• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Problème d'attribution de passerelle OpenVPN

Scheduled Pinned Locked Moved Français
32 Posts 5 Posters 5.8k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • L
    Lolight
    last edited by Apr 16, 2015, 9:07 AM

    @tony87426:

    Une fois la connexion VPN établie, je ping bien la 10.0.8.1 qui, je pense doit correspondre à la passerelle. La 10.0.8.2 ne répond pas au ping. D'ailleurs à quoi sert t'elle? :o

    Si 10.0.8.2 ne répond pas au ping et que l'on regarde t'es route, comme la souligné Chris4916 on vois une GW en 10.0.8.9
    Si tu a laissé le masque de ton tunnel en /24 il est possible que la GW en .9 et pas en .2 comme on pourrais s'y attendre.

    Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.

    1 Reply Last reply Reply Quote 0
    • C
      ccnet
      last edited by Apr 16, 2015, 9:28 AM

      @Lolight:

      Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.

      Le premier point pour savoir de quoi on parle consiste à vérifier le fichier de configuration côté client.
      Puis les logs côté client lors de l'établissement d'une connexion.
      Nous répétons : un push route ne sert à rien si le client vpn est incapable de modifier la table de routage côté client. Le cas échéant cela se voit dans les logs.

      1 Reply Last reply Reply Quote 0
      • T
        tony87426
        last edited by Apr 16, 2015, 10:44 AM

        Bonjour à tous,

        Ci dessous le fichier de conf avant l'établissement de la connexion:

        dev tun
        persist-tun
        persist-key
        cipher BF-CBC
        auth SHA1
        tls-client
        client
        resolv-retry infinite
        remote 192.168.100.100 1194 udp
        lport 0
        auth-user-pass
        ca pfSense-udp-1194-ca.crt
        tls-auth pfSense-udp-1194-tls.key 1
        ns-cert-type server

        1 Reply Last reply Reply Quote 0
        • T
          tony87426
          last edited by Apr 16, 2015, 10:56 AM

          Re,

          Une fois connecté, voici le log :

          Thu Apr 16 12:43:39 2015 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
          Thu Apr 16 12:43:39 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
          Enter Management Password:
          Thu Apr 16 12:43:47 2015 Control Channel Authentication: using 'pfSense-udp-1194-tls.key' as a OpenVPN static key file
          Thu Apr 16 12:43:47 2015 UDPv4 link local (bound): [undef]
          Thu Apr 16 12:43:47 2015 UDPv4 link remote: [AF_INET]192.168.100.100:1194
          Thu Apr 16 12:43:47 2015 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
          Thu Apr 16 12:43:47 2015 [SERVER_VPN] Peer Connection Initiated with [AF_INET]192.168.100.100:1194
          Thu Apr 16 12:43:50 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
          Thu Apr 16 12:43:50 2015 open_tun, tt->ipv6=0
          Thu Apr 16 12:43:50 2015 TAP-WIN32 device [Connexion au réseau local 2] opened: \.\Global{092767EA-5056-4025-A3EE-63A84C76D4D0}.tap
          Thu Apr 16 12:43:50 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {092767EA-5056-4025-A3EE-63A84C76D4D0} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
          Thu Apr 16 12:43:50 2015 Successful ARP Flush on interface [15] {092767EA-5056-4025-A3EE-63A84C76D4D0}
          Thu Apr 16 12:43:55 2015 Initialization Sequence Completed

          par curiosité j'ai relancé un route print et la surprise, la passerelle a changé! Ci dessous le log :

          Microsoft Windows [version 6.1.7601]
          Copyright © 2009 Microsoft Corporation. Tous droits réservés.

