Openvpn sur pfsense

Fermé

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016 - Modifié par brupala le 2/12/2014 à 23:15
xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016 - 8 déc. 2014 à 12:11

Bonjour,

j'ai configuré un client OpenVPN sur un firewall PFsense.

le client se connecte bien au serveur.

Je peux pinguer le serveur depuis le client
et le serveur pingue le client
=> dans les deux sens cela fonctionne.

Lorsque je connecte un 2ieme client au serveur Openvpn, il se connecte bien.

Depuis le 2nd client, j'arrive à pinguer le client configuré sur le Pfsense.
J'arrive, par l'ip attribué par le serveur Openvpn a me connecter à l'interface WEB de Pfsense.

Par contre, je souhaite pouvoir avoir accès aux Lans qu'il y a derriere le pfsense.

Pour l'instant, j'arrive a pinguer UNIQUEMENT les gateways des différents lan et qui sont configuré sur le pfsense.

Je n'arrive pas à m'en sortir afin que le client 2, connecté en VPN par openvpn puisse avoir accès aux LANs du pfsense.

dans le fichier de conf du serveur openvpn, j'ai ajouté cela:

server 10.8.0.0 255.255.255.0
#ifconfig-pool-persist /etc/openvpn/ipp.txt
#push "redirect-gateway def1 bypass-dhcp"
#push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
client-config-dir ccd

route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0

push "route 10.8.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
client-to-client

et au niveau du client openvpn configuré sur le pfsense, j'ai ajouté
iroute 192.168.0.0 255.255.255.0;iroute 192.168.1.0 255.255.255.0;iroute 192.168.2.0 255.255.255.0

Malgré cela, depuis le client 2, je n'arrive pas à accèder aux aux lans qui sont configuré sur le pfsense.

Pouvez vous m'aider, car, j'ai aucune idée sur comment faire.

bien cordialement

A voir également:

Openvpn sur pfsense
Openvpn technologies tap provider v9 ✓ - Forum Windows 7
Openvpn torrent - Forum Réseau
Pfsense routage wan vers lan - Forum Réseau
Openvpn tap-windows6 ✓ - Forum Virus
Pfsense unable to retrieve package information ✓ - Forum Ubuntu

10 réponses

Réponse 1 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
30 nov. 2014 à 18:36

Personne pour me donner un peu d'aide?

cdlt

Réponse 2 / 10

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
30 nov. 2014 à 19:28

Salut,
et les machines du lan, ont elles une route vers les adresses du vpn ?

Réponse 3 / 10

xxx31fr
30 nov. 2014 à 20:23

Salut Brupala,

les machines du lan sont des pcs portables, qui n'ont donc pas vocation a resté dans le Lan.

lorsque les pc sont dans le lan, le pfsense fournit toutes les routes et conf réseau.

cdlt

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
30 nov. 2014 à 22:44

toutes les routes ?
une route par défaut ?
alors tente un traceroute au lieu du ping, pour voir ce qui se passe .

xxx31fr
1 déc. 2014 à 00:51

toutes les routes.

quand je fais un traceroute d'un client vpn vers le client vpn configuré sur le pfsense,

un traceroute sur la gw du réseau 10.20 remonte juqu'au serveur open vpn uniquement
par contre
un traceroute vers le client openvpn du fw arrive bien jusqu'au client fw

Réponse 4 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
1 déc. 2014 à 16:32

rebonjour,

Voici le problème décrit sous forme de schéma,peut être que quelqu'un pourra mieux m'aider.

cdlt

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
1 déc. 2014 à 19:49

Merci pour le schéma, car tu n'étais pas bien clair là....
encore une fois, les routes des machines sur lan 1 ?
pour 1020.0.0/16, c'est bien 10.10.255.254 ?
ou route par défaut ?
pour le ssh pc2 vers pc1, bon ça peut être n'importe quoi, une clé pas installée, un firewall.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
1 déc. 2014 à 19:53

Salut Brupala,

Peux tu expliciter ta question, car, a prioris, ce sont les routes par défaut.

Cordialement

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
1 déc. 2014 à 20:00

alors quelle est la route par défaut des machines de lan1 ?

xxx31fr
1 déc. 2014 à 20:05

c'est 10.10.255.254 (ip du gw)

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829 > xxx31fr
1 déc. 2014 à 22:53

OK,
ça colle, il faut voir si il n'y a pas un firewall qui traine quelque part sur PC1.
c'est pas génial les PC qui font routeur.
j'espère que ça n'est qu'une maquette.

