Problème VPN - PFsense-OpenVPN - traffic client
-
Merci de ta réponse Chris,
Et désolé si la partie WireShark t'as mis en colère (ou bien c'était juste que c'était trop long ?) :)
Donc, pour ta solution, il faudrait que je monte un serveur proxy, j'ai bien compris ?Si c'est trop long, c'est que j'ai lu les recommandations aavnt de poster et que, du coup, j'ai voulu donner un mas de détails ;)
-
Non non non, je ne suis pas en colère ;D ni même fâché :P
et je ne vais certainement pas te reprocher d'avoir suivi les directives.
juste que ça fait un gros pavé bien long :-XJe ne te dis pas qu'il faut installer un proxy mais que si le contrôle sur ton serveur web se base sur l'adresse IP source et que celle-ci doit correspondre au LAN (en fait au WAN), un bon moyen de faire ça est d'utiliser un proxy sur ton LAN, y compris pour tes clients VPN.
Sans proxy, voilà ce qui se passe (à mon tour d'écrire un pavé ;D)
- ton navigateur va résoudre l'adresse IP de l'URL que tu veux joindre.
- c'est une machine chez OVH, dont sur internet et pas sur le LAN que tu accèdes via le VPN.
- dont très probablement tu y accèdes en direct sauf si tu as pris soin dans la conf VPN de dire que toutes les connexions d'un client connecté via VPN passent par le tunnel.
Avec un proxy sur le LAN (et déclaré dans ton navigateur bien sûr, potentiellement avec le DNS), ton navigateur ne cherche pas à résoudre l'IP mais soumet la requête au proxy qui se charge de la résolution de nom et fait la requête, depuis le LAN.
Quand j'ai un moment je lirai la suite de ton message initial ;)
-
Merci encore Chris,
Je ne suis pas certain de savoir faire pour le proxy (je sais changer les paramètres du proxy dans le navigateur) mais je vais essayer.
Pour essayer de simplifier:
Poste client se connecte bien au LAN mais la requête pour le serveur Web, qui doit se faire via notre WAN obligatoirement se fait sur l'interface physique du poste client (en l’occurrence un téléphone pour mes tests) au lieu de passer par l'interface TAP du VPN.
Je ne sais pas si je suis bien clair … :)
En tout cas, un grand merci pour tes réponses :)
-
Pour obliger TOUTES les communications du client à passer par le tunnel, il y a une option dans la configuration du serveur ;)
Donc 2 solutions :
- tu as besoin, par exemple pour des raisons de sécurité, que tout passe par le tunnel => tu choisis cette option dans la conf du serveur OpenVPN
- tu veux t'assurer uniquement que l'accès au serveur OVH vient du LAN => un proxy HTTP, ça le fait
-
J’ai fait des recherches internet du le problème et la solution trouvée qui me semblait correspondre au problème (c’est-à-dire forcer le tout le trafic à passer par l’interface VPN) était celle-ci :
Implementation
Add the following directive to the server configuration file:
push "redirect-gateway def1"
If your VPN setup is over a wireless network, where all clients and the server are on the same wireless subnet, add the local flag:
push "redirect-gateway local def1"
Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site's HTTP proxy.En relisant le détail de ton message initial, c'est effectivement l'idée d'une des solutions.
Par contre, en terme d'implémentation, c'est beaucoup plus simple : il suffit de cocher, dans la configuration du serveur OpenVPN de pfSense, la case qui dit :Redirect gateway Force all client generated traffic through the tunnel.
Un des cotés pratiques de pfSense,c'est le fait que ce soit une interface graphique ;)
-
Bonjour Chris,
L'option "Redirect gateway" est coché, d'où mon désarroi …. :-)
Je suis tellement newbi en la matière que je n'utilise que l'interface graphique ;-)
Bonne journée !
Pat'
-
Tu peux tout faire avec l'interface graphique, ce n'est pas un problème (et de mon point de vue, ce n'est pas l'utilisation de la CLI vs. GUI qui fait de toi un gourou :p)
Avec cette option activée, tout ton flux devrai donc passer par le tunnel.
Tu peux faire un "route print" une fois le tunnel établi ?