          C:\Users\administrateur>ipconfig

          Configuration IP de Windows

          Carte Ethernet Connexion au réseau local 2 :

          Suffixe DNS propre à la connexion. . . : SIO.local
            Adresse IPv4. . . . . . . . . . . . . .: 10.0.8.6
            Masque de sous-réseau. . . . . . . . . : 255.255.255.252
            Passerelle par défaut. . . . . . . . . :

          Carte Ethernet Connexion au réseau local :

          Suffixe DNS propre à la connexion. . . :
            Adresse IPv6 de liaison locale. . . . .: fe80::38d5:9786:b827:effc%10
            Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.1
            Masque de sous-réseau. . . . . . . . . : 255.255.255.0
            Passerelle par défaut. . . . . . . . . :

          Carte Tunnel isatap.{88B885F9-3B44-4E1C-88F4-44B331D8DE5B} :

          Statut du média. . . . . . . . . . . . : Média déconnecté
            Suffixe DNS propre à la connexion. . . :

          Carte Tunnel Teredo Tunneling Pseudo-Interface :

          Statut du média. . . . . . . . . . . . : Média déconnecté
            Suffixe DNS propre à la connexion. . . :

          Carte Tunnel isatap.SIO.local :

          Statut du média. . . . . . . . . . . . : Média déconnecté
            Suffixe DNS propre à la connexion. . . : SIO.local

          C:\Users\administrateur>route print

          Liste d'Interfaces
          15...00 ff 09 27 67 ea ......TAP-Windows Adapter V9
          10...08 00 27 de 55 01 ......Carte Intel(R) PRO/1000 MT pour station de travail

          1...........................Software Loopback Interface 1
          11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
          13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
          14...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2

          IPv4 Table de routage

          Itinéraires actifs :
          Destination réseau    Masque réseau  Adr. passerelle  Adr. interface Métrique
                  10.0.8.0    255.255.255.0        10.0.8.5        10.0.8.6    20
                  10.0.8.4  255.255.255.252        On-link          10.0.8.6    276
                  10.0.8.6  255.255.255.255        On-link          10.0.8.6    276
                  10.0.8.7  255.255.255.255        On-link          10.0.8.6    276
                  127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
                  127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
            127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
                192.168.1.0    255.255.255.0        10.0.8.5        10.0.8.6    20
              192.168.100.0    255.255.255.0        On-link    192.168.100.1    266
              192.168.100.1  255.255.255.255        On-link    192.168.100.1    266
            192.168.100.255  255.255.255.255        On-link    192.168.100.1    266
                  224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
                  224.0.0.0        240.0.0.0        On-link    192.168.100.1    266
                  224.0.0.0        240.0.0.0        On-link          10.0.8.6    276
            255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
            255.255.255.255  255.255.255.255        On-link    192.168.100.1    266
            255.255.255.255  255.255.255.255        On-link          10.0.8.6    276

          Itinéraires persistants :
            Aucun

          IPv6 Table de routage

          Itinéraires actifs :
          If Metric Network Destination      Gateway
            1    306 ::1/128                  On-link
          10    266 fe80::/64                On-link
          10    266 fe80::38d5:9786:b827:effc/128
                                              On-link
            1    306 ff00::/8                On-link
          10    266 ff00::/8                On-link

          Itinéraires persistants :
            Aucun

          C:\Users\administrateur>

          L'adresse 10.0.8.5 ne répond pas au ping mais la 10.0.8.6 répond au ping.

          J'ai refait un tracert et la passerelle semble être la 8.1 :

          C:\Users\administrateur>tracert 192.168.1.1

          Détermination de l'itinéraire vers 192.168.1.1 avec un maximum de 30 sauts.

          1    2 ms    4 ms    2 ms  10.0.8.1
            2  ^C
          C:\Users\administrateur>

          Pour rappel la 8.1 est l'adresse que je vois lorsque je fais un ifconfig sur le serveur pfsense.

          NOTE : Toutes les connexions au VPN se font en tant qu'administrateur.

          Cordialement

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by Apr 16, 2015, 1:02 PM

            Pour un client Windpws 7, ajouter ces deux lignes dans le fichier de configuration .ovpn.

            route-method exe
            route-delay 2
            
            1 Reply Last reply Reply Quote 0
            • T
              tony87426
              last edited by Apr 16, 2015, 3:35 PM Apr 16, 2015, 3:08 PM

              J'ai rajouté ce que tu m'as demandé dans le fichier de conf et malheureusement ça ne change rien. Toujours pas de passerelle d'attribuée. un route print indique toujours la passerelle en 10.0.8.5 qui ne ping pas et un tracert vers mon lan en 1.0 indique comme premier saut, donc la passerelle la 10.0.8.1.

