PfSense OpenVPN problème de routage, NAT
-
Est ce bien utile d'avoir ces routes ?
- la route 10.25.10.1/32 est déjà incluse dans 10.25.10.0/24 !
La seule route utile est le réseau distant via l'ip (tunnel) du firewall distant.
ex :
zone G : lan = 192.168.55.0/24; fw lan 192.168.55.254/24; fw tunnel 10.0.8.2
zone D : lan = 192.168.133.0/24; fw lan 192.168.133.1/24; fw tunnel 10.0.8.4de G vers D, la route est 192.168.133.0/24 via 10.0.8.4
de D vers G, la route est 192.168.55.0/24 via 10.0.8.2à adapter …
-
@jdh:
Est ce bien utile d'avoir ces routes ?
- la route 10.25.10.1/32 est déjà incluse dans 10.25.10.0/24 !
La seule route utile est le réseau distant via l'ip (tunnel) du firewall distant.
ex :
zone G : lan = 192.168.55.0/24; fw lan 192.168.55.254/24; fw tunnel 10.0.8.2
zone D : lan = 192.168.133.0/24; fw lan 192.168.133.1/24; fw tunnel 10.0.8.4de G vers D, la route est 192.168.133.0/24 via 10.0.8.4
de D vers G, la route est 192.168.55.0/24 via 10.0.8.2à adapter …
Je n'ai jamais créer une seule de ces routes… C'est pfSense et OpenVPN qui m'ont pondus ces routes... Je voudrais bien supprimer les routes plus précises, mais comment ? Je ne vois pas de moyens de suppression.
Je ne vois pas ce que je peux adapter ne sachant pas modifier ces routes générées toutes seules
-
Je n'ai jamais créer une seule de ces routes…
Donc les routes se créent par réception des "push route" !
Je pense qu'il y a trop de route créées : 3 réseaux semblent accessibles !
-
@jdh:
[Donc les routes se créent par réception des "push route" !
Je pense qu'il y a trop de route créées : 3 réseaux semblent accessibles !
[/quote]J'ai un peu fait le ménage, notamment dans la configuration client OpenVPN et maintenant je n'ai plus que ceci :
10.25.5.0/27 10.25.10.5 UGS 0 44 1500 ovpnc1 10.25.10.0/24 10.25.10.5 UGS 0 10 1500 ovpnc1 10.25.10.1/32 10.25.10.5 UGS 0 0 1500 ovpnc1 10.25.10.10 link#16 UHS 0 0 16384 lo0Mais mon problème reste identique quand au ping. Ça cale toujours au même endroit
-
Cela fait toujours 3 réseaux accessibles via cette gateway ! Ce sont les push route qu'il faut nettoyer !
Moi, je configurerai le serveur sans aucune push route, puis "connexion" puis vérif des routes côté client, …
-
@jdh:
Cela fait toujours 3 réseaux accessibles via cette gateway ! Ce sont les push route qu'il faut nettoyer !
Moi, je configurerai le serveur sans aucune push route, puis "connexion" puis vérif des routes côté client, …
Ok j'ai mis un route-nopull dans la config client et à présent je n'ai plus qu'une GW allant vers le réseau distant :
10.25.5.0/27 10.25.10.5 UGS 0 0 1500 ovpnc1 10.25.10.5 link#16 UH 0 27 1500 ovpnc1 10.25.10.6 link#16 UHS 0 0 16384 lo0De ce côté la ça parait propre. Par contre mon ping de 10.30.100.50 vers 10.25.5.5 reste bloqué après la sortie de la première interface LAN (réseau 10.30.100.50/24) :
14:48:35.115193 IP 10.30.100.50 > 10.25.5.28: ICMP echo request, id 1, seq 30, length 40Si je fais un packet capture sur l'interface ovpnc1, je ne vois rien arriver. Ni de ping request ni de ping reply. Comme si il ne savait pas quelle route prendre… Pourtant comme montré ci-dessus, il sait que pour accéder au réseau 10.25.5.0/27 il doit passer par 10.25.10.5. Tiens au fait pourquoi il veut utiliser 10.25.10.5 comme GW ? Ce n'est pas 10.25.10.1 qu'il faudrait ?
-
Côté client, vous refusez les routes, pourquoi pas, mais au moins ajouter la seule bonne route nécessaire sinon pfSense ne sait pas par où passer !
Si je fais un packet capture sur l'interface ovpnc1, je ne vois rien arriver. Ni de ping request ni de ping reply. Comme si il ne savait pas quelle route prendre… Pourtant comme montré ci-dessus, il sait que pour accéder au réseau 10.25.5.0/27 il doit passer par 10.25.10.5. Tiens au fait pourquoi il veut utiliser 10.25.10.5 comme GW ? Ce n'est pas 10.25.10.1 qu'il faudrait ?
La bonne passerelle est, forcément, l'ip tunnel du côté opposé : 10.25.10.5 !
Attention, il est bien sûr nécessaire d'avoir des Firewall > Rules nécessaires dans l'onglet voulu (OpenVPN) !
-
@jdh:
Côté client, vous refusez les routes, pourquoi pas, mais au moins ajouter la seule bonne route nécessaire sinon pfSense ne sait pas par où passer !
La bonne passerelle est, forcément, l'ip tunnel du côté opposé : 10.25.10.5 !
Attention, il est bien sûr nécessaire d'avoir des Firewall > Rules nécessaires dans l'onglet voulu (OpenVPN) !
Donc si la bonne GW est 10.25.10.5, je suis bon au niveau des routes avec ce que j'ai montré dans mon post précédent, non ?
Dans le firewall, pour l'interface OpenVPN, ovpnc1 et LAN, j'autorise tout :
Sans succès :-\
-
Il faut savoir interpréter la sortie de la commande 'route' (sous BSD) :
UH -> désigne un Host accessible
UGS -> désigne un réseau accessible par une GatewayLe serveur sait-il bien accéder à une machine de ce réseau (étroit) 10.25.5.0/27 (soit de 10.25.5.1 à 10.25.5.31) ?
-
@jdh:
Le serveur sait-il bien accéder à une machine de ce réseau (étroit) 10.25.5.0/27 (soit de 10.25.5.1 à 10.25.5.31) ?
Oui, si je ping depuis l'interface ovpnc1, j'ai bien des réponses aux ping.
C'est quand je ping depuis une autre interface (comme LAN) que ça ne fonctionne plus