OpenVpn 2 site et clients mobiles

ben.lgrs

Bonjour a tous

Je debute sur PfSense

Je souhaite réaliser un OpenVPN avec plusieurs site et j'ai des difficultés pour raccorder tout le monde
Voici ma config
1 PfSense sur le site A
1 PfSense sur le Site B
x Clients OpenVPN mobile

A et B son relier en OpenVPN Site-on-Site
le client mobile se connecte au site B et on besoin d’accéder au site A et B

Site A : LAN 192.168.1.0/24
            WAN PPOE
            OPENVPN Site-on-Site 192.168.200.0/24

Site B : LAN 192.168.2.0/24
            WAN PPOE
            OPENVPN Site-on-Site 192.168.200.0/24
            OPENVPN clients Mobile 192.168.201.0/24

ma liaison entre A et B est fonctionnel
ma liaison entre mes clients mobile en B fonctionne.

par contre mon Pb est pour que mes clients qui se connectent en mobile sur B, accède a A via le VPN Site-on-Site. et la je seche …

J'ai configuré tout de base avec les rules pour les VPN par contre je ne sais pas comment configurer pour "l'interconnexion" du VPN Site-a-Site avec le VPN "Mobile"

Merci par Avance pour votre aide

ccnet

Vous ne dites rien de ce que vous avez mis en place en terme de routage. Il y a quand même  quelques points à traiter.

ben.lgrs

Merci pour votre réponse
Justement c'est ma question, je comprend pas vraiment comment configurer les route dans Pfsense.
j'ajoute une commande route dans le VPN ou il faut configurer dans le menu route de pfsense ?
Merci pour votre aide.

baalserv

Bonjour,

Les routes statique dans pfsense ne concerne que les réseau qui ne sont PAS gérer par pf

Pour OpenVpn, il faut indiquer au client ''l'existence'' d'un ou autre réseau ainsi que la gateway permettant d'y arriver; cela se fait avec la commande optionnelle : push route

Cordialement

ben.lgrs

Merci pour la réponse

Je test ça ce soir

ben.lgrs

Donc j'ai fait mon test
j'ai ajouter la route de mon réseau A sur mon client mobile (avec push route)
J'ai vérifier, la liaison entre A et B fonctionne dans les deux sens, la liaison du client mobile vers B fonctionne et par contre de mon client mobile vers A rien a faire.
faut il que je déclare la route en manuel ?

Merci pour votre aide

baalserv

Bonjour,

Il manque dans votre fil beaucoup d'informations (règles de fw des interfaces, configurations exactes d'Ovpn coté serveur ET clients, logs, …)

Merci de faire l'effort d'utiliser le formulaire en vigueur, il est la pour faire gagner tu temps à tous et donc surtout à vous !

Cordialement

ben.lgrs

Salut a tous, merci pour vos réponse et voici plus de détails.

Donc voici ma config exacte (Sauf oublis de ma part… ;) )

J'ai désactiver l'IPv6 sur tout mon réseau

--- Site A ---
LAN 192.168.100.1/24
Open VPN Client Peer-to-Peer(SharedKey) UDP/tun Compression activé
IPv4 Tunnel Network 192.168.248.0/30
IPv4 Remote Network/s 10.1.1.0/24
Advanced : Rien

Rules WAN : de base Pfsense
Rules LAN : de base Pfsense (Anti-Lockout Rule) +
action:pass, Interface:LAN, TCP/IPv4, Protocol:any, Source:LANnet, Destination:any
Rules OpenVPN
action:pass, Interface:OpenVPN, TCP/IPv4, Protocol:TCP, Source:any, Destination:any, Destination port range:any

Firewall: NAT: Outbound  : Manual
Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:any, Translation: Interface address (Créé par mes soins)
Interface:WAN, Protocol:any, Source:192.168.247.0/24, Destination:any, Translation: Interface address (Créé par mes soins)
Interface:WAN, Protocol:any, Source:192.168.248.0/24, Destination:any, Translation: Interface address (Créé par mes soins)

--- Site B ---
LAN 10.1.1.1/24
Open VPN server Peer-to-Peer(SharedKey) UDP/tun Compression activé (Site A)
IPv4 Tunnel Network 192.168.248.0/30
IPv4 Remote Network/s 10.1.1.0/24
Advanced : Rien

Open VPN server Remote Access SSL/TSL + User Auth UDP/tun Compression activé (Road Warrior)
IPv4 Tunnel Network 192.168.247.0/24
IPv4 Remote Network/s 10.1.1.0/24
Dynamic IP : actif
Address Pool : actif
Advanced :  push "route 192.168.248.0 255.255.255.0";
  push "route 192.168.100.0 255.255.255.0 192.168.248.1";

Rules WAN : de base Pfsense + Ouverture pour les port OpenVPN
Rules LAN : de base Pfsense (Anti-Lockout Rule) +
action:pass, Interface:LAN, TCP/IPv4, Protocol:any, Source:LANnet, Destination:any
Rules OpenVPN
action:pass, Interface:OpenVPN, TCP/IPv4, Protocol:TCP, Source:any, Destination:any, Destination port range:any

Firewall: NAT: Outbound  : Manual
Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:port-500, Translation: Interface address Static port (Auto created rule for ISAKMP - LAN to WAN)
Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:any, Translation: Interface address (Auto created rule for LAN to WAN)
Interface:WAN, Protocol:any, Source:127.0.0.0/8, Destination:any, Translation: Interface address port:1024:65535(Auto created rule for localhost to WAN)
Interface:WAN, Protocol:any, Source:192.168.248.0/24, Destination:any, Translation: Interface address (Auto created rule for OpenVPN server)
Interface:WAN, Protocol:any, Source:192.168.247.0/24, Destination:any, Translation: Interface address (Auto created rule for OpenVPN server)
Interface:WAN, Protocol:any, Source:192.168.100.0/24, Destination:any, Translation: Interface address (Créé par mes soins)

--- Road-Warrior vers Site B ---

Config de base avec l'export-OpenVPN de Pfsense et client exécuté en administrateur

Donc :
la communication entre le Site A et le Site B fonctionne dans les deux sens.
la communication entre le Road-Warrior et le site B Fonctionne comme voulu.
par contre la communication du Road-Warrior et le site A (Via le site B) ne fonctionne pas.

Merci par avance pour votre Aide en espérant que toutes ces informations seront claires

ccnet

1 . vérifier la table de routage du client lorsque le tunnel est actif. Cela permet de vérifier que les commandes push route sont effectives. Les clients VPN doivent contenir les instruction route-méthode exe et route-délayage 2. Important avec Windows Steven, lire la doc du client open vpn sur ce point.

2. Sur Pfsense site B il faut une route active pour joindre le lan (ou tout autre réseau) de site A. Une route statique peut être configurée dans Pfsense.
Et bien sur il faut une route retour sur Pfsense site À pour joindre le réseau VPN.

3. Basiquement je ne vois pas de justification à ces règles outbound nat. Sous réserve d'informations complémentaires, elles ne servent à rien.

4. Pourquoi un /30 sur 192.168.248.0 ? D'autant que plus loin il est utilisé en /24.

push "route 192.168.100.0 255.255.255.0 192.168.248.1"

Vous êtes sûr ?

Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:port-500, Translation: Interface address Static port (Auto created rule for ISAKMP - LAN to WAN)

Vous faites de l'ipsec ?

A mon avis on remet tout à plat et on réfléchi papier crayon avant de toucher à la configuration. La configuration actuelle donne une impression assez confuse. Et pas un mot sur l'adressage wan !