              Cordialement,

              EDIT : Après avoir modifié mon fichier de conf il y a cette ligne qui s'est ajoutée après la connexion :

              NOTE : unable to redirect default gateway – Cannot read current default gateway from system.

              Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.

              Dois-je laisser cocher "default gateway"?

              1 Reply Last reply Reply Quote 0
              • T
                tony87426
                last edited by Apr 16, 2015, 3:17 PM

                Via, Pfsense onglet diagnostique puis ping, le ping depuis le lan (192.168.1.10) vers la 10.0.8.5 (passerelle d'après le route print) ne répond pas mais la 10.0.8.6 (interface d'après le route print) et la 10.0.8.1 répondent.

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet
                  last edited by Apr 16, 2015, 3:52 PM

                  @tony87426:

                  NOTE : unable to redirect default gateway – Cannot read current default gateway from system.

                  Niveau de privilège insuffisant pour le client vpn.

                  Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.

                  Dois-je laisser cocher "default gateway"?

                  Oui

                  1 Reply Last reply Reply Quote 0
                  • T
                    tony87426
                    last edited by Apr 16, 2015, 4:25 PM

                    Niveau de privilège insuffisant pour le client vpn.

                    Je suis connecté en tant qu'admin du domaine et je l'exécute en tant que… Mon firewall est désactivé, Mon UAC est au plus bas.

                    Que me recommandes-tu de faire en plus?

                    1 Reply Last reply Reply Quote 0
                    • C
                      ccnet
                      last edited by Apr 16, 2015, 4:40 PM

                      Moi rien, mais l'appli oui ! L'installation doit aussi être effectuée avec les privilèges maximum.

                      Prop.JPG
                      Prop.JPG_thumb

                      1 Reply Last reply Reply Quote 0
                      • T
                        tony87426
                        last edited by Apr 16, 2015, 4:43 PM

                        OK, j'ai compris d'ou venait mon problème. De base, j'ai pas de passerelle sur ma machine cliente (j'en ai pas l’intérêt).
                        Du coup en mettant une passerelle bidon et en me reconnectant je n'ai pu ce message.

                        En relisant les logs que je vous ai posté Today at 05:56:12 un point m'interpelle. En effet, c'est le serveur DHCP en 10.0.8.5 qui m'attribue une IP. Jusque la rien d’étonnant, mais ce qui l'ai plus c'est que c'est également ma passerelle ! (voir le route print). Est-ce normal?

                        1 Reply Last reply Reply Quote 0
                        • J
                          jdh
                          last edited by Apr 17, 2015, 3:23 AM

                          Je viens de faire le test : Openvpn ne me fournit pas passerelle par defaut (pas de redirect gateway).

                          Et je ne vois pas pourquoi Openvpn le ferait !

                          (Ma passerelle m'est fournie par l'interface active !)

                          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                          1 Reply Last reply Reply Quote 0
                          • T
                            tony87426
                            last edited by Apr 17, 2015, 5:07 AM

                            Bonjour,

                            Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan?

                            Cordialement,

                            1 Reply Last reply Reply Quote 0
                            • J
                              jdh
                              last edited by Apr 17, 2015, 7:21 AM

                              Je n'ai pas pensé 'de base' au problème véritable !

                              Un PC a une interface active (Ethernet ou Wifi) : il a DONC nécessairement une passerelle par défaut !
                              Il se connecte à un serveur OpenVPN : celui-ci doit lui fournir une adresse ip et des routes vers les réseaux accessibles (via "push route").
                              Peut-être que le serveur peut fournir une nouvelle passerelle avec l'option 'redirect gateway' mais je n'utilise pas cette option.

                              La question est donc : avant d'activer OpenVpn, y a-t-il une passerelle par défaut ou non ?

                              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                              1 Reply Last reply Reply Quote 0
                              • T
                                tony87426
                                last edited by Apr 17, 2015, 9:01 AM

                                jdh, Oui il y a une passerelle par défaut mais que j'ai rentré manuellement.

                                Je n'ai pas mit de push route via l'interface graphique de Pfsense. Je pensais que cocher la case "Redirect Gateway" était suffisant. Me trompe-je?

                                Je me permets de réitérer ma question :

                                Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du  route print correspond t'elle à la même IP que celle du serveur DHCP?

