Problème d'attribution de passerelle OpenVPN
-
Bonjour à tous,
Dans le cadre d'un projet pour mes études (étudiant en informatique) je souhaitais monter un réseau ou des utilisateurs nomades pouvaient se connecter via une solution VPN avec OpenVPN avec authentification LDAP via un Windows Server 2008 R2.
J'ai donc mis en place l'infrastructure suivante :
Une machine cliente en Windows 7 32 bits qui dispose d'une IP fixe en 192.168.100.1 (dans le cadre de mes tests je l'ai mise dans le mémé réseau que la carte WAN par facilité)
Pfsense (version 2.2) qui à deux interfaces :
-Une WAN en 192.168.100.100
-Une LAN en 192.168.1.10Le réseau VPN est en 10.0.8.0 /24.
Un serveur Windows 2008 R2 dans le LAN avec comme ip 192.168.1.1.
La connexion VPN se fait correctement, l'authentification LDAP fonctionne et la machine cliente reçoit bien une adresse IP en 10.0.8.x. mais ne recoit pas de passerelle par défaut ! (Analyse faite en lancant un ipconfig sur la machine)
Quand je fais un ifconfig sur le serveur pfsense j'ai :ovpns1: flags=8051 <up,pointtopoint,running,multicast>metric 0 mtu 1500 options=80000 <linkstate>inet6 fe80…etc
inet 10.0.8.1 ==> 10.0.8.2 netmask 0xffffffff
ND6 options=23 <performnud,accept_rtadv,auto_linklocal>Opened by PID 8197.Test effectué:
Une fois la connexion VPN établie, je ping bien la 10.0.8.1 qui, je pense doit correspondre à la passerelle. La 10.0.8.2 ne répond pas au ping. D'ailleurs à quoi sert t'elle? :o
Via l'interface graphique, j'ai essayé en cochant "Redirect Gateway Force all client generated traffic through the tunnel" mais sans succès.
J'ai également rajouté un push "route 192.168.1.0 255.255.255.0". Sans succès également.
J'ai modifié le fichier de conf d'OpenVPN en ajoutant redirect-gateway def1. Sans Succès.
L'install OpenVPN a été faite une fois sans et une fois avec les droits administrateurs.
J'ai a tout hasard essayé avec une machine sous XP et pareil, pas de passerelle d'attribuée.
J'ai beau regardé en long en large et en travers je ne vois pas ou est le problème!
En espérant avoir été assez précis, je vous remercie par avance de l'aide que vous m'apporterez :)
Cordialement,</performnud,accept_rtadv,auto_linklocal></linkstate></up,pointtopoint,running,multicast>
-
Comme tu l'as dis ton réseau VPN est en 10.0.8.0/24 donc les adresse 10.0.8.1 et 10.0.8.2 sont t'es adresse de tunnel.
Une côté pfsense qui devrais être la .1 et une autre côté Windows qui devrais être .2 (je suppose).
Avec un ipconfig tu devrais avoir une carte Tun0 sur ton Windows.As-tu bien désactivé le FW Windows ? Si .2 est bien ton interface Windows c'est fort probable que celui-ci bloque les pings.
Au niveau des route elle devrais être automatiquement Pushé sur ton client. Quel type de VPN as-tu monté ?
-
la machine cliente reçoit bien une adresse IP en 10.0.8.x. mais ne recoit pas de passerelle par défaut ! (Analyse faite en lancant un ipconfig sur la machine)
Il serait judicieux de fournir de résultat des commandes :
- ipconfig /all
- route print
Avec ces infos, nous pourrions effectivement voir si la passerelle n'est pas fournie … parce que ce serait TRES étonnant.
(une config normale fourni bien la passerelle "de base")
NB : il est notable que 'openvpn-gui' doit être lancé en administrateur sinon les routes ne peuvent être ajouté, et c'est maintes fois rappelé !
-
Bonjour à vous deux,
Tout d'abord merci de votre aide!
