Erreur contrôle IP FTP/OpenVPN
-
Merci de votre retour plus que rapide.
Nous sommes bien d'accord sur le principe de 2 réseaux différents, encore une fois j'en avais connaissance mais n’étant pas maître de la situation au niveau adressage WAN et ayant un certain nombre de périphériques avec des adresses statiques j'ai tenté. Mea Culpa
Pour le FTP , ce n'ai pas un choix mais une contrainte du serveur avec lequel je doit échanger qui est maintenu par une entreprise tier et qui ne changera pas.
Dans tout les cas, je suis en train de voir avec mon opérateur pour me mettre a disposition une patte du routeur sur une autre adresse IP.
Je reviens vers vous après cette manipulation faite
-
Si vous pouvez obtenir une configuration où l'ip publique est sur l'interface Wan de Pfsense, c'est aussi bien.
-
Bonjour,
Bon, mon opérateur m'a fait la modification.
J'ai donc maintenant la configuration suivante :
Routeur opérateur :
Ip LAN 172.16.0.1
PFSense :
Ip LAN : 192.168.1.28
Ip WAN : 172.16.0.10Par contre, du coup mon VPN ne fonctionne plus.
J'ai bien modifier l'ip publique dans la configuration d'OpenVPN sur le poste clientJ'ai l'erreur :
Mon Jan 09 10:32:25 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Jan 09 10:32:25 2017 TLS Error: TLS handshake failedPour tester si la redirection de port est bonne, j'ai créé une réglé du Firewall pour accès depuis le WAN à l'interface d'administration et ça fonctionne donc coté opérateur, nous sommes bon.
Je n'ai rien vu de notable dans la configuration d'OpenVPN sur PFSense qui pourrait bloquer après la modification de l'IP WAN.
Pour vérifier ma config, j'ai aussi tenté de remettre mon ancienne adresse IP WAN de PFSense (dans le même réseau que le LAN) et cela fonctionne.
Ai je oublié quelques chose ?
-
Il faut a minima modifier l'interface d'écoute de votre serveur vpn puisque votre ip Wan à changé.
-
Dans la config OpenVPN, j'ai bien l'interface WAN qui est paramétrée (comme précedement)
J'ai vérifier dans les règles VPN du Firewall et j'ai bien l'interface WAN paramétrée.Je ne sais pas si ça à son importance mais pour l'interface WAN, j'ai juste modifier l'IP et la passerelle.
Pas taper pas taper :) !
Merci en tous cas.
-
Que disent les logs du vpn ?
Vous feriez peut être aussi vite en recréant un serveur vpn. -
Les logs sont vide.
J'en déduit que je n'ai pas de demande d'authentification et que de l’extérieur, je ne joins pas PFSense.N'arrivant pas à contacté mon VPN depuis l'adresse public, j'ai mis mon poste sur la plage 172.16.0.0 et la le OpenVPN se connecte correctement (avec des logs !!!)
Donc le problème doit se poser entre l'interface WAN et le routeur de l'operateur mais comme j'ai dit plus haut, j'ai reussi à me connecter à l'interface d'administration de PFSense depuis mon ip public.Je me perd du coup …
Merci en tous cas.
-
Je viens de tilter, l'interface d'administration que j'ai testé sur le port 9090 depuis l'ip plublic est en TCP …
Du coup, l'ouverture de port sur le routeur opérateur n'est pas correcte...Dites moi si je me trompe !
-
-
Je voulais dire que si l'interface d'admin fonctionne via l'IP plublic c'est que le routeur est mal paramétre car l'interface d'admin est accessible via TCP
-
Sur Pfsense par défaut, l'interface d’administration n’est accessible que sur l'interface lan, ce qui est fortement souhaitable. Idéalement on devrait dédier une interface à l’administration. C'est une autre histoire.
Port TCP/9090, cela ne concerne pas Pfsense à moins que vous l'ayez changé. -
Bonjour,
J'ai avancé mais je me heurte à un souci :
De mon poste client, je me connecte correctement à mon VPN via mon IP public. En effet l’opérateur s'est trompé dans le paramétrage.
Par contre avec le paramétrage que j'ai je ne vois pas le LAN derrière PFSense mais je ping l'interface LAN de PFSense (192.168.1.13)
Pour résume :
Wan : 172.16.0.1
Lan : 192.168.1.13Regle Firewall :
Wan
Protocol Source Port Destination Port Gateway Queue Schedule Description
IPv4 UDP * * WAN address 4040 * none OpenVPN OpenVPNDescription wizardLan
Protocol Source Port Destination Port Gateway Queue Schedule Description- * * LAN Address 80/22 * * Anti-Lockout Rule
IPv4 * LAN net * * * * none Default allow LAN to any rule
IPv6 * LAN net * * * * none Default allow LAN IPv6 to any rule
OpenVPN
Protocol Source Port Destination Port Gateway Queue Schedule Description
IPv4 * * * * * * none OpenVPN OpenVPNDescription wizardConfig OpenVPN :
Protocol : UDP
Device Mode : tun
Interface : Wan
Local port : 4040
IPv4 Tunnel Network : 10.0.8.0/24
IPv4 Local network(s) : 192.168.1.0/24
Dynamic IP : coché
Address Pool : coché
Topology : SubnetDNS Default Domain : coché en 192.168.1.200
Ai je oublié quelque chose ?
