VPN IPSEC et OPENVPN
-
Une fois ton tunnel OpenVPN établi, affiche sur ton client les routes (un truc genre "route print" sur une machine Windows) ce qui te dira quelles routes ton client connaît et par où il passerait pour joindre 18.0.0.0
-
L'accès OpenVPN est fait de manière à ce que je puisse me connecté à mes automates depuis n'importe où (je précise que pfSense est sur un cloud …).
Ce point est assez clair mais ta manière de le représenter (schéma) est un peu surprenante.
Il y a plusieurs points qu'il faut vérifier:
- ton client (OpenVPN) connaît-il la route vers le réseau qui héberge les automates ?
- le firewall (pfSense) autorise t-il d'atteindre cette destination à partir d'une source qui est ton adresse "OpenVPN" ?
- le firewall coté cible (ce que tu décris comme "routeur client" sur ton schéma autorise t-il des accès depuis une adresse IP qui est celle du client OpenVPN ?
-
L'accès OpenVPN est fait de manière à ce que je puisse me connecté à mes automates depuis n'importe où (je précise que pfSense est sur un cloud …).
Ce point est assez clair mais ta manière de le représenter (schéma) est un peu surprenante.
Il y a plusieurs points qu'il faut vérifier:
- ton client (OpenVPN) connaît-il la route vers le réseau qui héberge les automates ? Commande push c'est ca ?
- le firewall (pfSense) autorise t-il d'atteindre cette destination à partir d'une source qui est ton adresse "OpenVPN" ? Voir la pj, c'est bien ca ?
- le firewall coté cible (ce que tu décris comme "routeur client" sur ton schéma autorise t-il des accès depuis une adresse IP qui est celle du client OpenVPN ? Non le routeur client autorise uniquement le réseau 10.0.0.0/8
-
J'avoue ne pas comprendre ce que tu montres. Il n'y a ni commentaire ni titre à ce morceau d'affichage :(
De plus, je pense que tu n'as pas compris mon propos : il s'agit, depuis la machine qui établi le tunnel OpenVPN (le client OpenVPN et non pas pfSense qui est le serveur OpenVPN) de vérifier la route.
En premier lieu, il FAUT que ce client OpenVPN, une fois le tunnel OpneVPN établi, sache que pour joindre le réseau 18.0.0.0, il faut passer par le tunnel OpenVPN.
Autrement dit, il faut faire un "push route" coté serveur OpenVPN ou obliger tout le flux depuis ce client à passer par le tunnel OpneVPN. -
Désole erreur de manip.
En premier lieu, il FAUT que ce client OpenVPN, une fois le tunnel OpneVPN établi, sache que pour joindre le réseau 18.0.0.0, il faut passer par le tunnel OpenVPN.
Autrement dit, il faut faire un "push route" coté serveur OpenVPN ou obliger tout le flux depuis ce client à passer par le tunnel OpneVPN.Non pas de route, il faut plutôt dire qu'il faut passer par ma passerelle LAN (10.4.0.254) pour joindre les réseaux 17.0.0.0 et 18.0.0.0 ?
-
extrait de la documentation OpenVPN:
Push routes to the client to allow it
to reach other private subnets behind
the server. Remember that these
private subnets will also need
to know to route the OpenVPN client
address pool (10.8.0.0/255.255.255.0)
back to the OpenVPN server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"Dans ton cas, il faut faire :
push "route 18.0.0.0 255.255.255.0"
push "route 17.0.0.0 255.255.255.0"si on suppose que coté automates, les subnets sont des classes C.
Dans pfSense, ceci se fait dans la section advanced configuration" du serveur OpenVPN 8)
-
Bon visiblement, vous ne comprenez pas ce qu'on vous demande : vous n'êtes pas capable de décrire votre schéma !
J'en déduit que vous ne souhaitez pas vraiment être aidé …
Je m'arrête donc aussi.NB : quand on écrit 18.0.0.0/8, le /8 signifie 255.0.0.0 et non 255.255.255.0 !
-
Merci beaucoup pour l'aide chris4916.
J'ai entré la commande mais ca ne fonctionne pas.
-
J'ai entré la commande mais ca ne fonctionne pas.
Ce n'est pas parce que tu as ajouté cette route que ça doit fonctionner maintenant. C'est une étape indispensable mais:
1 - une fois cette configuration effectuée, tu devrais vérifier que c'est bien opérationnel coté "client OpenVPN" (e.g. "route print")
2 - comme je te l'ai déjà écrit, il faut que le client OpenVPN connaisse la route vers le réseau cible mais il faut également s'assurer que coté firewall (de par et d'autre du tunnel IPSec) les flux sont autorisés, y compris pour l'adresse IP allouée à ton client OpenVPN.
