Erreur contrôle IP FTP/OpenVPN

djinlemage

Erreur contrôle IP FTP/VPN

Bonjour,

Je rencontre un souci de configuration ou paramétrage.

Contexte :
Pro

Je vous explique le cas :

J’ai un réseau LAN sur une plage d’adresse 192.168.1.0/24

1 routeur opérateur en 192.168.1.3
1 serveur FTP en 192.168.1.200
1 Firewall PfSense en IP WAN 192.168.1.28 et en IP LAN 192.168.1.13

Ce Firewall me sert pour les connexions VPN des clients externes via OpenVPN.

Le VPN est paramétré avec un tunnel 10.0.8.0/24 avec un port spécifique, disons 4040 en UDP.

La connexion VPN marche à merveille, mes clients se connectent pour les bureaux à distance, accès fichier et messagerie sans souci.
Par contre, j’ai un applicatif tiers qui transfert des fichiers via FTP. Mon souci, c’est que via le VPN, le serveur FTP me donne le message d’erreur (pour les tests, j’ai monté un serveur Filezilla) :

421 Rejected command, requested IP address does not match control connection IP.

J’imagine qu’il y a un problème de route ou de NAT mais je ne vois pas quel paramétrage je pourrais faire pour résoudre ce problème (je parle de configuration réseau pas spécifiquement de PfSense)

En local, tout fonctionne bien.

Ce que j’ai testé :

Passer le serveur en passif
Faire du NAT mais là je suis pas sur des paramètres que j’ai dû mettre (quelle IP NATé vers laquelle)
Un tracert me donne :

C:\Windows\System32>tracert 192.168.1.200
  1    40 ms    39 ms    40 ms  10.0.8.1
  2    40 ms    39 ms    39 ms  192.168.1.200

En gros pas grand chose.

Merci d’avance de votre aide

ccnet

1 Firewall PfSense en IP WAN 192.168.1.28 et en IP LAN 192.168.1.13

Cela ne peut pas fonctionner correctement. Les numéros de réseaux Lan et Wan doivent être différents. Relisez la documentation.

Le VPN est paramétré avec un tunnel 10.0.8.0/24 avec un port spécifique, disons 4040 en UDP.

Cela a t il une utilité particulière ?

Quel type de FTP ?

djinlemage

Bonjour,

Merci de votre retour.

Cela ne peut pas fonctionner correctement. Les numéros de réseaux Lan et Wan doivent être différents. Relisez la documentation.

Le souci est que le routeur de l’opérateur à un adresse sur le réseau 192.168.1.x et que mon réseau également.
Du coup j'ai tenté… et comme l'acces VPN fonctionne de la sorte ...

Cela a t il une utilité particulière ?

Je vous avoue que j'ai scrupuleusement suivi des tutos

Quel type de FTP ?

Pour les tests, il s'agit de Filezilla serveur

Merci encore

ccnet

Je répète, l'adressage de wan et de lan n'est ps bon. Les réseaux doivent être différents impérativement.
Il faut changer votre adressage d'un côté ou de l'autre. Depuis des années j'indique sur ce forum que l'usage des réseaux 192.168.0.0 et 192.168.1.0 est à éviter, voire à proscrire. Tout le monde les utilise et l'on est régulièrement confronté à des conflits d'adressage plus ou moins compréhensibles.

Type de FPT : actif ou passif ?

FTP est un protocole à proscrire aussi d'ailleurs car très peu sûr. Et compliqué.

Je vous avoue que j'ai scrupuleusement suivi des tutos

Donc sans savoir a priori ?

djinlemage

Donc sans savoir a priori ?

Tout a fait, mon métier n'est pas le réseau.
Apres si vous me dites le pourquoi du comment je suis bien sur prêt à en apprendre plus et même demandeur :) .

Je répète, l'adressage de wan et de lan n'est ps bon. Les réseaux doivent être différents impérativement.