Lolight, j'ai oublié de le spécifier mais oui, mon firewall est désactivé. Je ne comprends pas le sens de ta question quand tu me demandes comment est monté mon VPN. Si tu veux savoir si l'authentification se fait par un certificat la réponse est oui.
Voici les résultats demandés :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>ipconfig /all
Configuration IP de Windows
Nom de l'hôte . . . . . . . . . . : client-PC
Suffixe DNS principal . . . . . . : SIO.local
Type de noeud. . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS.: SIO.localCarte Ethernet Connexion au réseau local 2 :
Suffixe DNS propre à la connexion. . . : SIO.local
Description. . . . . . . . . . . . . . : TAP-Windows Adapter V9
Adresse physique . . . . . . . . . . . : 00-FF-09-27-67-EA
DHCP activé. . . . . . . . . . . . . . : Oui
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::3d66:881d:99f5:bd23%15(préféré
)
Adresse IPv4. . . . . . . . . . . . . .: 10.0.8.6(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.252
Bail obtenu. . . . . . . . . . . . . . : mercredi 15 avril 2015 16:42:59
Bail expirant. . . . . . . . . . . . . : jeudi 14 avril 2016 16:42:59
Passerelle par défaut. . . . . . . . . :
Serveur DHCP . . . . . . . . . . . . . : 10.0.8.5
IAID DHCPv6 . . . . . . . . . . . : 251723529
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1C-9A-01-80-08-00-27-DE-55
-01
Serveurs DNS. . . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS sur Tcpip. . . . . . . . . . . : ActivéCarte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
Adresse physique . . . . . . . . . . . : 08-00-27-DE-55-01
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::38d5:9786:b827:effc%10(préféré
)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.1(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 235405351
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1C-9A-01-80-08-00-27-DE-55
-01
Serveurs DNS. . . . . . . . . . . . . : 192.168.1.1
NetBIOS sur Tcpip. . . . . . . . . . . : ActivéCarte Tunnel isatap.{88B885F9-3B44-4E1C-88F4-44B331D8DE5B} :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : OuiCarte Tunnel Teredo Tunneling Pseudo-Interface :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : OuiCarte Tunnel isatap.SIO.local :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . : SIO.local
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : OuiC:\Users\administrateur>
Ci dessous le route print :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>route print
Liste d'Interfaces
15...00 ff 09 27 67 ea ......TAP-Windows Adapter V9
10...08 00 27 de 55 01 ......Carte Intel(R) PRO/1000 MT pour station de travail1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
10.0.8.0 255.255.255.0 10.0.8.9 10.0.8.10 20
10.0.8.8 255.255.255.252 On-link 10.0.8.10 276
10.0.8.10 255.255.255.255 On-link 10.0.8.10 276
10.0.8.11 255.255.255.255 On-link 10.0.8.10 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 10.0.8.9 10.0.8.10 20
192.168.100.0 255.255.255.0 On-link 192.168.100.1 266
192.168.100.1 255.255.255.255 On-link 192.168.100.1 266
192.168.100.255 255.255.255.255 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 10.0.8.10 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.100.1 266
255.255.255.255 255.255.255.255 On-link 10.0.8.10 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
1 306 ::1/128 On-link
10 266 fe80::/64 On-link
15 276 fe80::/64 On-link
10 266 fe80::38d5:9786:b827:effc/128
On-link
15 276 fe80::3d66:881d:99f5:bd23/128
On-link
1 306 ff00::/8 On-link
10 266 ff00::/8 On-link
15 276 ff00::/8 On-linkItinéraires persistants :
AucunC:\Users\administrateur>
Que sont ces passerelles??
Au vu de ce dernier j'ai lancé un tracert dont voici le résultat :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>tracert 192.168.1.1
Détermination de l'itinéraire vers 192.168.1.1 avec un maximum de 30 sauts.
1 3 ms 2 ms 2 ms 10.0.8.1
2 * * * Délai d'attente de la demande dépassé.
3 * * * Délai d'attente de la demande dépassé.
4 * * * Délai d'attente de la demande dépassé.
