VPN remote acces et routage lan to vpn
-
Bonjour a tous,
Je viens de configurer un VPN sur notre pfsense ( openVPN remote access ( user auth), grâce a ce tuto : https://bzhmarmit.wordpress.com/2012/09/11/pfsense-configuration-dun-acces-vpn-client-sous-pfsense-avec-openvpn-et-authentification-ad/
les utilisateurs distant peuvent bien se connecter a notre bureau et accéder aux serveurs
En revanche depuis mon poste impossible de me connecter / pinger les clients, d'ailleurs depuis le pfsense impossible de pinger les clients, un traceroute depuis le pfsense ne donne rien non plus.
Je suppose que c'est une question de route mais si mes clients arrivent a communiquer avec les serveurs la liaison se fait bien.
Au niveau du firewall j'ai essayé d'ajouter deux regles : sur interface lan : ICMP all et idem sur l'interface OpenVPN
il y a quelque chose que j'ai loupé ?
-
il y a quelque chose que j'ai loupé ?
Oui. Nous décrire l'architecture. Je comprend que les connexions vpn des clients fonctionnent. Bien. La suite, je ne comprend rien parce que je ne sais où est le poste qui ne ping pas, l'interface utilisée depuis Pfsense pour cette opération, les règles en place sur les différentes interfaces, …
Bref il y a pour le moment des dizaines de raisons (des bonnes et des mauvaises) pour que vous ne puissiez pas faire ce que vous souhaitez. -
le pfsense est installé sur un bureau dont le LAN a pour réseau : 192.168.220.0/24
et il a une interface WAN avec une IP publiqueLes laptop se connectent en VPN via l'interface WAN, OpenVPN leur distribue des IP dans le réseau 192.168.250.0/24, une fois connecté ses clients peuvent accéder aux ressource du LAN ( 192.168.220.0/24 )
En revanche les machines du LAN ( 192.168.220.0/24 ) ne peuvent pas initier une connexion vers les laptop connectées en VPN.
Pour mes tests j'ai des règles qui autorise le PING depuis / vers tous les réseaux
-
Et la table de routage :
Destination Gateway Flags Use Mtu Netif Expire
default 217.108.154.30 UGS 6083 1500 em1
127.0.0.1 link#5 UH 16 16384 lo0
192.168.220.0/24 link#1 U 76207 1500 em0
192.168.220.254 link#1 UHS 0 16384 lo0
192.168.222.0/24 192.168.220.1 UGS 396 1500 em0
192.168.250.0/24 192.168.250.2 UGS 13606 1500 ovpns1
192.168.250.1 link#7 UHS 0 16384 lo0
192.168.250.2 link#7 UH 0 1500 ovpns1
IP publique link#2 U 13203 1500 em1
IP publique link#2 UHS 0 16384 lo0 -
En revanche les machines du LAN ( 192.168.220.0/24 ) ne peuvent pas initier une connexion vers les laptop connectées en VPN.
La description est maintenant compréhensible. Ce que vous constatez est normal. Il faut comprendre qu'il n'y a pas un "réseau openvpn" qui serait en 192.168.250.0/24. Chaque client vpn utilise en fait un réseau en /30. Du moins c'est ce qui se fait par défaut avec Openvpn 2.0.9 de mémoire.
-
Humm d'accord, c'est bien se qu'il me semblais a force a chercher
Qu'elle solution de VPN me conseilles-tu pour mon besoin ? ipsec ?
-
C'est très bien OpenVPN. Un peu de lecture : https://community.openvpn.net/openvpn/wiki/Topology
Je ne sais pas ce qui est livré avec la toute dernière version de Pfsense pour openvpn. Le fonctionnement en /30 est maintenu pour compatibilité.
Avec IpSec va se poser la question du client Ipsec pour Windows … -
merci de ton ccnet,
je n'avais en effet pas remarqué que mes laptops on des masques en /30
J'ai pas trouvé de solution pour arriver a mes fins
même via l'option " Allow communication between clients connected to this server "Surtout que je n'ai que des windows, le seul linux c'est le miens
-
J'ai pas trouvé de solution pour arriver a mes fins
même via l'option " Allow communication between clients connected to this server "Et si tu décrivais ce que sont ces fins que tu n'arrives pas à atteindre, peut-être que quelqu'un aura une solution ou une piste à te proposer.
Car le but ne peut pas être uniquement "faire un ping du client" n'est-ce pas ??? ;)
-
Le but final est surtout pouvoir porter assistance aux utilisateurs via VNC