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
Modifié par xxx31fr le 2/12/2014 à 07:54

OK, le PC1 est un PC sur lequel est installé pfsense.
Il a donc une seule interface réseau physique.
le pfsense est serveur DHCP
c'est donc lui qui fait gateway pour le réseau 10.10.x.x
et le client Openvpn est configuré dessus.

C'est une machine en prod :-(

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
2 déc. 2014 à 12:47

Salut Brupala,

As-tu peux être une idée à me suggérer quand à ce problème.

Je suis certain que la résolution de celui-ci pourra être utilie à pas mal d'internautes ;)

Réponse 6 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
2 déc. 2014 à 19:16

j'ai fais un ping d'une machine sur le lan 10.10 vers le 10.20

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
2 déc. 2014 à 19:23

regarde dans les logs de ta machine client openvpn, tu dois avoir des traces de ces traduction d'adresses.
Je ne pense pas que ce soit sur le serveur...
tu dois bien avoir quelque part quelque chose pour désactiver totalement le nat .
https://docs.netgate.com/pfsense/en/latest/nat/outbound.html
sinon,
essaie de passer l'interface vpn de wan à lan ...

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
2 déc. 2014 à 19:46

j'ai rien du tout
dans les logs

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
2 déc. 2014 à 19:56

je sais pas comment la passer de wan à lan

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829 > xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
Modifié par brupala le 2/12/2014 à 20:09

ici ?
ou alors arrêter nat et firewall cf lien précédent en bas ?

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
4 déc. 2014 à 19:04

ok

je viens de faire des tests toute la journée.

un tcpdump montre que les pcket vers l'ip du lan 10.10 passe bien par la gw 10.8.0.1, mais ils n'arrive pas au pfsense.

Je pense donc que des regles iptables ne sont pas mises

veux tu une copie des regles actuelles?

Réponse 7 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
5 déc. 2014 à 09:59

par contre, les régles:
iptables -t nat -I PREROUTING -d 10.8.0.72 -j DNAT --to-destination 10.10.X.Y
et son pendant dans l'autre sens, afin de mieux maitriser:
iptables -t nat -I POSTROUTING -s 10.10.x.Y-j SNAT --to-source 10.8.0.72

c'est sur le serveur ou sur le pfsense qu'il faut les faire?

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
5 déc. 2014 à 11:04

bah non côté client, le PC1, si j'ai bien compris...

Réponse 8 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
5 déc. 2014 à 10:52

J'ai ajouté ces règles sur le serveur Openvpn (OVH):

Cela ne fonctionne pas....

donc je suppose que je dois surement faire cela sur le pfsense en ligne de commande
sauf que la commande iptables ne fonctionne pas sur pfsense

peux tu me confirmer , stp

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
5 déc. 2014 à 11:09

le serveur est hébergé ?
je parlais côté client, c'est sur le pfsense pc1, pour les règles, voir nat 1:1
ou mieux encore à mon avis mon lien où le nat automatique est désactivé.
Mais au fond, il vaudrait bien mieux aucun nat.

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016 > brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024
5 déc. 2014 à 11:22

Salut,

merci pour ta réponse, je comprends ce que tu me dis.

Dans pfsense, au niveau nat 1:1, je n'ai rien
dans nat: outbound ,j'ai
des régles auto créees par pfsense lorsque je suis passé en mode manual outbound au lieu de automatique

faudrait il que je reste en manual outbound nt et que je supprime toutes les règles?

Cdlt

Réponse 9 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
5 déc. 2014 à 12:47

sur l'interface lan (10.10.255.254) les paquets ICMP partent bien du serveur, mais n'arrivent pas au pfsense.

j'ai voulu desactiver toutes les règles de NAT
mais les employés perdaient le net...

je suis donc revenu en arrière....

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
5 déc. 2014 à 13:28

Les employés perdaient le net ....
la connexion au net passe par le pfsense client ?
tu n'avais pas parlé de ça ...
par le vpn et le serveur aussi ?
comment sais tu que les paquets vers 10.10.255.254 tu n'as pas les paquets qui arrivent ?
comment peux tu les voir dans le vpn ?

