[Résolu]-[OpenVPN] Site à site - plantage

bezourox

Bonjour à tous,

Après configuration de ma pfsense avec openVPN en mode roadwarrior (merci à ccnet), je cherche à configurer un vpn site à site.
Mes 2 pfsense sont en version 1.2.3

Mon schéma me parait classique :

LAN Site Central – pfsense -- Inernet -- pfsense -- LAN Site Secondaire
10.163.x.x        Wan PPPoE ip fixe

Au vu des logs, le tunel se monte bien.

May 3 11:10:33 openvpn[384]: /etc/rc.filter_configure tun1 1500 1546 10.0.16.1 10.0.16.2 init
May 3 11:10:33 openvpn[384]: SIGTERM[hard,init_instance] received, process exiting
May 3 11:10:35 openvpn[25654]: OpenVPN 2.0.6 i386-portbld-freebsd7.2 [SSL] [LZO] built on Dec 4 2009
May 3 11:10:35 openvpn[25654]: WARNING: file '/var/etc/openvpn_server1.secret' is group or others accessible
May 3 11:10:35 openvpn[25654]: LZO compression initialized
May 3 11:10:35 openvpn[25654]: gw 212.xx.xx.xx
May 3 11:10:35 openvpn[25654]: TUN/TAP device /dev/tun1 opened
May 3 11:10:35 openvpn[25654]: /sbin/ifconfig tun1 10.0.16.1 10.0.16.2 mtu 1500 netmask 255.255.255.255 up
May 3 11:10:35 openvpn[25654]: /etc/rc.filter_configure tun1 1500 1547 10.0.16.1 10.0.16.2 init
May 3 11:10:35 openvpn[25667]: Listening for incoming TCP connection on [undef]:1193

Et pourtant, dès que j'applique la configuration, ma pfsense sur site distant ne répond plus (ping ne répond pas, interface web inaccessible).

J'ai comme l'impression que le problème vient du proxy configuré sur la pfsense distante (squid+havp).
Quels sont les logs qui peuvent m'en dire plus ?
Pour info, j'ai suivi en parti ce tuto : http://www.osnet.eu/sites/www.osnet.eu/files/appliances/pfsense_VPN_site_a_site.pdf

ccnet

J'ai comme l'impression que le problème vient du proxy configuré sur la pfsense distante (squid+havp).

Le proxy ne concerne que les flux TCP/80 et éventuellement 443. Or le vpn SSL est en principe en UDP/1194 bien que dans votre cas il semble que ce soit le port 1193.

Pouvons nous déjà confirmer les éléments de base de la configuration de part et d'autre ?
En particulier les valeurs, dans les champs "Remote network" et "Local network" de la configuration du serveur vpn. Ces valeurs permettent de mettre en place les bonnes informations de routage.

bezourox

Côté serveur:

Protocole : TCP
Port : 1193 (le port 1194 étant utilisé pour les connexions roadwarriors)
Pool d'adresses : 10.0.16.0/24
Remote network : 10.145.7.0/24
DNS-Domainname : mondomaine.local
DNS-Server : 10.163.135.14
NTP- Server : 10.163.135.14

Je ne peux pas renseigner le "Local Network" car il est grisé…
Côté client, plus accès à l'interface graphique... je restaure ma pfsense et te basarde ça.

bezourox

Bonjour,

La suite de la configuration ci dessous.
Coté client :

Côté serveur:

Protocole : TCP
Port : 1193 (le port 1194 étant utilisé pour les connexions roadwarriors)
Adresse IP : IP publique pfsense réseau central
Interface IP : 10.145.7.0/24
Remote network : 10.163.135.0/24
Proxy Host : -
Proxy port : 3128

ccnet

Tout cela me semble correct. Il va falloir commencer à faire des captures de trames pour voir ce qui se passe vraiment sur les interfaces des différents Pfsense.
Qu'en est il du filtrage sur les interfaces VPN ? Sont elles visibles ?

bezourox

Bonjour,

Côté filtrage, rien de configuré.
Sur la pfsense serveur, j'ai autorisé any vers any sur le port 1193.
Sur la pfsense client, pas de règle de filtrage.

Dès que j'applique la configuration sur la pfsense cliente indiquée ci-dessus, cette dernière n'est plus accéssible via le réseau (ssh/http).
Comment puis je faire un des captures de trames intéressantes ? J'ai un hub à disposition, celà peut sans doute m'aider.

ccnet

Sur la pfsense serveur, j'ai autorisé any vers any sur le port 1193.

Sur l'interface wan et bien sur TCP dans votre cas ?

Comment puis je faire un des captures de trames intéressantes ?

Pfsense comporte l'utilitaire qui va bien : Diagnostics: Packet Capture. Le résultat peut être ensuite exploité avec Wireshark. Une fois le tunnel monté il faut voir sur chaque interface impliquée ce qui se passe avec un simple ping.

bezourox

Pour la pfsense serveur, Oui, TCP sur interface WAN.
De toute façon les logs de la pfsense serveur montrent bien que le tunel se monte correctement.

