VPN IPSEC et OPENVPN
-
Donc ton lien IPSec n'encrypte pas le flux en provenance du subnet "OpenVPN" ? ;)
-
Il faudrait que tu partages un peu quelques infos sur ta conf IPSec, et ce sans tout barbouiller de bleu de peur qu'on lise une adresse IP privée :P
Et je soupçonne quand même un truc pas très clean en termes de réseau car tu vises des adresses (17.0.0.0/8 et 18.0.0.0/8) qui ne sont pas dans la RFC1819 (la 18.0.0.0/8 appartient au MIT et la 11.0.0.0 au DoD ::))Bref, ça m'a l'air assez bizarrement "organisé" ce truc ;D
-
C'est vrai que j'ai pas besoin de les cacher …
En réalité ce n'est pas 17 et 18 ;)Que me proposes tu maintenant ?
Routage ?:-X
-
Que me proposes tu maintenant ?
Routage ?Non, je te propose dans changer la conf de ton lien IPSec parce que le tunnel qui couvre "LAN" (source) ne comprend très probablement pas les IP qui sont issues tu tunnel OpenVPN ;)
-
Encore merci pour tes réponses chris4916.
J'ai modifié la configuration de mon tunnel IPSEC.
Dans la phase 2, j'ai mit 10.0.0.0/24 (pour qu'il prenne en compte l'IP de mon client OpenVPN), ca ne change rien.
Il ne prend toujours pas la bonne route.
-
Je suis un peu largué avec toutes ces plans d'adressage bizarres mais si tu mets 10.0.0.0/24, il y a zéro chances pour que 10.0.4.0 soit prix en compte.
il te faut comprendre ce que /24 ou /8 signifie et ce que ça couvre, sans quoi ça peut tomber en marche… ou pas.
Tu peux faire 10.0.0.0/8 ;) mais il faudrait surtout et en priorité mettre à plat cet aspect "adressage" avant de vouloir connecter les sites et rebondir sur ton LAN pour accéder au site distant.
-
Hé ben… 3 pages pour en arriver là, ça valait le coup d'étaler sa science...
Ha ! Méthodologie quand tu nous tiens...
N'en déplaise au(x) modérateur(s) du forum, mais ça me fout vraiment et sérieusement les boules qu'il y ait des gens comme toi en activité alors qu'il y a des gens comme moi en chômage longue durée.
C'est purement et simplement déprimant...
-
chris4916 : j'ai mis /8 et là il n'emprunte plus l'adresse IP WAN de mon pfSense (tracert).
Talwyn : je t'ai rien demandé … -
-
Pour qui alors ? c'est moi qui pose des questions !
-
C'est pour celui qui tente de te donner des réponses et qui pense pouvoir prendre la place de jdh (rapport à un autre de ses posts) alors qu'il est très loin de jouer dans la même cours.
-
je l'avait prit pour moi désolé …
-
OK mettons les choses au point ;D
Hé ben… 3 pages pour en arriver là, ça valait le coup d'étaler sa science...
Ha ! Méthodologie quand tu nous tiens...
Si tu sais le faire en une page, il ne faut pas hésiter 8)
Bien sûr que la solution de facilité, c'est d'envoyer simplement bouler tous ceux qui ne se pointent pas avec une description et une compréhension parfaite de leur environnement et de se concentrer sur ceux qui ont déjà presque tout compris :-X
Amener les autres à comprendre et à apprendre, sans avoir un discours directif du genre "si tu ne fais pas comme je dis, ça ne marche pas, alors fais ce que je te dis, même si tu n'as pas le bagage pour comprendre !", c'est un peu plus difficile.
Pour ma culture, que ce fil fasse 1, 3 ou 5 pages, quel problème cela te pose t-il ? ???
Si tu n'y participes pas parce que ça ne t'intéresse pas, ça ne devrait pas te déranger non ?N'en déplaise au(x) modérateur(s) du forum, mais ça me fout vraiment et sérieusement les boules qu'il y ait des gens comme toi en activité alors qu'il y a des gens comme moi en chômage longue durée.
C'est purement et simplement déprimant…Comme tu ne sais rien de mon activité ni de ma situation, tu devrais t'abstenir de ce genre de commentaire inutile. >:( >:( >:(
Enfin, je ne veux prendre la place de personne ::)
je ne suis pas ici pour étaler ma science ni faire un concours de celui qui en sais le plus. Si jdh est très fort et bien meilleur que moi ce n'est pas un problème, bien au contraire. Comme ça les participants à se forum en profitent puisqu'ils ont un expert pour les aider. Et à l'occasion j'apprendrai aussi des choses 8)
Je ne comprends pas que vous soyez, pour certains, dans ce mode de compétition. ::) J'ai l'impression que vous êtes quelques uns à vous sentir "chez vous" et envahi parce que un nouveau venu vient participer et apporter des points de vue qui ne sont pas nécessairement 100% alignés avec les votre.
Je suis tout à fait disposé à discuter des aspects techniques et différences de points de vue sur ces aspects. Pour le reste, les combats de cours d'école, j'ai passé l'age depuis longtemps.
PS1: les "applaud" et les "smites" me laissent complètement indifférents ;D ;D ;D j'ai été assez longtemps modérateur d'un forum de ce genre pour savoir ce que ça reflète plus les frustrations des interlocuteurs que la réelle "performance" (comme s'il était question de performance ;)) des intervenants. ::)
PS2: comme pour jdh, si tout ça te gêne vraiment, il y a 2 solutions:
- le bouton "reporter à un modérateur"
- se faire promouvoir modérateur pour organiser la section du forum selon son bon désir (mais ce ne sont généralement pas ces types de profil qui sont retenus pour cette activité :P)
-
En tout cas merci à chris4916 qui essaie d'aider les gens à bien poser le problème et surtout à donner des solutions ;)
-
j'ai mis /8 et là il n'emprunte plus l'adresse IP WAN de mon pfSense (tracert).
Ce n'est pas surprenant 8)
Donc tu vas maintenant vers le site client depuis ton tunnel VPN ?Attention, /8 c'est juste pour illustrer le fait que le souci se situe au niveau de la config IPSec qui ne couvrait pas le range IP du tunnel OpenVPN.
C'est du debug.
Pour la mise en prod, comme je te l'ai déjà dit, il faudrait tout mettre à plat au niveau plans d'adressage et règle de FW. -
Je pense pas.
Regardes le résultat du tracert, j'ai l'ip 10.4.3.1 (l'IP OpenVPN est 10.4.3.10).
J'ai mit le push au passage …
-
Ce que montre ta copie d'écran, c'est que soit le point suivant ne répond pas à ICMP soit qu'il ne connaît pas la route à prendre.
-
Je test en HTTP et je n'arrive pas entrer chez mon client.
-
Je test en HTTP et je n'arrive pas entrer chez mon client.
Pour faire du HTTP, le plus simple reste de rebondir sur un proxy déployé sur le LA (à condition bien sûr que la proxy autorise des connexions venues du subnet "OpenVPN").
Pour SSH, c'est un peu plus dur: il faudra aller au bout de la démarche (regarder dans les log par exemple ;) et vérifier certains aspects comme les règles de FW sur le site distant -
Ok merci, le problème c'est que je ne sais pas ce que le client a mis !