5 * * * Délai d'attente de la demande dépassé. -
Re,
Je viens d'enlever la ligne redirect-gateway def1 de mon fichier de conf.
Seule changement : l'adresse IP qui est en .10
Cordialement,
-
Il y a des trucs que je ne comprends pas bien dans ta conf (mais j'ai lu ça assez rapidement) ni dans les tests que tu fais: tu nous parles de 10.0.8.1 alors que la route dont tu sembles hériter via la connexion VPN semble être 10.0.8.9 (ta machine étant, sur TAP, en 10.0.8.10
-
Bonjour Chris4916,
Dans mes tests je parle de la 10.0.8.1 mais pas de la 8.9 que j'ai découverte en faisant les tests proposés.
-
Dans le paramétrage du serveur OpenVPN, on indique un réseau, dans la doc c'est 10.0.8.0/24.
Mais dans la pratique, pour éviter de discuter avec d'autres clients VPN, il y a un 'sous'-réseau qui est utilisé : masque 255.255.255.252 -> 2 machines seulement : le serveur et le client !Il est parfaitement anormal qu'aucune passerelle ne soit fournie ! (Moi, pour tous les pfSense que j'ai installé, elle était fournie !)
Il est notable que la config OpenVPN côté serveur et côté client est importante : le fichier de conf serveur est réputé correcte, quelle est la config client : fichier .ovpn ?
-
Je ne peux que confirmer deux aspects cruciaux côté client :
1. Exécution en tant qu'administrateur.
2. Contenu du fichier de configuration. -
@jdh:
Dans le paramétrage du serveur OpenVPN, on indique un réseau, dans la doc c'est 10.0.8.0/24.
Mais dans la pratique, pour éviter de discuter avec d'autres clients VPN, il y a un 'sous'-réseau qui est utilisé : masque 255.255.255.252 -> 2 machines seulement : le serveur et le client !Exact.. si il n'y a qu'un seul client.
Dans le cas ou plusieurs clients sont attendus, il faut bien sûr adapter le masque.
Ceci est vrai dans le cas de clients VPN "end-users" mais également lorsqu'on construit des réseaux VPN "site-to-site":- pour un réseau mesh, un masque "étroit" limite le scope
- pour un réseau "hub & spoke" il faut là aussi adapter son masque au nombre de clients
En revanche, dans ma compréhension, la taille du masque ne présume pas de la capacité des différents clients VPN à communiquer entre eux. Ceci est géré par le serveur VPN. Me trompe-je ?
Il est parfaitement anormal qu'aucune passerelle ne soit fournie ! (Moi, pour tous les pfSense que j'ai installé, elle était fournie !)
Si je lis bien ce que nous montre Tony, il y a bien une passerelle en 10.0.8.9 ;-)
-
Une fois la connexion VPN établie, je ping bien la 10.0.8.1 qui, je pense doit correspondre à la passerelle. La 10.0.8.2 ne répond pas au ping. D'ailleurs à quoi sert t'elle? :o
Si 10.0.8.2 ne répond pas au ping et que l'on regarde t'es route, comme la souligné Chris4916 on vois une GW en 10.0.8.9
Si tu a laissé le masque de ton tunnel en /24 il est possible que la GW en .9 et pas en .2 comme on pourrais s'y attendre.Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.
-
Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.
Le premier point pour savoir de quoi on parle consiste à vérifier le fichier de configuration côté client.
Puis les logs côté client lors de l'établissement d'une connexion.