Merci d'avance
Sur Pfsense par défaut, l'interface d’administration n’est accessible que sur l'interface lan, ce qui est fortement souhaitable. Idéalement on devrait dédier une interface à l’administration. C'est une autre histoire.
Port TCP/9090, cela ne concerne pas Pfsense à moins que vous l'ayez changé.Oui je l'ai changé pour etre sur que l'ip plublic redirigée bien vers PFSense mais j'ai remise à l’état d'origine
- * * LAN Address 80/22 * * Anti-Lockout Rule
-
Je viens de voir que dans le client OpenVPN j'ai ces messages :
Tue Jan 10 11:30:51 2017 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #14 ] – see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings -
Je suis repartie de zero avec une nouvelle installation du serveur.
Malheureusement, même résultat
Je peux me connecter ais pas accéder au réseau LAN à part l'interface d'admin de PFSenseAuriez vous une idée ?
Merci
-
Bonjour,
Après mon re départ, j'ai fait un schéma et des Screenshots pour que cela soit plus parlant (désolé de pas avoir fait ça des le début …)
J’espère que ça pourra vous aider.
-
Je viens de regarder votre schéma. Il y a encore quelque chose qui ne peut pas fonctionner correctement. Vous avez le même numéro de réseau de part et d'autre du lien vpn.
Comment imaginez vous que Pfsense (ou n'importe quel équipement IP) puisse choisir de router via le vpn des paquets alors que les destinations sont accessibles localement ?
Décidément vous êtes fâché avec les bases de l'adressage réseau. Cf ce que je disais plus haut sur l'adressage en 192.168.1.0/24, tout comme 192.168.0.0/24 … -
Merci de votre retour
Je comprend très bien ce que vous dites mais avec mes faibles connaissances réseau : ce n'est pas le but d'un routeur de faire cela ?
Comme dit plus haut je ne suis pas un expert mais je pense q'un paramétrage est possible non ?De plus encore une fois avec mes connaissances limitées, on passe bien par un IP du type 10.0.8.0 qui fait le lien.
-
Je comprend très bien ce que vous dites mais avec mes faibles connaissances réseau
Nous arrivons à un stade où vis connaissances sont trop faibles par rapport au problème que vous essayer de traiter.
Vous pourriez lire cela : http://caleca.developpez.com/ce n'est pas le but d'un routeur de faire cela ?
.
Un routeur est fait pour interconnecter des réseaux différents.
Regardez comment est conçu et spécifié IP, quelles sont ces règles de fonctionnement et vous comprendrez que votre question n'est pas la bonne.je pense q'un paramétrage est possible non ?
Ce que vous pensez est une chose et la réalité des fonctionnements de TCP/IP en est une autre.
on passe bien par un IP du type 10.0.8.0 qui fait le lien.
Là encore mauvaise compréhension et méconnaissance du fonctionnement normal d'un réseau ip. Le lien donné plus haut pourrait vous éclairer.
Dans certains cas il y a une solution. Je le sais pour l'avoir déjà fait et avoir une configuration de ce type en production chez un client. Rien ne dit que c'est votre cas et d'autre part c'est très au delà de vos capacités techniques actuelles. C'est une solution qui utilise un lien Ipsec, mais ce n'est pas pour cea que çà fonctionne magiquement.
-
Merci de m'avoir rabaisser autant.
J’étais persuadé que les forums était un lieu d’échange et d'ENTRAINDE mais malheureusement comme vous le dites si bien la magie n’opère pas….. -
Vous avez tort de le prendre de cette façon. Il est évident que vous ne maitrisez pas le sujet. Aujourd'hui. En travaillant avec le lien que je vous ai communiqué vous pourriez gagner beaucoup de temps et cesser de tourner en rond. Et comprendre.
J’étais persuadé que les forums était un lieu d’échange et d'ENTRAINDE
Proverbe :
Donne un poisson au pauvre, il mangera un jour.
Apprend lui à pécher, il mangera toute sa vie.J'ajouterai qu'un problème bien compris est à moitié résolu.
Ne comptez pas sur moi pour vous donner une solution en 3 clics pour résoudre votre problème. Elle n'existe pas.
Ce que vous pensez est une chose et la réalité des protocoles en est une autre. Pour vous en sortir je vous conseille d'appréhender la réalité des protocoles. Ce sera beaucoup plus simple.