-
Je trouve que c'est complètement fou ça…
Quelque soit le fil de discussion, on retrouve systématique la même problèmatique : réfléchir en terme de solution AVANT de réfléchir en terme de besoin.
Lorsque l'on réfléchit en terme de solution :
- on donne peu d'informations
- on cherche une solution pourvu qu'elle marche
- on comprend rarement ce que l'on fait
- la plupart du temps on n'apprend rien (ou mal)
Lorsque l'on réfléchit en terme de besoin
- on se construit un cahier des charges (terme qui devrait être souvent utilisé alors qu'il n'est jamais présent)
- grâce au cahier des charges on fournit des informations
- grâce aux informations on aboutit à une solution adaptée aux besoins (sans compter qu'on obtient de l'aide beaucoup plus facilement)
- on comprend mieux ce que l'on fait
- quand on comprend on apprend, donc on progresse
Savoir bidouiller est une chose, savoir pourquoi en est une toute autre.
-
+1 Talwyn
-
@Talwyn.
En effet. -
Ce n'est pas parce que tu as ajouté cette route que ça doit fonctionner maintenant. C'est une étape indispensable mais:
1 - une fois cette configuration effectuée, tu devrais vérifier que c'est bien opérationnel coté "client OpenVPN" (e.g. "route print")
La route créé vers 17.0.0.0 n’apparaît pas sur mon PC Windows …
2 - comme je te l'ai déjà écrit, il faut que le client OpenVPN connaisse la route vers le réseau cible mais il faut également s'assurer que coté firewall (de par et d'autre du tunnel IPSec) les flux sont autorisés, y compris pour l'adresse IP allouée à ton client OpenVPN.
Côté routeur client je ne peux pas demander à mon client de modifier les autorisations, aujourd'hui c'est ouvert uniquement pour le réseau 10.0.0.0/8.
Dans OpenVPN je ne peux pas mettre ce réseau car je l'utilise déjà .. -
Au moins on avance un peu :)
C'est curieux que tu ne vois pas le résultat de la commande "push" du serveur OpenVPN sur ton client.
Une fois ton tunnel OpenVPN établi, regarde donc coté client quelle est ta route vers 18.0.0.1 et 17.0.0.1Pour le firewall à l'autre extrémité, si seul 10.0.0.0/8 est autorisé, il te faut "rebondir" sur un serveur en interne sans quoi tu vas être vu avec l'IP du tunnel.
Donc pas de solution simple à grands coups de NAT.C'est assez simple: seul ton LAN en /8 est autorisé, donc tu ne peux pas avoir cette adresse en tant que client OpenVPN donc tu ne peux pas accéder directement chez ton client. 8)
Au delà de cette aspect, je trouve quand même surprenant cet usage immodéré de classe A.
La solution simple (sur le papier), c'est que tu changes ton plan d'adressage sur ton LAN pour quelque chose de plus raisonnable.Et ton client à l'air de faire la même chose. Je n'avais pas fait attention sur ton schéma au plan d'adressage mais c'est également en classe A :o :o :o
Il y a tant d'équipement que ça ??? -
Je "me réponds" pour ne pas froisser les susceptibilités si j'édite ;D
tu pourrait peut-être passer en 10.4.0.0/16 sur ton LAN et faire un tunnel OpenVPN en, par exemple 10.0.10.0/24 (ou autre chose dans le même ordre d'idée)
Sur ce que je lis (rapidement) de tes schémas, ça devrait le faire sauf si tu as d'autres contraintes qui n'apparaissent pas ici.
-
Avancement :
J'ai modifié l'adressage IP attribué au client OpenVPN : 10.5.0.0/24 .
La route est bien prise en compte (route print), en passerelle il m'affiche 10.5.0.13
ps: mon LAN dans pfSense est 10.4.0.254/24 et non 8 …!
Je n'arrive toujours pas accéder à un automate.
-
oui mais là tu pousses une route qui est 17.0.0.0/24 alors que ton schéma montre 17.0.0.0/8
Quelle est l'adresse de ton équipement ?
-
Je viens de corriger, revoir le message précédent …
-
A ce stade, tu devrais pouvoir faire un "tracert 17.x.x.x" (adresse de ton équipement) pour voir par où tu passes.
Si le site distant n'autorise que HTTP et SSH, il est probable que ICMP sera bloqué mais au moins tu verras si tu vas dans la bonne direction.Quel est ton message d'erreur lorsque tu essaies de te connecter ?
-
Il passe par la passerelle de ma VM (@IP publique).
