Problème d'attribution de passerelle OpenVPN
-
Une fois la connexion VPN établie, je ping bien la 10.0.8.1 qui, je pense doit correspondre à la passerelle. La 10.0.8.2 ne répond pas au ping. D'ailleurs à quoi sert t'elle? :o
Si 10.0.8.2 ne répond pas au ping et que l'on regarde t'es route, comme la souligné Chris4916 on vois une GW en 10.0.8.9
Si tu a laissé le masque de ton tunnel en /24 il est possible que la GW en .9 et pas en .2 comme on pourrais s'y attendre.Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.
-
Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.
Le premier point pour savoir de quoi on parle consiste à vérifier le fichier de configuration côté client.
Puis les logs côté client lors de l'établissement d'une connexion.
Nous répétons : un push route ne sert à rien si le client vpn est incapable de modifier la table de routage côté client. Le cas échéant cela se voit dans les logs. -
Bonjour à tous,
Ci dessous le fichier de conf avant l'établissement de la connexion:
dev tun
persist-tun
persist-key
cipher BF-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 192.168.100.100 1194 udp
lport 0
auth-user-pass
ca pfSense-udp-1194-ca.crt
tls-auth pfSense-udp-1194-tls.key 1
ns-cert-type server -
Re,
Une fois connecté, voici le log :
Thu Apr 16 12:43:39 2015 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
Thu Apr 16 12:43:39 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Enter Management Password:
Thu Apr 16 12:43:47 2015 Control Channel Authentication: using 'pfSense-udp-1194-tls.key' as a OpenVPN static key file
Thu Apr 16 12:43:47 2015 UDPv4 link local (bound): [undef]
Thu Apr 16 12:43:47 2015 UDPv4 link remote: [AF_INET]192.168.100.100:1194
Thu Apr 16 12:43:47 2015 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Thu Apr 16 12:43:47 2015 [SERVER_VPN] Peer Connection Initiated with [AF_INET]192.168.100.100:1194
Thu Apr 16 12:43:50 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Apr 16 12:43:50 2015 open_tun, tt->ipv6=0
Thu Apr 16 12:43:50 2015 TAP-WIN32 device [Connexion au réseau local 2] opened: \.\Global{092767EA-5056-4025-A3EE-63A84C76D4D0}.tap
Thu Apr 16 12:43:50 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {092767EA-5056-4025-A3EE-63A84C76D4D0} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
Thu Apr 16 12:43:50 2015 Successful ARP Flush on interface [15] {092767EA-5056-4025-A3EE-63A84C76D4D0}
Thu Apr 16 12:43:55 2015 Initialization Sequence Completedpar curiosité j'ai relancé un route print et la surprise, la passerelle a changé! Ci dessous le log :
Microsoft Windows [version 6.1.7601]
Copyright
2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>ipconfig
Configuration IP de Windows
Carte Ethernet Connexion au réseau local 2 :
Suffixe DNS propre à la connexion. . . : SIO.local
Adresse IPv4. . . . . . . . . . . . . .: 10.0.8.6
Masque de sous-réseau. . . . . . . . . : 255.255.255.252
Passerelle par défaut. . . . . . . . . :Carte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::38d5:9786:b827:effc%10
Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.1
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . :Carte Tunnel isatap.{88B885F9-3B44-4E1C-88F4-44B331D8DE5B} :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :Carte Tunnel Teredo Tunneling Pseudo-Interface :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :Carte Tunnel isatap.SIO.local :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . : SIO.localC:\Users\administrateur>route print
Liste d'Interfaces
15...00 ff 09 27 67 ea ......TAP-Windows Adapter V9
10...08 00 27 de 55 01 ......Carte Intel(R) PRO/1000 MT pour station de travail1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
10.0.8.0 255.255.255.0 10.0.8.5 10.0.8.6 20
10.0.8.4 255.255.255.252 On-link 10.0.8.6 276
10.0.8.6 255.255.255.255 On-link 10.0.8.6 276
10.0.8.7 255.255.255.255 On-link 10.0.8.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 10.0.8.5 10.0.8.6 20
192.168.100.0 255.255.255.0 On-link 192.168.100.1 266
192.168.100.1 255.255.255.255 On-link 192.168.100.1 266
192.168.100.255 255.255.255.255 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 10.0.8.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.100.1 266
255.255.255.255 255.255.255.255 On-link 10.0.8.6 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
1 306 ::1/128 On-link
10 266 fe80::/64 On-link
10 266 fe80::38d5:9786:b827:effc/128
On-link
1 306 ff00::/8 On-link
10 266 ff00::/8 On-linkItinéraires persistants :
AucunC:\Users\administrateur>
L'adresse 10.0.8.5 ne répond pas au ping mais la 10.0.8.6 répond au ping.