Je l'avais bien compris dès le départ, et j'ai fait la demande auprès de mon opérateur pour me mettre a disposition un patte du routeur sur une adresse de type 172.16.1.x

Le FTP de test est en mode passif

jdh

Il y a plusieurs erreurs (que les débutants commettent souvent).

• Utilisation du formulaire A LIRE EN PREMIER : je recommande cette présentation car elle donne un cadre …
• mise en place du firewall : le firewall DOIT avoir 2 cartes réseaux (WAN/LAN), chacun dans un réseau physique et logique différent
• utilisation de protocole sans en connaitre les limites : FTP est vieux, complexe et unsecure; il est (presque) banni par la team pfSense !

Firewall :
Le bon mode est :
Internet <-> Modem ou Routeur ou Box <-> (WAN) pfSense (LAN) <-> réseau interne

Donc soit vous changez les adresses de votre LAN soit vous changez juste l'adresse de votre routeur (et de WAN forcément).

FTP :
Il serait meilleur de créer un serveur SFTP plutôt qu'un serveur FTP : le client (extérieur) serait le même : FileZilla (client) sait se connecter à un serveur FTP comme un serveur SFTP !
Si vous ne savez pas faire, il est NECESSAIRE de

• vous informer sur les modes de fonctionnements, les contraintes, ...
• consulter les pages de docs sur pfSense et FTP,
• agir en conséquence.

Ce n'est pas impossible à faire mais je vous encourage à réfléchir à SFTP ...

djinlemage

Merci de votre retour plus que rapide.

Nous sommes bien d'accord sur le principe de 2 réseaux différents, encore une fois j'en avais connaissance mais n’étant pas maître de la situation au niveau adressage WAN et ayant un certain nombre de périphériques avec des adresses statiques j'ai tenté. Mea Culpa

Pour le FTP , ce n'ai pas un choix mais une contrainte du serveur avec lequel je doit échanger qui est maintenu par une entreprise tier et qui ne changera pas.

Dans tout les cas, je suis en train de voir avec mon opérateur pour me mettre a disposition une patte du routeur sur une autre adresse IP.

Je reviens vers vous après cette manipulation faite

ccnet

Si vous pouvez obtenir une configuration où l'ip publique est sur l'interface Wan de Pfsense, c'est aussi bien.

djinlemage

Bonjour,

Bon, mon opérateur m'a fait la modification.

J'ai donc maintenant la configuration suivante :

Routeur opérateur :

Ip LAN 172.16.0.1

PFSense :
Ip LAN :  192.168.1.28
Ip WAN : 172.16.0.10

Par contre, du coup  mon VPN ne fonctionne plus.
J'ai bien modifier l'ip publique dans la configuration d'OpenVPN sur le poste client

J'ai l'erreur :
Mon Jan 09 10:32:25 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Jan 09 10:32:25 2017 TLS Error: TLS handshake failed

Pour tester si la redirection de port est bonne, j'ai créé une réglé du Firewall pour accès depuis le WAN à l'interface d'administration et ça fonctionne donc coté opérateur, nous sommes bon.

Je n'ai rien vu de notable dans la configuration d'OpenVPN sur PFSense qui pourrait bloquer après la modification de l'IP WAN.

Pour vérifier ma config, j'ai aussi tenté de remettre mon ancienne adresse IP WAN de PFSense (dans le même réseau que le LAN) et cela fonctionne.

Ai je oublié quelques chose ?

ccnet

Il faut a minima modifier l'interface d'écoute de votre serveur vpn puisque votre ip Wan à changé.

djinlemage

Dans la config OpenVPN, j'ai bien l'interface WAN qui est paramétrée (comme précedement)
J'ai vérifier dans les règles VPN du Firewall et j'ai bien l'interface WAN paramétrée.

Je ne sais pas si ça à son importance mais pour l'interface WAN, j'ai juste modifier l'IP et la passerelle.

Pas taper pas taper :) !

