Problème connexion OpenVPN site-à-site

zamakli

This post is deleted!

ccnet

@zamakli said in Problème connexion OpenVPN site-à-site:

Bonjour, J'ai créé une connexion vpn via Opevpn. Tout ceci marche très bien. Le seul problème, c'est quand je connecte un client au serveur, je ne plus accéder à mon réseau local et à internet. Comment faire ???? Merci de vos réponses.

Ouvrez votre propre discussion et fournissez de la documentation sur votre configuration. Pour le moment votre question est : Pourquoi çà marche pas ?
Mais nous ne savons pas de quoi vous parlez.

chuck2kill

tout d'abord désolé pour la réponse tardive.
Je sais que c'est un projet qui n'est pas idéal, j'aurais préféré passer en ipsec, mais le pfsense distant doit passer par une box 4g pour la connexion, ce qui implique une ip dynamique. Par conséquent le tunnel en openVPN me paraît plus indiqué.

Par ailleurs, je pense avoir résolu une partie de mon problème. En effet, j'ai activé les interfaces correspondant au VPN (OPT1 sur les 2 pfsense en 172.16.0.1/30 et 172.16.0.2/30) et je les ai assignées en tant que passerelles par défaut.

Maintenant j'ai une connexion stable entre les 2 pfsense. De plus, les machines sur mon réseau distant peuvent pinger toutes les machines sur mon réseau local. Malheureusement l'inverse n'est pas vrai. Les machines du réseau local ne peuvent pas aller plus loin que le pfsense distant.

Ma question est la suivante: Le fait de passer par une connexion openVPN site à site peut-il empêcher la réciprocité des pings?

ccnet

@chuck2kill
Non, rien n'interdit dans un lien vpn, toutes technos confondues, le fonctionnement d'icmp.

chuck2kill

@ccnet
je me posais cette question du fait de la configuration serveur client. Mais j'ai certainement oublié quelque chose.

Ce qui m'étonne, c'est que l'accès fonctionne dans un sens mais pas dans l'autre.
J'ai d'ailleurs fait fonctionner un wireshark sur le pc distant. On voit bien la requête arriver, mais le PC ne renvoie pas de réponse. Je ne vois pas de raison autre que des règles de pare feu restrictives. Et pourtant tout est ouvert.

ccnet

@chuck2kill

• J’ai d’ailleurs fait fonctionner un wireshark sur le pc distant. On voit bien la requête arriver, mais le PC ne renvoie pas de réponse. Je ne vois pas de raison autre que des règles de pare feu restrictives. Et pourtant tout est ouvert.

Si le paquet icmp reply ne part pas du pc, ce n'est pas Pfsense qui l'en empêche. Firewall local peut être .... Mauvaise interprétation de la capture. Si c'était le cas, le blocage des paquets icmp reply serait visible dans les logs (si ils sont actifs) de Pfsense.

chuck2kill

@ccnet
sur wireshark je vois les ICMP request avec, d'après mes souvenirs, (reply not found). J'ai donc pensé au firewall de la machine, mais il est désactivé. D'ailleurs, j'ai testé ce pc sur un autre réseau et le ping fonctionne.

De plus, j'ai installé un autre PC pour jouer le rôle du poste distant, et là, même problème, pas de ping.

En tout cas merci de prendre un peu de temps pour répondre à mes questions.

ccnet

@chuck2kill
Que donne les logs du firewall (pfsense) pour l'interface où sont sensé arriver les icmp reply ?
Vérifiez aussi le fonctionnement de arp.
Vous confirmez qu'en sens inverse c'est fonctionnel ?
Le côté ennuyeux de votre config est que d'un côté vous avez une interface logique Openvpn sur Pfsense et de l'autre un client d'Openvpn. Dans quel sens ce n'est pas fonctionnel (j'ai la flemme de tout relire) ?

chuck2kill

@ccnet
En ce qui concerne les logs, voici le résultat:

192.168.12.50 est mon client distant et 172.16.0.1 est l'interface du tunnel.
On voit donc qu'il y a un request mais pas de reply.

Voici ensuite la table ARP:

Je confirme effectivement que c'est fonctionnel dans le sens client -> serveur.
C'est le sens serveur -> client qui ne fonctionne pas.

chuck2kill

Bon,

J'ai trouvé le problème, après plusieurs recherches, il semblerait que le problème venait du pare feu du PC. Je suis passé sur un PC en Win 10 et j'ai enlevé le pare feu. Maintenant le ping passe dans tous les sens.

A priori, sur l'ancien PC en win7, même si j'avais enlevé le pare feu, il devait y avoir une option qui m'avait échappée.

En tout cas merci pour votre aide, maintenant il ne me reste plus qu'à affiner la configuration, mais le plus important est que mon VPN soit opérationnel.

chris4916

J'avoue que j'avais un peu du mal à comprendre comment un tunnel "site-à-site" peut être impacté par le fonctionnement d'un poste de travail sur un des LAN.
De toute évidence, maintenant que tu as trouvé la cause du problème, celui-ci était du à ta manière de vérifier que le VPN fonctionne correctement

Un peu comme lorsque la mesure elle même perturbe le résultat

chuck2kill

Oui c'est vrai. comme quoi il ne faut négliger aucune piste dans la recherche de solutions. C'est une bonne leçon.