Problème d'attribution de passerelle OpenVPN
-
Bonjour,
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan?
Cordialement,
-
Je n'ai pas pensé 'de base' au problème véritable !
Un PC a une interface active (Ethernet ou Wifi) : il a DONC nécessairement une passerelle par défaut !
Il se connecte à un serveur OpenVPN : celui-ci doit lui fournir une adresse ip et des routes vers les réseaux accessibles (via "push route").
Peut-être que le serveur peut fournir une nouvelle passerelle avec l'option 'redirect gateway' mais je n'utilise pas cette option.La question est donc : avant d'activer OpenVpn, y a-t-il une passerelle par défaut ou non ?
-
jdh, Oui il y a une passerelle par défaut mais que j'ai rentré manuellement.
Je n'ai pas mit de push route via l'interface graphique de Pfsense. Je pensais que cocher la case "Redirect Gateway" était suffisant. Me trompe-je?
Je me permets de réitérer ma question :
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du route print correspond t'elle à la même IP que celle du serveur DHCP?
-
Quand tu fais un route print, la passerelle indiquée vers ton lan est elle la même que quand tu fais un tracert vers ton lan? De plus la passerelle indiquée lors du route print correspond t'elle à la même IP que celle du serveur DHCP?
Je ne comprends pas que tu poses la question ::)
Il n'y a pas de raison pour que la route utilisée (traceroute) soit differente de celle que montre la commande route.
Quand à ta question relative à DHCP… je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ? -
C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.
- Un PC a une interface active (Ethernet ou Wifi) avec une passerelle : avec DHCP, l'ip (, le masque, le dns), et la passerelle sont fournies; en manuel, chacun se débrouille.
- Le PC se connecte avec un serveur OpenVPN
- Le serveur DOIT fournir les routes pour les réseaux accessibles : les lignes 'push route'
DONC OpenVPN n'a pas à fournir de passerelle = il n'y en a pas le besoin ! De simples routes suffisent (d'où nécessité d'être en 'admin').
Cas du 'redirect gateway' :
L'idée est de forcer le trafic via le serveur OpenVPN.
Je présume que le système est fait de la façon suivante : une nouvelle passerelle par défaut remplace la passerelle initiale (et est supprimé avec l'arrêt du VPN).Je n'utilise pas cette option qui ne me parait pas super intelligente :
sans cette option, l'utilisateur peut avoir son propre accès Internet (à sa vitesse nominale),
avec cette option, l'utilisateur va disposer de l'accès Internet du serveur OpenVPN avec retour dans le vpn crypté, donc lent ! -
Bonjour Chris4916,
Je sais bien que les deux adresses doivent être différentes ;) Mais le problème est tellement bizarre que je préfère demander.
Quand à ta question relative à DHCP… je ne suis même pas certain de la comprendre. Veux-tu dire "la même que celle indiquée dans la passerelle par défaut poussée par le serveur DHCP" ou bien "la même que l'adresse IP du serveur DHCP" ?
Et moi j'au du mal à comprendre la tienne :P. Je vais reformuler : quand tu fais un route print ca te mets une passerelle pour le réseau 10.0.8.0. Ensuite quand tu fais un tracert vers le lan ca t'indique également la passerelle. Question : est-ce que ces deux adresses sont bien similaire. Pour info, je me doute que normalement elles doivent l'être
-
@jdh:
C'est simple mais cela peut 'confusionner' : il ne faut pas se tromper.
Ce n'est effectivement pas bien compliqué ;) mais attention, il n'y a pas que la vitesse comme critère à prendre en compte. La raison d'être, généralement, de ce paramètre est la suivante:
- lorsque le PC est connecté au réseau de l'entreprise, si la passerelle par défaut n'est pas remplacée par celle choisie par l'administrateur comme étant "dans le réseau de l’entreprise via le serveur VPN (sous entendu réseau sécurisé)" alors une machine connectée à ce réseau aurait également une patte sur un autre réseau (sous entendu "non sécurisé", ce qui ouvrirait de facto l'accès au réseau de l'entreprise via ce réseau externe (i.e. internet)
En obligeant TOUS les flux à passer via le VPN dès lors que l'utilisateur s'y connecte, ça permet à l'administrateur de minimiser ce type de risque. Potentiellement au détriement de la vitesse mais ce n'est pas bien grave 8)
-
jdh, merci pour ces infos qui m'ont permis d'approfondir mes connaissances sur le sujet !
Si je te suis bien, dans ma situation actuelle, avec le 'redirect gateway' de cocher il peut donc sembler "normal" que la passerelle obtenu avec un route print soit différente de celle que j'obtiens lors d'un tracert.
Du coup, si je décoche redirect gateway, et que je fais un tracert l'IP obtenu devrait être la même que celle que j'obtiens avec un route print non? -
Et moi j'au du mal à comprendre la tienne :P. Je vais reformuler : quand tu fais un route print ca te mets une passerelle pour le réseau 10.0.8.0. Ensuite quand tu fais un tracert vers le lan ca t'indique également la passerelle. Question : est-ce que ces deux adresses sont bien similaire. Pour info, je me doute que normalement elles doivent l'être
Où est DHCP dans ta reformulation ?
Il faut peut-être passer par une phase de glossaire histoire d'être certains que nous parlons bien de la même chose avec le même vocabulaire.
- une route, c'est un paramètre qui dit à la machine: "pour atteindre ce réseau, il faut passer par cette adresse accessible via cette interface.
Tu peux donc avoir, sur ta machine, plein de routes différentes en fonction de la complexité de ton réseau.
- la passerelle par défaut (default gateway), ce n'est ni plus ni moins que la route qu'il faut prendre lorsque aucune autre route n'est définie pour l'adresse que tu veux joindre.
Somme nous bien d'accord sur ces définitions ?
- Afin de minimiser l'administration des machines sur le LAN, il est d'usage de pousser, via le serveur DHCP, des informations de type "passerelle par défaut" en même temps que l'adresse IP. La RFC 3442 défini également comment pousser des routes "statiques" via DHCP.
- le client VPN, si exécuté avec les droits suffisant, est également à même de modifier les informations de routage.
-
Nous sommes bien d'accord sur ces définitions :)