Merci en tous cas.

ccnet

Que disent les logs du vpn ?
Vous feriez peut être aussi vite en recréant un serveur vpn.

djinlemage

Les logs sont vide.
J'en déduit que je n'ai pas de demande d'authentification et que de l’extérieur, je ne joins pas PFSense.

N'arrivant pas à contacté mon VPN depuis l'adresse public, j'ai mis mon poste sur la plage 172.16.0.0 et la le OpenVPN se connecte correctement (avec des logs !!!)
Donc le problème doit se poser entre l'interface WAN et le routeur de l'operateur mais comme j'ai dit plus haut, j'ai reussi à me connecter à l'interface d'administration de PFSense depuis mon ip public.

Je me perd du coup …

Merci en tous cas.

djinlemage

Je viens de tilter, l'interface d'administration que j'ai testé sur le port 9090 depuis l'ip plublic est en TCP …
Du coup, l'ouverture de port sur le routeur opérateur n'est pas correcte...

Dites moi si je me trompe !

ccnet

@djinlemage:

Dites moi si je me trompe !

Je n'ai pas compris ce que vous vouliez dire.

djinlemage

Je voulais dire que si l'interface d'admin fonctionne via l'IP plublic c'est que le routeur est mal paramétre car l'interface d'admin est accessible via TCP

ccnet

Sur Pfsense par défaut, l'interface d’administration n’est accessible que sur l'interface lan, ce qui est fortement souhaitable. Idéalement on devrait dédier une interface à l’administration. C'est une autre histoire.
Port TCP/9090, cela ne concerne pas Pfsense à moins que vous l'ayez changé.

djinlemage

Bonjour,

J'ai avancé mais je me heurte à un souci :

De mon poste client, je me connecte correctement à mon VPN via mon IP public. En effet l’opérateur s'est trompé dans le paramétrage.

Par contre avec le paramétrage que j'ai je ne vois pas le LAN derrière PFSense mais je ping l'interface LAN de PFSense (192.168.1.13)

Pour résume :

Wan : 172.16.0.1
Lan : 192.168.1.13

Regle Firewall :
Wan
Protocol  Source Port Destination Port         Gateway Queue Schedule Description
IPv4 UDP *         * WAN address 4040        *         none         OpenVPN OpenVPNDescription wizard

Lan
Protocol Source Port Destination Port         Gateway Queue Schedule Description

• *         * LAN Address 80/22 *         *                 Anti-Lockout Rule
  IPv4 * LAN net * *                 *         *         none                 Default allow LAN to any rule  
  IPv6 * LAN net * *                 *         *         none                 Default allow LAN IPv6 to any rule

OpenVPN
Protocol Source Port Destination Port         Gateway Queue Schedule Description
IPv4        *         * *                 *         *         *         none OpenVPN OpenVPNDescription wizard

Config OpenVPN :

Protocol : UDP
Device Mode : tun
Interface : Wan
Local port : 4040
IPv4 Tunnel Network : 10.0.8.0/24
IPv4 Local network(s) : 192.168.1.0/24
Dynamic IP : coché
Address Pool : coché
Topology : Subnet

DNS Default Domain : coché en 192.168.1.200

Ai je oublié quelque chose ?

Merci d'avance

@ccnet:

Sur Pfsense par défaut, l'interface d’administration n’est accessible que sur l'interface lan, ce qui est fortement souhaitable. Idéalement on devrait dédier une interface à l’administration. C'est une autre histoire.
Port TCP/9090, cela ne concerne pas Pfsense à moins que vous l'ayez changé.

Oui je l'ai changé pour etre sur que l'ip plublic redirigée bien vers PFSense mais j'ai remise à l’état d'origine

djinlemage

Je viens de voir que dans le client OpenVPN j'ai ces messages :
Tue Jan 10 11:30:51 2017 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #14 ] – see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

djinlemage

Je suis repartie de zero avec une nouvelle installation du serveur.

Malheureusement, même résultat
Je peux me connecter ais pas accéder au réseau LAN à part l'interface d'admin de PFSense

Auriez vous une idée ?

Merci