Nous répétons : un push route ne sert à rien si le client vpn est incapable de modifier la table de routage côté client. Le cas échéant cela se voit dans les logs. -
Bonjour à tous,
Ci dessous le fichier de conf avant l'établissement de la connexion:
dev tun
persist-tun
persist-key
cipher BF-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 192.168.100.100 1194 udp
lport 0
auth-user-pass
ca pfSense-udp-1194-ca.crt
tls-auth pfSense-udp-1194-tls.key 1
ns-cert-type server -
Re,
Une fois connecté, voici le log :
Thu Apr 16 12:43:39 2015 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
Thu Apr 16 12:43:39 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Enter Management Password:
Thu Apr 16 12:43:47 2015 Control Channel Authentication: using 'pfSense-udp-1194-tls.key' as a OpenVPN static key file
Thu Apr 16 12:43:47 2015 UDPv4 link local (bound): [undef]
Thu Apr 16 12:43:47 2015 UDPv4 link remote: [AF_INET]192.168.100.100:1194
Thu Apr 16 12:43:47 2015 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Thu Apr 16 12:43:47 2015 [SERVER_VPN] Peer Connection Initiated with [AF_INET]192.168.100.100:1194
Thu Apr 16 12:43:50 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Apr 16 12:43:50 2015 open_tun, tt->ipv6=0
Thu Apr 16 12:43:50 2015 TAP-WIN32 device [Connexion au réseau local 2] opened: \.\Global{092767EA-5056-4025-A3EE-63A84C76D4D0}.tap
Thu Apr 16 12:43:50 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {092767EA-5056-4025-A3EE-63A84C76D4D0} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
Thu Apr 16 12:43:50 2015 Successful ARP Flush on interface [15] {092767EA-5056-4025-A3EE-63A84C76D4D0}
Thu Apr 16 12:43:55 2015 Initialization Sequence Completedpar curiosité j'ai relancé un route print et la surprise, la passerelle a changé! Ci dessous le log :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>ipconfig
Configuration IP de Windows
Carte Ethernet Connexion au réseau local 2 :
Suffixe DNS propre à la connexion. . . : SIO.local
Adresse IPv4. . . . . . . . . . . . . .: 10.0.8.6
Masque de sous-réseau. . . . . . . . . : 255.255.255.252
Passerelle par défaut. . . . . . . . . :Carte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::38d5:9786:b827:effc%10
Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.1
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . :Carte Tunnel isatap.{88B885F9-3B44-4E1C-88F4-44B331D8DE5B} :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :Carte Tunnel Teredo Tunneling Pseudo-Interface :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :Carte Tunnel isatap.SIO.local :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . : SIO.localC:\Users\administrateur>route print
Liste d'Interfaces
15...00 ff 09 27 67 ea ......TAP-Windows Adapter V9
10...08 00 27 de 55 01 ......Carte Intel(R) PRO/1000 MT pour station de travail1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
10.0.8.0 255.255.255.0 10.0.8.5 10.0.8.6 20
10.0.8.4 255.255.255.252 On-link 10.0.8.6 276
10.0.8.6 255.255.255.255 On-link 10.0.8.6 276
10.0.8.7 255.255.255.255 On-link 10.0.8.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 10.0.8.5 10.0.8.6 20
192.168.100.0 255.255.255.0 On-link 192.168.100.1 266
192.168.100.1 255.255.255.255 On-link 192.168.100.1 266
192.168.100.255 255.255.255.255 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 10.0.8.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.100.1 266
255.255.255.255 255.255.255.255 On-link 10.0.8.6 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
1 306 ::1/128 On-link
10 266 fe80::/64 On-link
10 266 fe80::38d5:9786:b827:effc/128
On-link
1 306 ff00::/8 On-link
10 266 ff00::/8 On-linkItinéraires persistants :
AucunC:\Users\administrateur>
L'adresse 10.0.8.5 ne répond pas au ping mais la 10.0.8.6 répond au ping.
J'ai refait un tracert et la passerelle semble être la 8.1 :
C:\Users\administrateur>tracert 192.168.1.1
Détermination de l'itinéraire vers 192.168.1.1 avec un maximum de 30 sauts.
1 2 ms 4 ms 2 ms 10.0.8.1
2 ^C
C:\Users\administrateur>Pour rappel la 8.1 est l'adresse que je vois lorsque je fais un ifconfig sur le serveur pfsense.
NOTE : Toutes les connexions au VPN se font en tant qu'administrateur.
