@Denis-2

Merci pour ton retour (y)

Hello

J'ai fais quelques recherches, et voici ce que j'ai trouvé. Normalement, la config de l’adresse IP de la carte WAN dépend de la façon dont votre réseau est configuré. Habituellement, la carte WAN est configurée pour recevoir une adresse IP automatiquement en DHCP, mais dans votre cas, comme vous avez un routeur/VPN (Express VPN) en amont, vous devrez configurer une adresse IP statique sur la carte WAN qui est dans le même sous réseau que votre routeur/VPN

Ce que vous pouvez tester :

Adresse IP WAN : Vous pouvez choisir une adresse IP libre dans le même sous-réseau que votre routeur/VPN. Par exemple, si votre routeur/VPN a l’adresse IP 10.184.16.2, vous pouvez choisir une adresse IP comme 10.184.16.3 pour la carte WAN de votre pfSense.

Masque de sous-réseau : Cela dépend de la taille de votre sous-réseau. Si vous utilisez un sous-réseau classique /24, le masque de sous-réseau serait 255.255.255.0.

Passerelle : C’est généralement l’adresse IP de votre routeur/VPN, dans votre cas, 10.184.16.2.

Serveurs DNS : Vous pouvez utiliser les serveurs DNS de votre choix. Certains utilisent les serveurs DNS publics de Google (8.8.8.8 et 8.8.4.4), d’autres préfèrent utiliser ceux de leur fournisseur d’accès à Internet.

N’oubliez pas de sauvegarder vos paramètres et de redémarrer pfSense pour que les changements prennent effet.

Problème réglé en ajustant le firewall, le LAN serveur accède bien au LAN client.

Il me reste un souci, j'avait une règle NAT pour rediriger un port spécifique depuis le WAN serveur vers une IP client. Cette règle fonctionnait en Site to Site Shared Key mais je ne parviens pas à la faire fonctionner sur le VPN TLS/SSL.

Capture d'écran 2024-03-11 112308.png

Qu'est ce que le passage en TLS/SSL peut avoir à voir avec cela?

Des Idées?

@Bob60

Bonjour à tous,

Pour ceux qui cherche la solution pour le problème d'OpenVPN décrit ci-dessus, j'ai eu la solution sur ce forum, partie anglophone ;-)

Il suffisait de rajouter une CSO (réécriture spécifique au client) en complément de la configuration du serveur.

https://forum.netgate.com/topic/186219/site-to-site-openvpn-routing-issue

En espérant que cela puisse servir,

Robert

@seb-nevers
Pourquoi avoir cocher "Gateway duplicates" ?
Pour cette situation avec un triangle de 3 sites ce n'est pas une obligation.
Je ferais bien un test sans cette option qui déclenche 2 connexions en phase 1 entre les deux sites (les 2 connexions au statut "Connecting").
Si le soucis n'est pas là, il faut aller regarder dans les logs du service IPSec pour trouver ce qui retourne une erreur.

@seb-nevers
Bonjour,

nous sommes une petite structure avec environ 3000 étudiants et 300 personnels.

Nous avons des Netgate/pfSense en HA avec des sites à sites en OpenVPN et IPSec, plusieurs dizaines de VLAN, une centaine de connexions VPN pour le télétravail, le FreeRADIUS, le serveur DHCP.

Nous n'utilisons pas SquidGuard mais le package pfSense pfBlocker DNSBL à la place, qui récupère aussi les fichiers de blacklist.

Tous les logs du firewall sont envoyés sur un serveur de log en cas de perquisition.

Pour le portail captif, l'authentification passe par OpenLDAP mais de l'AD fonctionnerait aussi.

Pour la formation, si vous êtes en Europe, je pense que Provya ou Viatitude devraient pouvoir vous proposer cela, mais avec un compte CPF, je ne sais pas.

Pour la partie hardware, nous avons des Netgate 7100 HA mais nous allons passer à du serveur Dell plus puissant car avec notre population, les 7100 sont un peu légers au niveau CPU.

Nous utilisons pfSense depuis 2009 et ça a toujours fait le travail.
Le TAC est au top, très réactif.

La version de pfSense que nous utilisons est la pfSense Plus.

Bonne journée.

@Tueurdragon

Avec des interfaces en 10G, il est grand temps de passer à un firewall physique et non virtuel.

Je ne vois aucun intérêt à disposer d'un firewall avec 256G de disque ...