                                1 Reply Last reply Reply Quote 0
                                • C
                                  chris4916
                                  last edited by Apr 17, 2015, 9:25 AM

                                  @tony87426:

                                  Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du  route print correspond t'elle à la même IP que celle du serveur DHCP?

                                  Je ne comprends pas que tu poses la question  ::)

                                  Il n'y a pas de raison pour que la route utilisée (traceroute) soit differente de celle que montre la commande route.
                                  Quand à ta question relative à DHCP…  je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ?

                                  Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    jdh
                                    last edited by Apr 17, 2015, 9:40 AM

                                    C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.

                                    • Un PC a une interface active (Ethernet ou Wifi) avec une passerelle : avec DHCP, l'ip (, le masque, le dns), et la passerelle sont fournies; en manuel, chacun se débrouille.
                                    • Le PC se connecte avec un serveur OpenVPN
                                    • Le serveur DOIT fournir les routes pour les réseaux accessibles : les lignes 'push route'
                                      DONC OpenVPN n'a pas à fournir de passerelle = il n'y en a pas le besoin ! De simples routes suffisent (d'où nécessité d'être en 'admin').

                                    Cas du 'redirect gateway' :
                                    L'idée est de forcer le trafic via le serveur OpenVPN.
                                    Je présume que le système est fait de la façon suivante : une nouvelle passerelle par défaut remplace la passerelle initiale (et est supprimé avec l'arrêt du VPN).

                                    Je n'utilise pas cette option qui ne me parait pas super intelligente :
                                    sans cette option, l'utilisateur peut avoir son propre accès Internet (à sa vitesse nominale),
                                    avec cette option, l'utilisateur va disposer de l'accès Internet du serveur OpenVPN avec retour dans le vpn crypté, donc lent !

                                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      tony87426
                                      last edited by Apr 17, 2015, 9:44 AM

                                      Bonjour Chris4916,

                                      Je sais bien que les deux adresses doivent être différentes ;) Mais le problème est tellement bizarre que je préfère demander.

                                      Quand à ta question relative à DHCP…  je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ?

                                      Et moi j'au du mal à comprendre la tienne :P. Je vais reformuler : quand tu fais un route print ca te mets une passerelle pour le réseau 10.0.8.0. Ensuite quand tu fais un tracert vers le lan ca t'indique également la passerelle. Question : est-ce que ces deux adresses sont bien similaire. Pour info, je me doute que normalement elles doivent l'être

                                      1 Reply Last reply Reply Quote 0
                                      • C
                                        chris4916
                                        last edited by Apr 17, 2015, 9:47 AM

                                        @jdh:

                                        C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.

                                        Ce n'est effectivement pas bien compliqué  ;) mais attention, il n'y a pas que la vitesse comme critère à prendre en compte. La raison d'être, généralement, de ce paramètre est la suivante:

                                        • lorsque le PC est connecté au réseau de l'entreprise, si la passerelle par défaut n'est pas remplacée par celle choisie par l'administrateur comme étant "dans le réseau de l’entreprise via le serveur VPN (sous entendu réseau sécurisé)" alors une machine connectée à ce réseau aurait également une patte sur un autre réseau (sous entendu "non sécurisé", ce qui ouvrirait de facto l'accès au réseau de l'entreprise via ce réseau externe (i.e. internet)

                                        En obligeant TOUS les flux à passer via le VPN dès lors que l'utilisateur s'y connecte, ça permet à l'administrateur de minimiser ce type de risque. Potentiellement au détriement de la vitesse mais ce n'est pas bien grave  8)

                                        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          tony87426
                                          last edited by Apr 17, 2015, 9:52 AM

                                          jdh, merci pour ces infos qui m'ont permis d'approfondir mes connaissances sur le sujet !

                                          Si je te suis bien, dans ma situation actuelle, avec le 'redirect gateway' de cocher il peut donc sembler "normal" que la passerelle obtenu avec un route print soit différente de celle que j'obtiens lors d'un tracert.
                                          Du coup, si je décoche redirect gateway, et que je fais un tracert l'IP obtenu devrait être la même que celle que j'obtiens avec un route print non?

                                          1 Reply Last reply Reply Quote 0
                                          30 out of 32
                                          • First post
                                            30/32
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received