Cordialement
-
Pour un client Windpws 7, ajouter ces deux lignes dans le fichier de configuration .ovpn.
route-method exe route-delay 2
-
J'ai rajouté ce que tu m'as demandé dans le fichier de conf et malheureusement ça ne change rien. Toujours pas de passerelle d'attribuée. un route print indique toujours la passerelle en 10.0.8.5 qui ne ping pas et un tracert vers mon lan en 1.0 indique comme premier saut, donc la passerelle la 10.0.8.1.
Cordialement,
EDIT : Après avoir modifié mon fichier de conf il y a cette ligne qui s'est ajoutée après la connexion :
NOTE : unable to redirect default gateway – Cannot read current default gateway from system.
Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.
Dois-je laisser cocher "default gateway"?
-
Via, Pfsense onglet diagnostique puis ping, le ping depuis le lan (192.168.1.10) vers la 10.0.8.5 (passerelle d'après le route print) ne répond pas mais la 10.0.8.6 (interface d'après le route print) et la 10.0.8.1 répondent.
-
NOTE : unable to redirect default gateway – Cannot read current default gateway from system.
Niveau de privilège insuffisant pour le client vpn.
Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.
Dois-je laisser cocher "default gateway"?
Oui
-
Niveau de privilège insuffisant pour le client vpn.
Je suis connecté en tant qu'admin du domaine et je l'exécute en tant que… Mon firewall est désactivé, Mon UAC est au plus bas.
Que me recommandes-tu de faire en plus?
-
-
OK, j'ai compris d'ou venait mon problème. De base, j'ai pas de passerelle sur ma machine cliente (j'en ai pas l’intérêt).
Du coup en mettant une passerelle bidon et en me reconnectant je n'ai pu ce message.En relisant les logs que je vous ai posté Today at 05:56:12 un point m'interpelle. En effet, c'est le serveur DHCP en 10.0.8.5 qui m'attribue une IP. Jusque la rien d’étonnant, mais ce qui l'ai plus c'est que c'est également ma passerelle ! (voir le route print). Est-ce normal?
-
Je viens de faire le test : Openvpn ne me fournit pas passerelle par defaut (pas de redirect gateway).
Et je ne vois pas pourquoi Openvpn le ferait !
(Ma passerelle m'est fournie par l'interface active !)
-
Bonjour,
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan?
Cordialement,
-
Je n'ai pas pensé 'de base' au problème véritable !
Un PC a une interface active (Ethernet ou Wifi) : il a DONC nécessairement une passerelle par défaut !
Il se connecte à un serveur OpenVPN : celui-ci doit lui fournir une adresse ip et des routes vers les réseaux accessibles (via "push route").
Peut-être que le serveur peut fournir une nouvelle passerelle avec l'option 'redirect gateway' mais je n'utilise pas cette option.La question est donc : avant d'activer OpenVpn, y a-t-il une passerelle par défaut ou non ?
-
jdh, Oui il y a une passerelle par défaut mais que j'ai rentré manuellement.
Je n'ai pas mit de push route via l'interface graphique de Pfsense. Je pensais que cocher la case "Redirect Gateway" était suffisant. Me trompe-je?
Je me permets de réitérer ma question :
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du route print correspond t'elle à la même IP que celle du serveur DHCP?
-
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du route print correspond t'elle à la même IP que celle du serveur DHCP?
Je ne comprends pas que tu poses la question ::)
Il n'y a pas de raison pour que la route utilisée (traceroute) soit differente de celle que montre la commande route.
Quand à ta question relative à DHCP… je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ? -
C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.
- Un PC a une interface active (Ethernet ou Wifi) avec une passerelle : avec DHCP, l'ip (, le masque, le dns), et la passerelle sont fournies; en manuel, chacun se débrouille.
- Le PC se connecte avec un serveur OpenVPN
- Le serveur DOIT fournir les routes pour les réseaux accessibles : les lignes 'push route'
DONC OpenVPN n'a pas à fournir de passerelle = il n'y en a pas le besoin ! De simples routes suffisent (d'où nécessité d'être en 'admin').