J'ai refait un tracert et la passerelle semble être la 8.1 :
C:\Users\administrateur>tracert 192.168.1.1
Détermination de l'itinéraire vers 192.168.1.1 avec un maximum de 30 sauts.
1 2 ms 4 ms 2 ms 10.0.8.1
2 ^C
C:\Users\administrateur>Pour rappel la 8.1 est l'adresse que je vois lorsque je fais un ifconfig sur le serveur pfsense.
NOTE : Toutes les connexions au VPN se font en tant qu'administrateur.
Cordialement
-
Pour un client Windpws 7, ajouter ces deux lignes dans le fichier de configuration .ovpn.
route-method exe route-delay 2 -
J'ai rajouté ce que tu m'as demandé dans le fichier de conf et malheureusement ça ne change rien. Toujours pas de passerelle d'attribuée. un route print indique toujours la passerelle en 10.0.8.5 qui ne ping pas et un tracert vers mon lan en 1.0 indique comme premier saut, donc la passerelle la 10.0.8.1.
Cordialement,
EDIT : Après avoir modifié mon fichier de conf il y a cette ligne qui s'est ajoutée après la connexion :
NOTE : unable to redirect default gateway – Cannot read current default gateway from system.
Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.
Dois-je laisser cocher "default gateway"?
-
Via, Pfsense onglet diagnostique puis ping, le ping depuis le lan (192.168.1.10) vers la 10.0.8.5 (passerelle d'après le route print) ne répond pas mais la 10.0.8.6 (interface d'après le route print) et la 10.0.8.1 répondent.
-
NOTE : unable to redirect default gateway – Cannot read current default gateway from system.
Niveau de privilège insuffisant pour le client vpn.
Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.
Dois-je laisser cocher "default gateway"?
Oui
-
Niveau de privilège insuffisant pour le client vpn.
Je suis connecté en tant qu'admin du domaine et je l'exécute en tant que… Mon firewall est désactivé, Mon UAC est au plus bas.
Que me recommandes-tu de faire en plus?
-
Moi rien, mais l'appli oui ! L'installation doit aussi être effectuée avec les privilèges maximum.
-
OK, j'ai compris d'ou venait mon problème. De base, j'ai pas de passerelle sur ma machine cliente (j'en ai pas l’intérêt).
Du coup en mettant une passerelle bidon et en me reconnectant je n'ai pu ce message.En relisant les logs que je vous ai posté Today at 05:56:12 un point m'interpelle. En effet, c'est le serveur DHCP en 10.0.8.5 qui m'attribue une IP. Jusque la rien d’étonnant, mais ce qui l'ai plus c'est que c'est également ma passerelle ! (voir le route print). Est-ce normal?
-
Je viens de faire le test : Openvpn ne me fournit pas passerelle par defaut (pas de redirect gateway).
Et je ne vois pas pourquoi Openvpn le ferait !
(Ma passerelle m'est fournie par l'interface active !)
-
Bonjour,
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan?
Cordialement,
-
Je n'ai pas pensé 'de base' au problème véritable !
Un PC a une interface active (Ethernet ou Wifi) : il a DONC nécessairement une passerelle par défaut !
Il se connecte à un serveur OpenVPN : celui-ci doit lui fournir une adresse ip et des routes vers les réseaux accessibles (via "push route").
