Double NAT et OpenVPN
-
J'ai modifié la configuration du nat, pour n'avoir que la gateway pour l'interface wan.
Cependant les paquets (tcp/udp) ne parviennent pas à l'interface WAN de pfsense.
Cela doit être un problème de NAT/PAT sur mon routeur mikrotik que je ne maitrise pas encore.
Je vous tiendrais aux nouvelles des avancements.
-
Le plus simple est de router, sans filtrage tout le trafic vers l'interface Wan. Tants que cela n'est pas fait, tant qu'on ne voit pas les paquets UDP/1194 sur wan il n'y a rien à espérer.
-
J'ai NATé l'IP publique sur l'IP privée sur le routeur (cf. piece jointe) et ajouter une régle pour que "tout" passe.
Mais ce n'est pas trés convaincant …
Si je fais un scan de port sur l'ip publique le port 1194 n'est pas ouvert.
Edit: Je viens de penser (ca m'arrive :D) à un truc possible, doit-on ajouter une route sur le routeur pour le "tunnel network" configurer dans openvpn?
-
doit-on ajouter une route sur le routeur pour le "tunnel network" configurer dans openvpn?
Non. C'est un tunnel le routeur ne voit pas les ip du tunnel.
Il serait plus simple d'avoir l'ip publique sur l'interface wan de Pfsense.
Il faudrait vous assurer de ce que l'interface wan de votre routeur accepte réellement. Peut être filtre t elle le trafic entrant, peut être même n'en accepte t elle aucun ? -
Le problème est que si je met une IP pub sur l'interface WAN je ne peux pas définir une gateway différente sur pfsense.
Par contre je suis en tcp/1194 pour openvpn je vais essayer en udp car certains routeur ne veulent pas router les paquets tcp sur le port 1194 ( De ce que j'ai vu sur le net, info ou intox ?)
-
Le problème est que si je met une IP pub sur l'interface WAN je ne peux pas définir une gateway différente sur pfsense.
Il est certain que cela change la configuration de wan. Votre isp peut voir dire quelle est la gateway à employer. Un simple tracert www.google.fr vous le montrera probablement.
Par contre je suis en tcp/1194 pour openvpn je vais essayer en udp car certains routeur ne veulent pas router les paquets tcp sur le port 1194 ( De ce que j'ai vu sur le net, info ou intox ?)
Intox ou explications maladroites. C'est juste une question de paramétrage du routeur. Le routeur fait ce qu'on lui demande de faire. Le vpn en tcp n'a aucun intérêt. Cela diminue les performances on augmentant la surcharge protocolaire.
-
J'ai obtenu des ip via un SNAT et donc mon trafic est redirigé vers une autre ip privée.
Je n'ai donc pas de gateway sous le même sous réseau que mon ip publique.
Je pourrais faire du 1:1 mais c'est la solution de facilité et puis sa me plait pas cette méthode.
Je continu mes tests ;D
-
Je dois bien dire que j'ai du mal à vous suivre. Mais si vous savez où vous allez …
-
Je maitrise pas tout les rouages du réseau et faut dire que je m'y perd également …
Pour faire simple, j'ai une interface physique sur mon routeur qui possède 2 IP.
Une IP en privé connecté sur un routeur du FAI et une IP publique qui est "NATé" sur la même passerelle.
Je vais essayer de démêle ce sac de nœud avec mon responsable la semaine prochaine ...
-
Un schéma peut être ?
-
Mais biensur ;D
-
Une démarche simple et saine serait de connecter l'interface eth2:1 en 5.x.x.x du routeur FAI sur l'interface wan de pfsense. En l'état des informations disponibles le routeur R1 ne sert à rien. Et puis ces deux liens entre les deux routeurs … quelle utilité ? A part générer des problèmes.
Sur les gateways je ne vous comprend pas bien. Ce que je comprend :
192.10.x.x/24 a pour gateway eth3 sur Pfsense.
La machine 10.x.x.2 devrait avoir pour gateway 10.x.x.1 (interface Pfsense) mais quid réellement ?
Dans cette configuration avec juste des règles vues plus haut sur wan et sur l'interface openvpn tout devrait fonctionner sans problème.Juste une chose comment faite vous vos tests pour le vpn ?
Avec toute les réserves que je réitère pour l'installation de Pfsense sur un ESX ...
-
Une démarche simple et saine serait de connecter l'interface eth2:1 en 5.x.x.x du routeur FAI sur l'interface wan de pfsense.
Je le conçois mais il me faut l'autorisation du "boss". A voir la semaine pro…
En l'état des informations disponibles le routeur R1 ne sert à rien.
Pour l'instant les PCs du LAN ont comme passerelle le routeur R1 est non pas PFSENSE.
Et puis ces deux liens entre les deux routeurs … quelle utilité ? A part générer des problèmes.
C'est simple R1 est dans nos locaux et l'autre c'est pas nous qui le gérons.
Ce que je comprend :
192.10.x.x/24 a pour gateway eth3 sur Pfsense.
La machine 10.x.x.2 devrait avoir pour gateway 10.x.x.1 (interface Pfsense) mais quid réellement ?1.Non l'interface du routeur R1 pour l'instant (sinon je casse toute la prod …)
2.Oui c'est le cas ! mais 10.x.x.1 n'a quand à lui pas de gateway.Juste une chose comment faite vous vos tests pour le vpn ?
Pour testé le VPN j'utilise un pc du LAN en wifi qui est sous un sous réseau différents. ( il récupère comme IP pub une IP différente de 5.X).
Il m'indique connexion refused, mais trouve bien l'ip.Avec toute les réserves que je réitère pour l'installation de Pfsense sur un ESX ..
C'est un casse tête c'est vrai, mais ca me permet d'apprendre pas mal de chose.