Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Site à Site OpenVPN - Problème de routes ?

    Scheduled Pinned Locked Moved Français
    6 Posts 4 Posters 348 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      Obare
      last edited by

      Bonsoir à vous ,

      Contexte : Il s'agit d'un milieu professionnel, cela avait toujours été utilisé pour des actions basiques donc mon niveau est resté basique sur ces produits. Ces derniers sont en prod.

      Besoin : J'ai monté entre le site de production et le site de backup un VPN OpenVPN site à site (enfin essayé) entre deux netgate.

      Schéma : Réseau Prod(192.168.0.X/24)----PFsenseProd(192.168.0.1)--------Box------Box------PfsenseBackup(192.168.1.1)----Réseau Backup(192.168.1.X/24)

      WAN (modem/routeur/box) :

      • Box Prod = Livebox Pro (règle NAT ok car VPN classique sans soucis)
      • Box Backup = VideoFutur (Aucun réglage possible d'où le site à site)
      • Netgate prod SG 2440
      • Netgate Backup MBT 2220

      LAN :

      • 1 DHCP sur chaque équipement Netgate
      • Aucun VLAN, réseau basique
      • Serveur OPEN VPN sur site de production

      DMZ :

      • Néan

      WIFI :

      • Néan

      Autres interfaces :

      • Néan

      Règles NAT :
      Sur site backup outbount :
      WAN 127.0.0.0/8 ::1/128 192.168.1.0/24 192.168.50.0/24 * * 500 WAN address * Auto created rule for ISAKMP
      WAN 127.0.0.0/8 ::1/128 192.168.1.0/24 192.168.50.0/24 * * * WAN address * Auto created rule

      Sur site de prod outbount:
      WANORANGE 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * 500 WANORANGE address * Auto created rule for ISAKMP
      WANORANGE 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * * WANORANGE address * Auto created rule
      WANBOUYGUES 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * 500 WANBOUYGUES address * Auto created rule for ISAKMP
      WANBOUYGUES 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * * WANBOUYGUES address * Auto created rule

      Règles Firewall :
      Site Backup
      Open VPN (tout est open):
      States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
      0 /0 B IPv4 * * * * * * none
      LAN :
      States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
      2 /11.06 MiB* * * LAN Address 443 80 22 * * Anti-Lockout Rule
      38 /77.26 MiB IPv4 * * * * * * none
      WAN:
      States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
      1 /24 KiB IPv4 * * * * * * none

      Site de prod:
      WAN:
      States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
      IPv4 UDP * * * 1194 (OpenVPN) * none
      LAN:
      States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
      3 /18.63 MiB * * * LAN Address 443 80 22 * * Anti-Lockout Rule
      27 /1.93 TiB IPv4 * LAN net * * * * none Default allow LAN to any rule
      0 /0 B IPv6 * LAN net * * * * none Default allow LAN IPv6 to any rule
      OPENVPN
      States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
      0 /83 KiB IPv4 * * * * * * none

      Packages ajoutés :
      Néan

      Autres fonctions assignées au pfSense : VPN

      Question : Le statut est UP. Le netgate du site de backup ping tout sur le LAN du site de prod. Le netgate du site de prod ne ping rien sur le site de backup. Les clients du site de backup ne ping rien du site de prod et les clients du site de prod ne ping rien sur le site de backup. Quel est l'élément que j'ai pu oublié pour que tout puisse se joindre ?

      Pistes imaginées:

      • Problème de Routing

      Recherches :

      • Contrôles des IP
      • Contrôle des ports Forwarding Livebox
      • Test avec Client OpenVPN au travers de ces redirection

      Logs et tests :

      • test expliqués plus haut, Le statut est UP. Le netgate du site de backup ping tout sur le LAN du site de prod. Le netgate du site de prod ne ping rien sur le site de backup. Les clients du site de backup ne ping rien du site de prod et les clients du site de prod ne ping rien sur le site de backup.
        -Avec tracert cela ne remonte pas plus haute que la gateway locale du site de backup

      Merci d'avance pour votre lecture et votre temps !

      ☺

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Un test simple : que donne un tracert depuis un client du site backup vers une machine du site principal. L'inverse aussi. Vous serez fixé sur le fonctionnement du routage.
        Ne pas oublier les routes retour.

        1 Reply Last reply Reply Quote 0
        • O
          Obare
          last edited by

          Bonsoir Ccnet,

          Cela ne fonctionne pas c'est ce que j'avais essayé.

          1 <1 ms <1 ms <1 ms RZO-Improds.localdomain [192.168.1.1]
          2 * * * Délai d’attente de la demande dépassé.
          3 * * * Délai d’attente de la demande dépassé.
          4

          Malheureusement je n'ai aucune idée de comment procéder, existe t-il des "tuto" ?

          Merci :)

          1 Reply Last reply Reply Quote 0
          • kiokomanK
            kiokoman LAYER 8
            last edited by kiokoman

            il y a des switch layer 3 avec le même adresses ?
            peut-être?
            le trafic est nul sur le Site Backup
            0/0
            problème de routes je pense
            ce serait mieux si vous aviez pris des photos de la configuration openvpn

            ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
            Please do not use chat/PM to ask for help
            we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
            Don't forget to Upvote with the 👍 button for any post you find to be helpful.

            1 Reply Last reply Reply Quote 0
            • H
              HuskerDu
              last edited by

              Bonjour,

              Sur le site de production, il semble y avoir deux liens (OBS et BY). Deux questions :

              • Est ce que le trafic est routé symétriquement (si pas de réponse, passez à la question 2) ?
              • Quel comportement quand un des deux WAN est désactivé (des chances que ça tombe en marche) ?
              1 Reply Last reply Reply Quote 0
              • O
                Obare
                last edited by

                Bonjour à vous, merci pour vos retours.

                @kiokoman négatif aucun L3, les deux PFsense sont placés tous deux derrière des box.
                Le site de production a un PFsense placé derrière une livebox PRO donc le port 1194 est NAT vers le PFsense.
                Sur le site de backup il y a une box VideoFutur mais en tant que "site client" il n'y a pas d'ouverture de flux à faire dans la box (c'est d'ailleurs pour cela que le VPN est monté dans ce sens car la box VideoFutur est une vraie daube et on ne peut rien paramétrer).

                Pour rappel, mon PFsense client (backup) peut accéder à n'importe quel périphérique derrière le PFsense de prod (le serveur vpn). Mais mes périphérique du site de backup n'arrivent pas à passer dans le VPN.
                Dans l'autre sens, rien ne passe. Le site de prod, que ce soit le PFsense ou bien les périphériques n'arrivent pas à passer dans le VPN.

                L'état du VPN est cependant "UP"

                @HuskerDu effectivement il y avait deux liens, une Fibre Orange et une Fibre Bouygues. J'ai supprimé le liens Bouygues rien ne change. Mais le lien Bouygues était déjà désactivé lors des tests :(

                Merci d'avance pour votre lecture.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.