mais les employés perdaient le net...
je suis donc revenu en arrière....
j'ai voulu desactiver toutes les règles de NAT
mais les employés perdaient le net...
je suis donc revenu en arrière....
Le pfsense sert de gateway et serveur DHCP pour le lan 1
donc, oui, la connexion au net passe par le pfsense:
internet----------fw pfsense------------lan1
--------------------client openvpn
--------------------gateway et serveur DHCP pour le lan 1
comment je sais pour les paquets vers 10.10.255.254:
avec l'outil "packet capture", j'ai possiblité de selectionner l'interface que j'écoute, et le protocole que j'écoute, je ne vois rien arrivé dessus lorsque je ping le 10.10.255.254
mais j'ai des paquets ICMP lorsque je ping le 10.8.0.72
Et, au niveau de serveur : je fais un tcpdump sur l'interface tun0 et le protocole ICMP
je vois les ping sur 10.8.0.72 : partir et revenir
je vois les ping sur 10.10.255.254 : partir et ils ne reviennent pas
Cordialement
donc, oui, la connexion au net passe par le pfsense:
internet----------fw pfsense------------lan1
--------------------client openvpn
--------------------gateway et serveur DHCP pour le lan 1
comment je sais pour les paquets vers 10.10.255.254:
avec l'outil "packet capture", j'ai possiblité de selectionner l'interface que j'écoute, et le protocole que j'écoute, je ne vois rien arrivé dessus lorsque je ping le 10.10.255.254
mais j'ai des paquets ICMP lorsque je ping le 10.8.0.72
Et, au niveau de serveur : je fais un tcpdump sur l'interface tun0 et le protocole ICMP
je vois les ping sur 10.8.0.72 : partir et revenir
je vois les ping sur 10.10.255.254 : partir et ils ne reviennent pas
Cordialement
oui, j'ai ajouté, dans la configuration serveur de OpenVPN les lignes suivantes:
route 10.10.0.0 255.255.0.0
client-to-client
push "route 10.10.0.0 255.255.0.0"
d'ailleurs, si je me connecte avec un deuxième client openvpn (par exemple mon pc portable), je vois, dans les logs de connexion que le serveur vpn me push bien la route 10.10.0.0/16
route 10.10.0.0 255.255.0.0
client-to-client
push "route 10.10.0.0 255.255.0.0"
d'ailleurs, si je me connecte avec un deuxième client openvpn (par exemple mon pc portable), je vois, dans les logs de connexion que le serveur vpn me push bien la route 10.10.0.0/16
Salut,
Voila les routes sur le serveur
malgré cela, je n'ai pas acès au réseau 10.10 depuis le "PC2"
Voila les routes sur le serveur
malgré cela, je n'ai pas acès au réseau 10.10 depuis le "PC2"
OK,
donc avec ça les paquets pour 10.10.0.0/16 doivent arriver sur PC1 .
après, encore une fois, il y a la nat sur pc1 ...
est ce qu'il est possible de configurer nat uniquement vers l'interface wan, mais pas sur le vpn ?
PS la route 10.8.0.0/24 sur 10.8.0.2, ça n'est pas correct, mais ça peut fonctionner en point à point, il devrait plutôt y avoir 10.8.0.1 en passerelle.
donc avec ça les paquets pour 10.10.0.0/16 doivent arriver sur PC1 .
après, encore une fois, il y a la nat sur pc1 ...
est ce qu'il est possible de configurer nat uniquement vers l'interface wan, mais pas sur le vpn ?
PS la route 10.8.0.0/24 sur 10.8.0.2, ça n'est pas correct, mais ça peut fonctionner en point à point, il devrait plutôt y avoir 10.8.0.1 en passerelle.
le problème c'est que les paquets n'arrive pas sur le pc1.
peux tu developper un peu plius ta demande sur "est ce qu'il est possible de configurer nat uniquement vers l'interface wan, mais pas sur le vpn ? "
car je suis par certain de bien comprendre ce que tu veux dire.
la route 10.8.0.0/24 sur 10.8.0.2 : est est ajouté automatiquement par Openvpn...
peux tu developper un peu plius ta demande sur "est ce qu'il est possible de configurer nat uniquement vers l'interface wan, mais pas sur le vpn ? "
car je suis par certain de bien comprendre ce que tu veux dire.
la route 10.8.0.0/24 sur 10.8.0.2 : est est ajouté automatiquement par Openvpn...
la route 10.8.0.0/24 sur 10.8.0.2 : est est ajouté automatiquement par Openvpn...
je veux bien, mais ça ne sert à rien, si c'est un push, il faut le supprimer:
Dans la logique de base du routage, pour accéder à 10.8.0.2, il faut déjà avoir une route vers 10.8.0.0/24
sur PC1,
tu dois avoir au moins 3 interfaces:
lan, wan et ton openvpn.
si tu dis que la nat impacte la connexion internet, c'est qu'elle passe par wan, je suppose, pas par openvpn ?
je veux bien, mais ça ne sert à rien, si c'est un push, il faut le supprimer:
Dans la logique de base du routage, pour accéder à 10.8.0.2, il faut déjà avoir une route vers 10.8.0.0/24
sur PC1,
tu dois avoir au moins 3 interfaces:
lan, wan et ton openvpn.
si tu dis que la nat impacte la connexion internet, c'est qu'elle passe par wan, je suppose, pas par openvpn ?
salut,
Dans la logique de base du routage, pour accéder à 10.8.0.2, il faut déjà avoir une route vers 10.8.0.0/24
la deuxiéme route n'est pas bonne?
si tu dis que la nat impacte la connexion internet, c'est qu'elle passe par wan, je suppose, pas par openvpn ? => je suppose que oui.
sinon je ne sais pas comment savoir cela.
serait il possible que l'on se contacte par email, pour que je puisse résoudre ce problème un peu plus rapidement stp?
Dans la logique de base du routage, pour accéder à 10.8.0.2, il faut déjà avoir une route vers 10.8.0.0/24
la deuxiéme route n'est pas bonne?
si tu dis que la nat impacte la connexion internet, c'est qu'elle passe par wan, je suppose, pas par openvpn ? => je suppose que oui.
sinon je ne sais pas comment savoir cela.
serait il possible que l'on se contacte par email, pour que je puisse résoudre ce problème un peu plus rapidement stp?
La seconde route est suffisante en point à point oui.
Après c'est toi qui connais ton réseau.
Si tu t'inscrivais sur CCM tu verrais mon adresse mail sur mon profil ou tu pourrais m'envoyer directement des messages personnels, mais je ne fournis pas d'aide en MP. Tout doit se passer sur le forum, sinon ça ne sert à rien.
Après si tu as des précisions confidentielles à fournir il vaut mieux que ça ne soit pas trop en vue effectivement.
Après c'est toi qui connais ton réseau.
Si tu t'inscrivais sur CCM tu verrais mon adresse mail sur mon profil ou tu pourrais m'envoyer directement des messages personnels, mais je ne fournis pas d'aide en MP. Tout doit se passer sur le forum, sinon ça ne sert à rien.
Après si tu as des précisions confidentielles à fournir il vaut mieux que ça ne soit pas trop en vue effectivement.
