Erreur contrôle IP FTP/OpenVPN

djinlemage

Je viens de voir que dans le client OpenVPN j'ai ces messages :
Tue Jan 10 11:30:51 2017 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #14 ] – see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

djinlemage

Je suis repartie de zero avec une nouvelle installation du serveur.

Malheureusement, même résultat
Je peux me connecter ais pas accéder au réseau LAN à part l'interface d'admin de PFSense

Auriez vous une idée ?

Merci

djinlemage

Bonjour,

Après mon re départ, j'ai fait un schéma et des Screenshots pour que cela soit plus parlant (désolé de pas avoir fait ça des le début …)

J’espère que ça pourra vous aider.


ccnet

Je viens de regarder votre schéma. Il y a encore quelque chose qui ne peut pas fonctionner correctement. Vous avez le même numéro de réseau de part et d'autre du lien vpn.
Comment imaginez vous que Pfsense (ou n'importe quel équipement IP) puisse choisir de router via le vpn des paquets alors que les destinations sont accessibles localement ?
Décidément vous êtes fâché avec les bases de l'adressage réseau. Cf ce que je disais plus haut sur l'adressage en 192.168.1.0/24, tout comme 192.168.0.0/24 …

djinlemage

Merci de votre retour

Je comprend très bien ce que vous dites mais avec mes faibles connaissances réseau : ce n'est pas le but d'un routeur de faire cela ?
Comme dit plus haut je ne suis pas un expert mais je pense q'un paramétrage est possible non ?

De plus encore une fois avec mes connaissances limitées, on passe bien par un IP du type 10.0.8.0 qui fait le lien.

ccnet

Je comprend très bien ce que vous dites mais avec mes faibles connaissances réseau

Nous arrivons à un stade où vis connaissances sont trop faibles par rapport au problème que vous essayer de traiter.
Vous pourriez lire cela : http://caleca.developpez.com/

ce n'est pas le but d'un routeur de faire cela ?

.
Un routeur est fait pour interconnecter des réseaux différents.
Regardez comment est conçu et spécifié IP, quelles sont ces règles de fonctionnement et vous comprendrez que votre question n'est pas la bonne.

je pense q'un paramétrage est possible non ?

Ce que vous pensez est une chose et la réalité des fonctionnements de TCP/IP en est une autre.

on passe bien par un IP du type 10.0.8.0 qui fait le lien.

Là encore mauvaise compréhension et méconnaissance du fonctionnement normal d'un réseau ip. Le lien donné plus haut pourrait vous éclairer.

Dans certains cas il y a une solution. Je le sais pour l'avoir déjà fait et avoir une configuration de ce type en production chez un client. Rien ne dit que c'est votre cas et d'autre part c'est très au delà de vos capacités techniques actuelles. C'est une solution qui utilise un lien Ipsec, mais ce n'est pas pour cea que çà fonctionne magiquement.

djinlemage

Merci de m'avoir rabaisser autant.
J’étais persuadé que les forums était un lieu d’échange et d'ENTRAINDE mais malheureusement comme vous le dites si bien la magie n’opère pas…..

ccnet

Vous avez tort de le prendre de cette façon. Il est évident que vous ne maitrisez pas le sujet. Aujourd'hui. En travaillant avec le lien que je vous ai communiqué vous pourriez gagner beaucoup de temps et cesser de tourner en rond. Et comprendre.

J’étais persuadé que les forums était un lieu d’échange et d'ENTRAINDE

Proverbe :
Donne un poisson au pauvre, il mangera un jour.
Apprend lui à pécher, il mangera toute sa vie.

J'ajouterai qu'un problème bien compris est à moitié résolu.

Ne comptez pas sur moi pour vous donner une solution en 3 clics pour résoudre votre problème. Elle n'existe pas.
Ce que vous pensez est une chose et la réalité des protocoles en est une autre. Pour vous en sortir je vous conseille d'appréhender la réalité des protocoles. Ce sera beaucoup plus simple.

djinlemage

Je ne le prends pas mal !

Pour vous situer le contexte global (qui finalement n'a pas d’intérêt dans la mise en place de la solution mais à le mérite de situer "mon état d'esprit" :

Je suis le seul informaticien à gère une entreprise de plus de 100 users , une 70ene de postes, une 15ene de serveurs, une flotte mobiles conséquente et plusieurs site distant (réseau, switch etc …).
Bref, je ne cherche pas et je n'ai jamais chercher une solution clé en main ou toute faite.

J'ai une contrainte de temps du fait de l'activité de mon poste et malheureusement pas le temps de passer une formation complète sur l’architecture réseau.

Si la seule solution est de

• soit change tout le plan d'adressage du réseau du site
• ou soit de passer sur de l'IPSec

Dans ce cas, je prendrais la première solution mais pas avant 4-6 mois le temps de voir la faisabilité, le changement des équipements en IP statics et surtout voir l'impact sur les chemins réseau pour les users.

Bref du coup, pour l'instant, je reste sur mon PFSense bancale avec ses 2 interfaces dans le LAN 192.168.1.x
Le VPN fonctionne mais pas le FTP, je m'en arrangerais et c'est impactant que les solution au dessus.

Merci

ccnet

Changer le plan d’adressage est de loin la meilleure solution. Vous réglerez une fois pour toute une source de problèmes récurrents. Je le redis, évitez les réseaux 192.168.0.0 et 192.168.1.0 (idem avec 10.0.0.0). Prenez ce qui vous parle mais en dehors des réseaux courants. Si 192.168.164.0/24 vous plait, alors en voiture ! Vous pouvez même le jouer aux dés.