Peut-être que le serveur peut fournir une nouvelle passerelle avec l'option 'redirect gateway' mais je n'utilise pas cette option.La question est donc : avant d'activer OpenVpn, y a-t-il une passerelle par défaut ou non ?
-
jdh, Oui il y a une passerelle par défaut mais que j'ai rentré manuellement.
Je n'ai pas mit de push route via l'interface graphique de Pfsense. Je pensais que cocher la case "Redirect Gateway" était suffisant. Me trompe-je?
Je me permets de réitérer ma question :
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du route print correspond t'elle à la même IP que celle du serveur DHCP?
-
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du route print correspond t'elle à la même IP que celle du serveur DHCP?
Je ne comprends pas que tu poses la question ::)
Il n'y a pas de raison pour que la route utilisée (traceroute) soit differente de celle que montre la commande route.
Quand à ta question relative à DHCP… je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ? -
C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.
- Un PC a une interface active (Ethernet ou Wifi) avec une passerelle : avec DHCP, l'ip (, le masque, le dns), et la passerelle sont fournies; en manuel, chacun se débrouille.
- Le PC se connecte avec un serveur OpenVPN
- Le serveur DOIT fournir les routes pour les réseaux accessibles : les lignes 'push route'
DONC OpenVPN n'a pas à fournir de passerelle = il n'y en a pas le besoin ! De simples routes suffisent (d'où nécessité d'être en 'admin').
Cas du 'redirect gateway' :
L'idée est de forcer le trafic via le serveur OpenVPN.
Je présume que le système est fait de la façon suivante : une nouvelle passerelle par défaut remplace la passerelle initiale (et est supprimé avec l'arrêt du VPN).Je n'utilise pas cette option qui ne me parait pas super intelligente :
sans cette option, l'utilisateur peut avoir son propre accès Internet (à sa vitesse nominale),
avec cette option, l'utilisateur va disposer de l'accès Internet du serveur OpenVPN avec retour dans le vpn crypté, donc lent ! -
Bonjour Chris4916,
Je sais bien que les deux adresses doivent être différentes ;) Mais le problème est tellement bizarre que je préfère demander.
Quand à ta question relative à DHCP… je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ?
Et moi j'au du mal à comprendre la tienne :P. Je vais reformuler : quand tu fais un route print ca te mets une passerelle pour le réseau 10.0.8.0. Ensuite quand tu fais un tracert vers le lan ca t'indique également la passerelle. Question : est-ce que ces deux adresses sont bien similaire. Pour info, je me doute que normalement elles doivent l'être
-
@jdh:
C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.
Ce n'est effectivement pas bien compliqué ;) mais attention, il n'y a pas que la vitesse comme critère à prendre en compte. La raison d'être, généralement, de ce paramètre est la suivante:
- lorsque le PC est connecté au réseau de l'entreprise, si la passerelle par défaut n'est pas remplacée par celle choisie par l'administrateur comme étant "dans le réseau de l’entreprise via le serveur VPN (sous entendu réseau sécurisé)" alors une machine connectée à ce réseau aurait également une patte sur un autre réseau (sous entendu "non sécurisé", ce qui ouvrirait de facto l'accès au réseau de l'entreprise via ce réseau externe (i.e. internet)
En obligeant TOUS les flux à passer via le VPN dès lors que l'utilisateur s'y connecte, ça permet à l'administrateur de minimiser ce type de risque. Potentiellement au détriement de la vitesse mais ce n'est pas bien grave 8)
-
jdh, merci pour ces infos qui m'ont permis d'approfondir mes connaissances sur le sujet !
Si je te suis bien, dans ma situation actuelle, avec le 'redirect gateway' de cocher il peut donc sembler "normal" que la passerelle obtenu avec un route print soit différente de celle que j'obtiens lors d'un tracert.
Du coup, si je décoche redirect gateway, et que je fais un tracert l'IP obtenu devrait être la même que celle que j'obtiens avec un route print non?