-
Chris,
Voici le résultat du 'route print':
===========================================================================
Liste d'Interfaces
11…28 b2 bd 4c df a2 ......Microsoft Wi-Fi Direct Virtual Adapter
5...00 ff 46 ea 81 66 ......TAP-Windows Adapter V9
9...28 b2 bd 4c df a1 ......Intel(R) Dual Band Wireless-N 7260
13...28 b2 bd 4c df a5 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
4...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
2...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.141 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.2.1 255.255.255.255 192.168.2.5 192.168.2.6 20
192.168.2.4 255.255.255.252 On-link 192.168.2.6 276
192.168.2.6 255.255.255.255 On-link 192.168.2.6 276
192.168.2.7 255.255.255.255 On-link 192.168.2.6 276
192.168.16.0 255.255.255.0 192.168.2.5 192.168.2.6 20
192.168.43.0 255.255.255.0 On-link 192.168.43.141 281
192.168.43.141 255.255.255.255 On-link 192.168.43.141 281
192.168.43.255 255.255.255.255 On-link 192.168.43.141 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.43.141 281
224.0.0.0 240.0.0.0 On-link 192.168.2.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.43.141 281
255.255.255.255 255.255.255.255 On-link 192.168.2.6 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
2 306 ::/0 On-link
1 306 ::1/128 On-link
2 306 2001::/32 On-link
2 306 2001:0:9d38:90d7:28e5:22a1:3f57:d472/128
On-link
9 281 fe80::/64 On-link
5 276 fe80::/64 On-link
2 306 fe80::/64 On-link
5 276 fe80::11dc:ab0c:8175:8a9a/128
On-link
2 306 fe80::28e5:22a1:3f57:d472/128
On-link
9 281 fe80::f57d:ee4c:a3a1:e0a5/128
On-link
1 306 ff00::/8 On-link
9 281 ff00::/8 On-link
2 306 ff00::/8 On-link
5 276 ff00::/8 On-linkItinéraires persistants :
AucunLe réseau de l'entreprise est le 192.168.16.0
Le réseau du sur lequel le VPN travaille est le 192.168.2.0 (c'est en tout cas dans ce réseau que j'obtiens une IP lorsque je me connecte)
Le réseau de mon téléphone est le 192.168.43.0Question: ne devrais-je pas voir l'interface WAN de l'entreprise aussi ?
J'espère que cela te parlera plus qu'à moi :-)
Pat'
-
Chris,
Le 'route print' envoyé précédemment était celui alors que l'option "Redirect gateway" n'était pas cochée.
Avec l'option cochée, voici le 'route print'
===========================================================================
Liste d'Interfaces
11…28 b2 bd 4c df a2 ......Microsoft Wi-Fi Direct Virtual Adapter
5...00 ff 46 ea 81 66 ......TAP-Windows Adapter V9
9...28 b2 bd 4c df a1 ......Intel(R) Dual Band Wireless-N 7260
13...28 b2 bd 4c df a5 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
4...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
2...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.141 25
0.0.0.0 128.0.0.0 192.168.2.5 192.168.2.6 20
109.190.87.19 255.255.255.255 192.168.43.1 192.168.43.141 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
128.0.0.0 128.0.0.0 192.168.2.5 192.168.2.6 20
192.168.2.1 255.255.255.255 192.168.2.5 192.168.2.6 20
192.168.2.4 255.255.255.252 On-link 192.168.2.6 276
192.168.2.6 255.255.255.255 On-link 192.168.2.6 276
192.168.2.7 255.255.255.255 On-link 192.168.2.6 276
192.168.16.0 255.255.255.0 192.168.2.5 192.168.2.6 20
192.168.43.0 255.255.255.0 On-link 192.168.43.141 281
192.168.43.141 255.255.255.255 On-link 192.168.43.141 281
192.168.43.255 255.255.255.255 On-link 192.168.43.141 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.43.141 281
224.0.0.0 240.0.0.0 On-link 192.168.2.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.43.141 281
255.255.255.255 255.255.255.255 On-link 192.168.2.6 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
2 306 ::/0 On-link
1 306 ::1/128 On-link
2 306 2001::/32 On-link
2 306 2001:0:9d38:6ab8:109d:2960:3f57:fdf9/128
On-link
9 281 fe80::/64 On-link
5 276 fe80::/64 On-link
2 306 fe80::/64 On-link
2 306 fe80::109d:2960:3f57:fdf9/128
On-link
5 276 fe80::11dc:ab0c:8175:8a9a/128
On-link
9 281 fe80::f57d:ee4c:a3a1:e0a5/128
On-link
1 306 ff00::/8 On-link
9 281 ff00::/8 On-link
2 306 ff00::/8 On-link
5 276 ff00::/8 On-linkItinéraires persistants :
AucunDésolé pour l'erreur :-)
-
Avec cette route tu devrais normalement passer effectivement par le tunnel (même si je me demande pourquoi le masque est à 128.0.0.0 ;))
Que se passe t-il lorsque tu accèdes à ton serveur web ?
Comment se fait le controle au niveau de ce serveur en ce qui concerne l'adresse source ? Tu as un log ? -
L'accès se fait directement sur notre adresse IP WAN et je n'ai malheureusement pas de log.
Lorsque je tente d'y acceder, une fois connecté en VPN, je reçois le message comme quoi je ne suis pas autorisé à joindre ce site.
Et enfin, je ne pige pas pour le masque puisque dans :
IPv4 Tunnel Network, j'ai 192.168.2.0/24
et dans
IPv4 Local Network/s, j'ai 192.168.16.0/24