Je vous informe qu'en virtualisant, il y a forcément des problèmes réseau du fait de la virtualisation et de problèmes de drivers notamment avec un gros trafic.
D'où la nécessité d'aller à un firewall physique (avec des interfaces réseau bien reconnues par BSD ...).

Mes excuses. j'ai manqué de préciser qu'au niveau des sous réseaux des VLANs que c'était aussi du 192.168 (ça tombait sous le sens pour moi vu que j'avais dit que le LAN était 192.168.33.0/24😅 donc je n'ai pas pas pris le temps de réécrire 192.168 devant)

Je reprends.

Réseau LAN: 192.168.33.0/24.
Gateway: 192.168.33.110 (addresse du pfsense)
DHCP et DNS un windows server en 192.168.33.210

Réseau VLAN 45: 192.168.200.0/24 (réseau mis en place pour tests)
Gateway : 192.168.200.1 (Ip du pfsense)
DHCP range (192.168.200.10-192.168.200.20)
DNS: 192.168.200.1 (Le pfsense)

Réseau VLAN 180: 192.168.35.0/24 (Réseau de téléphonie)
Gateway : 192.168.35.1 (Ip du pfsense)
DHCP range (192.168.35.10-192.168.35.230)
DNS: 192.168.35.1 (Le pfsense)

Réseau VLAN 170: 192.168.192.0/24 (Sert à un seul équipement et sort via une IP publique différente des autres réseaux)
Gateway : 192.168.192.254 (Ip du pfsense)
DHCP range (192.168.192.10-192.168.192.20)
DNS: 192.168.200.1 (le pfsense)

Réseau VLAN 180: 192.168.36.0/24 (Réseau Wifi public)
Gateway : 192.168.36.1 (Ip du pfsense)
DHCP range (192.168.36.10-192.168.36.200)
DNS: 192.168.36.1 (Le pfsense)

@Lanstack said in VPN Ipsec - relay DHCP : NOK:

https://goopics.net/i/ntusa5

Le lien de mon lab : https://goopics.net/i/ntusa5

@F4FAQ_Xavier said in Coupure interface reseau:

Atom(TM) CPU D525

Ce processeur date de 2010.

Logiquement les drivers associés aux ports Ethernet doivent être capables de passer le débit.
Mais c'est le processeur qui fait tourner le code des drivers ...
Les drivers utilisent de la mémoire comme tampon, y en a-t-il assez ?

Il est possible qu'un boitier plus moderne fasse correctement passer ce débit, même avec un simple Celeron ...
Il y a eu des fils sur des boitiers modernes et peu couteux ...

@jdh merci pour ton intérêt à mon poste et j’adore la phrase d’einsten !

En gros j’ai un utilisateur en interne qui accède à un logiciel sur un serveur et il y accède avec une ip fixe qui est dans le réseau 192.168.13.0/24 sauf que mon vpn me fournis une ip en 10.0.8.0/24. Du coût il ne peut pas accéder au serveur.

J’ai enfin trouvé !

@mr_nets

waiiiii!!!!!!!!!!!!! super!!!!!!!!!!!!!!!!!!! le cadeau de Noël!!!!!

merci pour votre aide

@Gertjan
Merci pour vos conseils. Enfaite c'est l'aviation civile donc ce n'est pas un wifi "public". Il est pour ceux qui viennent passer leur brevet de pilotage, des employés d'autres sites qui viennent etc. Les comptes qui ont accès au portail sont créées par des "secrétaire". On fait partie d'un ministère et mon maitre de stage m'a dit qu'il doit être en mesure de tout fournir en cas d'audit ou quelque chose comme ça. Moi j'applique ce qu'on me demande. De même, il était partit sur 0 dépense, sauf pour un potentiel certificat, il a fait une exception.
On va dire que la demande est de filtrer des sites, logs et un portail captif. Ils ne veulent pas analyser 24h/24 (enfin je pense 😁 ).

Pense-tu que PfblockerNG pourrai faire office de bloqueur de site, vu qu'il travail au niveau DNS, il déchiffre pas les trames HTTPS.

J'ai vu pour squid qui n'est plus supporté, je trouve ça étrange, dans pfsense il y a la version 0.4.46 et sur le site la dernière version c'est la 6.5 qui date du 7 décembre ... Mais vu que j'ai pas de chance, je le vois à la fin après avoir passé 2 jours sur un doc word clean 🤣

Merci et bonne soirée