C'est au niveau de la pfsense cliente que ça coince, et mon problème c'est que n'ayant plus l'accès à l'interface web après activation du tunel, je ne peux pas faire de diagnostic :s

bezourox

Sur la pfsense cliente, voici ce que je vois avec pftop :

Je vois bien une connexion sur le port 1193 en TCP avec l'adresse IP publique de ma pfsense serveur.
alors pourquoi se retrouve t'elle en rideau et ne veut même plus répondre sur le réseau…

ccnet

Je vois bien une connexion sur le port 1193 en TCP avec l'adresse IP publique de ma pfsense serveur.

Il est normal qu'elle s'arrête ici puisque c'est l'extrémité de votre tunnel.

Il faudrait maintenant voir (ping) ce qui se passe si l'on tente de joindre une machine du réseau 10.163.135.0/24.

bezourox

Tests effectués depuis la pfsense cliente :

ping sur sa propre interface LAN : OK
ping de son serveur DNS : OK
ping du serveur DNS distant : ping:sendto:No buffer space available

ccnet

De quelle ip vers quelle autre ? Vous avez l'adressage en tête moi pas, je préfère des données sans ambiguïté.

ping du serveur DNS distant : ping:sendto:No buffer space available

Plus ennuyeux.
http://forum.pfsense.org/index.php/topic,5975.0.html

bezourox

Adresse IP LAN pfsense cliente : 10.145.7.17
Adresse IP WAN pfsense cliente : 10.145.7.18
Adresse IP Routeur site client : 10.145.7.252

Adresse IP LAN pfsense serveur : 10.163.135.17
Adresse IP WAN pfsense serveur : x.x.x.x (ip fixe publique)

Ping de 10.145.7.17 vers 10.145.7.17 : OK
Ping de 10.145.7.17 vers 10.145.7.1 (DNS) : OK
Ping de 10.145.7.17 vers 10.145.7.252 (paserelle) : timeout
Ping de 10.145.7.17 vers 10.163.135.14 : ping:sendto:No buffer space available

Le fait de passer par un routeur entre le WAN de la pfsense et la porte internet, est je pense une source à problème, mais plutôt au niveau du VPN en lui même.
Je ne vois pas pourquoi côté LAN de l'affaire je n'accède plus à cette pfsense…

Pour le lien qui parle de "No buffer space available", j'ai du mal à cerner le problème.

bezourox

Bonjour,

Alors je reviens après quelques recherches et tests.
J'ai détecté une première erreur en me rendant sur le site distanten question :
La pfsense est derrière un routeur et non un modem, donc la configuration ci-dessus ne pouvait pas fonctionner.
Maintenant le schéma est le suivant :

Réseau local distant  –  Lan pfsense  --  Wan pfsense  --  Routeur Netgear  --  Wan pfsense principal
10.145.7.0/24            10.145.7.17/24  192.168.1.110/24    192.168.1.100/24      IP publique fixe

Test effectués depuis la pfsense :
ping 10.145.7.17 (lan pfsense) : OK
ping 192.168.1.110 (wan pfsense) : OK
ping 10.92.168.1.100 (routeur netgear) : OK
ping www.google.fr : OK

Enfin un comportement normal, donc je reprends la mise en place de mon tunel VPN.
Et suite à l'enregistrement de la conf VPN client, de nouveau plus accès à l'interface d'administration.

Côté pfsense du site central, voici mes 2 dernières lignes de log:
Jun 15 11:25:53 openvpn[384]: Initialization Sequence Completed
Jun 15 11:26:03 openvpn[384]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.16.1 10.0.16.2', remote='ifconfig 10.145.7.1 10.145.7.2'

Je pingue la pate Lan de la pfsense (10.145.7.17) depuis tous les postes, sauf depuis le PC depuis lequel j'ai validé la conf VPN cliente…
Mais impossible depuis n'importe quel poste d'accéder à l'interface d'administration...

Certaines choses m'échappent, tout celà ne me parait pas vraiment cohérent...

bezourox

NB : 10.145.7.1 et 10.145.7.2 sont déja des adresses prises sur le réseau.
Je viens de m'apercevoir que depuis la pate Lan de la pfsense (j'y accède encore via mon vSpere client), je pingue toutes les IP locales, sauf ces 2 IP… un conflit d'adresses ?

bezourox

Bonjour,

Problème résolu.
Le problème vennait de ces adresses qui sont déjà prises sur le réseau.
Il faut rajouter dans les options de openVPN:

Coté openVPN serveur : –ifconfig 10.0.16.1 10.145.7.4;
Coté openVPN client : --ifconfig 10.145.7.4 10.0.16.1;

Cette option permet de définir les adresses IP des extrémités du tunel.

Il me reste des problèmes de filtrage, mais ça sera l'objet d'un autre post.
Merci encore ccnet