OpenVPN multisite
-
Bonjour,
Je suis relativement novice dans l'utilisation de pfSense. Cela fait quelques années que j'en ai un qui tourne sans que j'y ai vraiment touché :-)
Maintenant une association dont je fait partie me demande de monter une configuration qui me dépasse un peu. C'est pas faute d'avoir cherché et passé du temps dessus :-(
Le but est de mettre en place 3 firewall 2.3.2-RELEASE-p1 que je vais nommer A, B, C. Les 3 réseaux derrières chacun des firewall doivent pouvoir communiquer entre eux.
"A"
un firewall connecté sur 2 interface WAN (2 fibre optique, une avec IP fixe l'autre en PPPoE DHCP)
Il y a un DHCP qui donne des adresses dans la classe 192.168.13.0/24"B"
Est un firewall qui dispose d'une interface WAN en DHCP sur un réseau existant
Il y a un DHCP qui donne des adresses dans la classe 192.168.20.0/24"C"
Est un firewall qui dispose d'une interface WAN en DHCP sur un réseau existant
Il y a un DHCP qui donne des adresses dans la classe 192.168.30.0/24Le but étant de faire communiquer A avec B et C tout comme B avec C. B et C ne disposent pas d'adresse IP publique il va de soit que j'ai configurer le serveur OpenVPN sur le A.
J'ai crée 2 serveurs, un sur le port 1194 et l'autre sur 1195
Les 2 serveurs ont pour ainsi dire la même configuration à savoir:
Peer to Peer Shared key
udp
Tun
interface WAN
une clef identique 2048 bit OpenVPN static key pour A B et C
IPv4 Tunnel Network B: 10.0.1.0/24 C: 10.0.2.0/24
le remote network pour B et C 192.168.13.0/24
et dans les Custom options: push "route 192.168.13.0 255.255.255.0"Les tunnels montent bien mais si j'essaie depuis B de joinde une IP de A je n'y arrive pas.
J'ai crée des interface pour les VPN sur les firewall A, B, et C
Voici les règles de firewall se trouvant dans A:
WAN
IPv4 UDP * * [IP-PUBLIQUE] 1194 * none OpenVPN Routeur B IPv4 UDP * * [IP-PUBLIQUE]1195 * none OpenVPN Routeur C
OpenVPN
IPv4 * * * * * * none
OpenVPN routeurB
IPv4 * * * * * * none
OpenVPN routeurC
IPv4 * * * * * * none
Dans les firewalls B et C je n'ai pas crée de règles spécifique. Bien que j'ai essayé mais sans grand résultats.
Pouvez-vous me donner un coup de main afin de savoir ce qui cloche dans ma config ? j'espère avoir donné assez de détails
Je vous remercie par avance !
PS: j'ai essayé de monter les VPN avec des certificats, mais ça fais planter le demon OpenVPN. Pas tout compris non plus :-(
-
IPv4 Tunnel Network B: 10.0.1.0/24 C: 10.0.2.0/24
Pourquoi ces réseau étranges ? il y e a assez en 192.168.x.y pour travailler.
une clef identique 2048 bit OpenVPN static key pour A B et C
Je ne suis pas certain que ce soit un bonne idée. Chaque serveur devrait avoir sa clé.
Les 3 réseaux derrières chacun des firewall doivent pouvoir communiquer entre eux.
Comment voyez vous cela dans un contexte OPenVPN ? Personnellement je ferais cela en IPSec mais avec vos dhcp un peu partout ce n'est pas forcément évident. Les adressee sont affectées via DHCP mais sont stables ou elles bougent réellement ? En plus vous avez apparemment des doubles nat.
-
Bonjour, Merci beaucoup pour la réponse
Pourquoi ces réseau étranges ? il y e a assez en 192.168.x.y pour travailler.
Je me suis dit que ça évite de mélanger les réseau. ces adresse IP sont utilisées uniquement pour les tunnels. J'ai essayé avec des 192.**** mais le problème est pareil.
une clef identique 2048 bit OpenVPN static key pour A B et C
Je ne suis pas certain que ce soit un bonne idée. Chaque serveur devrait avoir sa clé.
J'ai aussi essayé avec des clefs différentes.
Comment voyez vous cela dans un contexte OPenVPN ? Personnellement je ferais cela en IPSec mais avec vos dhcp un peu partout ce n'est pas forcément évident. Les adressee sont affectées via DHCP mais sont stables ou elles bougent réellement ? En plus vous avez apparemment des doubles nat.
Je peux essayer avec IPSec. pour le moment je me suis focalisé sur OpenVPN.
Je n'ai pas tant de DHCP. il y'en a un par firewall. En effet il y a du double NAT car je ne contrôle absolument pas les réseaux se trouvant devant B et C.
B et C peuvent éventuellement se trouvé connecté derrière un routeur 4G (LTE) ou une connexion dans un bistro.
Pensez-vous que IPSec est la solution ?
Merci, bonne journée
Julien
-
Avec les doubles nat on va éviter IPSec.
Pour les wan en dhcp, je repose la question : Les adresses wan sont affectées via DHCP mais sont stables ou elles bougent réellement ?Vous avez configurer un "client" OpenVPN sur Pfsense A pour joindre le réseau B ?
Essayez déjà une configuration de A vers B, par exemple, pour tenter de maitriser et comprendre ce que cous faites.
-
C'est une topologie Hub&Spoke avec A en Hub.
VPN A->B : local subnet sur A : A et C (donc A pousse vers B une route pour réseau A et une route pour réseau C)
VPN A->C : local subnet sur A : A et B (donc A pousse vers C une route pour réseau A et une route pour réseau B)Cela fonctionne comme avec IPSEC.
Edit: pousser les routes devient inutile si vous configurer le mode "redirect gateway" pour B et C. mais là tout le trafic local se trouve remonté vers A…