Cas du 'redirect gateway' :
L'idée est de forcer le trafic via le serveur OpenVPN.
Je présume que le système est fait de la façon suivante : une nouvelle passerelle par défaut remplace la passerelle initiale (et est supprimé avec l'arrêt du VPN).Je n'utilise pas cette option qui ne me parait pas super intelligente :
sans cette option, l'utilisateur peut avoir son propre accès Internet (à sa vitesse nominale),
avec cette option, l'utilisateur va disposer de l'accès Internet du serveur OpenVPN avec retour dans le vpn crypté, donc lent ! -
Bonjour Chris4916,
Je sais bien que les deux adresses doivent être différentes ;) Mais le problème est tellement bizarre que je préfère demander.
Quand à ta question relative à DHCP… je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ?
Et moi j'au du mal à comprendre la tienne :P. Je vais reformuler : quand tu fais un route print ca te mets une passerelle pour le réseau 10.0.8.0. Ensuite quand tu fais un tracert vers le lan ca t'indique également la passerelle. Question : est-ce que ces deux adresses sont bien similaire. Pour info, je me doute que normalement elles doivent l'être
-
@jdh:
C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.
Ce n'est effectivement pas bien compliqué ;) mais attention, il n'y a pas que la vitesse comme critère à prendre en compte. La raison d'être, généralement, de ce paramètre est la suivante:
- lorsque le PC est connecté au réseau de l'entreprise, si la passerelle par défaut n'est pas remplacée par celle choisie par l'administrateur comme étant "dans le réseau de l’entreprise via le serveur VPN (sous entendu réseau sécurisé)" alors une machine connectée à ce réseau aurait également une patte sur un autre réseau (sous entendu "non sécurisé", ce qui ouvrirait de facto l'accès au réseau de l'entreprise via ce réseau externe (i.e. internet)
En obligeant TOUS les flux à passer via le VPN dès lors que l'utilisateur s'y connecte, ça permet à l'administrateur de minimiser ce type de risque. Potentiellement au détriement de la vitesse mais ce n'est pas bien grave 8)
-
jdh, merci pour ces infos qui m'ont permis d'approfondir mes connaissances sur le sujet !
Si je te suis bien, dans ma situation actuelle, avec le 'redirect gateway' de cocher il peut donc sembler "normal" que la passerelle obtenu avec un route print soit différente de celle que j'obtiens lors d'un tracert.
Du coup, si je décoche redirect gateway, et que je fais un tracert l'IP obtenu devrait être la même que celle que j'obtiens avec un route print non? -
Et moi j'au du mal à comprendre la tienne :P. Je vais reformuler : quand tu fais un route print ca te mets une passerelle pour le réseau 10.0.8.0. Ensuite quand tu fais un tracert vers le lan ca t'indique également la passerelle. Question : est-ce que ces deux adresses sont bien similaire. Pour info, je me doute que normalement elles doivent l'être
Où est DHCP dans ta reformulation ?
Il faut peut-être passer par une phase de glossaire histoire d'être certains que nous parlons bien de la même chose avec le même vocabulaire.
- une route, c'est un paramètre qui dit à la machine: "pour atteindre ce réseau, il faut passer par cette adresse accessible via cette interface.
Tu peux donc avoir, sur ta machine, plein de routes différentes en fonction de la complexité de ton réseau.
- la passerelle par défaut (default gateway), ce n'est ni plus ni moins que la route qu'il faut prendre lorsque aucune autre route n'est définie pour l'adresse que tu veux joindre.
Somme nous bien d'accord sur ces définitions ?
- Afin de minimiser l'administration des machines sur le LAN, il est d'usage de pousser, via le serveur DHCP, des informations de type "passerelle par défaut" en même temps que l'adresse IP. La RFC 3442 défini également comment pousser des routes "statiques" via DHCP.
- le client VPN, si exécuté avec les droits suffisant, est également à même de modifier les informations de routage.
-
Nous sommes bien d'accord sur ces définitions :)