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
Modifié par xxx31fr le 5/12/2014 à 14:19

Le pfsense sert de gateway et serveur DHCP pour le lan 1
donc, oui, la connexion au net passe par le pfsense:

internet----------fw pfsense------------lan1
--------------------client openvpn
--------------------gateway et serveur DHCP pour le lan 1

comment je sais pour les paquets vers 10.10.255.254:

avec l'outil "packet capture", j'ai possiblité de selectionner l'interface que j'écoute, et le protocole que j'écoute, je ne vois rien arrivé dessus lorsque je ping le 10.10.255.254
mais j'ai des paquets ICMP lorsque je ping le 10.8.0.72

Et, au niveau de serveur : je fais un tcpdump sur l'interface tun0 et le protocole ICMP

je vois les ping sur 10.8.0.72 : partir et revenir
je vois les ping sur 10.10.255.254 : partir et ils ne reviennent pas

Cordialement

"mais j'ai des paquets ICMP lorsque je ping le 10.8.0.72"
Ok,
c'est donc capturé après le vpn, alors ...
Le réseau 10.10.0.0/16 est bien routé vers 10.8.0.2 sur le serveur ?

oui, j'ai ajouté, dans la configuration serveur de OpenVPN les lignes suivantes:

route 10.10.0.0 255.255.0.0
client-to-client
push "route 10.10.0.0 255.255.0.0"

d'ailleurs, si je me connecte avec un deuxième client openvpn (par exemple mon pc portable), je vois, dans les logs de connexion que le serveur vpn me push bien la route 10.10.0.0/16

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
Modifié par brupala le 5/12/2014 à 17:29

ton client n'a pas à recevoir de route vers 10.10.0.0, normalement il la connait déjà,
ce n'est pas un push de route qu'il faut,
mais une route statique sur le serveur ...
10.10.0.0 /16 via 10.8.0.2 !!
on en a parlé au début,
mais que donne le traceroute 10.10.255.254 depuis pc2 ?

Réponse 10 / 10

xxx31fr Messages postés 86 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
7 déc. 2014 à 12:48

Salut,

Voila les routes sur le serveur

malgré cela, je n'ai pas acès au réseau 10.10 depuis le "PC2"

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829
7 déc. 2014 à 12:54

OK,
donc avec ça les paquets pour 10.10.0.0/16 doivent arriver sur PC1 .
après, encore une fois, il y a la nat sur pc1 ...
est ce qu'il est possible de configurer nat uniquement vers l'interface wan, mais pas sur le vpn ?
PS la route 10.8.0.0/24 sur 10.8.0.2, ça n'est pas correct, mais ça peut fonctionner en point à point, il devrait plutôt y avoir 10.8.0.1 en passerelle.

xxx31fr
7 déc. 2014 à 13:22

le problème c'est que les paquets n'arrive pas sur le pc1.

peux tu developper un peu plius ta demande sur "est ce qu'il est possible de configurer nat uniquement vers l'interface wan, mais pas sur le vpn ? "

car je suis par certain de bien comprendre ce que tu veux dire.

la route 10.8.0.0/24 sur 10.8.0.2 : est est ajouté automatiquement par Openvpn...

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829 > xxx31fr
7 déc. 2014 à 16:44

la route 10.8.0.0/24 sur 10.8.0.2 : est est ajouté automatiquement par Openvpn...
je veux bien, mais ça ne sert à rien, si c'est un push, il faut le supprimer:
Dans la logique de base du routage, pour accéder à 10.8.0.2, il faut déjà avoir une route vers 10.8.0.0/24
sur PC1,
tu dois avoir au moins 3 interfaces:
lan, wan et ton openvpn.
si tu dis que la nat impacte la connexion internet, c'est qu'elle passe par wan, je suppose, pas par openvpn ?

xxx31fr > brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024
7 déc. 2014 à 16:58

salut,

Dans la logique de base du routage, pour accéder à 10.8.0.2, il faut déjà avoir une route vers 10.8.0.0/24
la deuxiéme route n'est pas bonne?

si tu dis que la nat impacte la connexion internet, c'est qu'elle passe par wan, je suppose, pas par openvpn ? => je suppose que oui.
sinon je ne sais pas comment savoir cela.

serait il possible que l'on se contacte par email, pour que je puisse résoudre ce problème un peu plus rapidement stp?

brupala Messages postés 110525 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 novembre 2024 13 829 > xxx31fr
7 déc. 2014 à 19:36

La seconde route est suffisante en point à point oui.
Après c'est toi qui connais ton réseau.
Si tu t'inscrivais sur CCM tu verrais mon adresse mail sur mon profil ou tu pourrais m'envoyer directement des messages personnels, mais je ne fournis pas d'aide en MP. Tout doit se passer sur le forum, sinon ça ne sert à rien.
Après si tu as des précisions confidentielles à fournir il vaut mieux que ça ne soit pas trop en vue effectivement.

Discussions similaires

Installation Pfsense mauvaise? Probleme connection? update/package indisponible

télécharger pfsense

pfsense : Problème d'accès à l'interface web

Installer pfsense en 32 bits

Serveur DNS PfSense