Comment les clients OpenVPN peuvent accéder au LAN ?
-
Bonjour,
Je dois mettre en œuvre un serveur VPN basé sur OpenVPN avec pfSense pour permettre aux collaborateurs itinérants de se connecter au site de l'entreprise à l'aide d'une connexion Internet quelconque (Box Domicile, Client, Hôtel, partage de connexion 4G d'un Smartphone, etc.).
Pour ce faire j'ai utilisé le Wizard OpenVPN en suivant ce tuto :
https://www.tech2tech.fr/openvpn-sur-pfsense-le-teletravail-facile-et-securise/
Tout s'est bien déroulé, j'ai suivi toutes les étapes et la connexion VPN monte immédiatement et reste stable.
Le problème c'est que le PC portable que j'ai utilisé pour faire un test n'accède pas aux différentes ressources du réseau de l'entreprise. Ca n'est pas étonnant vu que la connexion au Serveur VPN attribue au PC une adresse IP qui n'est pas dans l'espace du réseau local de l'entreprise. Et c'est logique vu les paramètres de la section "Tunnel Settings" dans laquelle j'ai :
IPv4 Tunnel Network : 10.0.8.0/24
IPv4 Local network(s) : 192.168.0/24Effectivement, le PC portable se voit attribuer l'adresse 10.0.8.2 et sur ce PC lorsque je ping l'adresse 10.0.8.1 ça fonctionne bien (j'avais bien compris que le serveur VPN allait s'attribuer la 1ère adresse dispo dans l'espace défini pour le tunnel puis les adresses suivantes aux clients qui se connectent).
Donc lorsque je ping une adresse du LAN de l'entreprise, par exemple 192.168.2.1 ça ne passe pas.
En gros je me trouve dans le cas du diagramme joint, aux adresses près :
Ma question est : par quel mécanisme puis-je réaliser ces connexions afin de donner à mes PC itinérants accès aux ressources du LAN ? Est-ce un problème de paramétrage des adresses du serveur VPN ou dois-je ajouter une autre fonction genre un NAT ?
Merci de votre aide.
Pascal.
-
Quelque soit le sujet, il est recommandé de lire A LIRE EN PREMIER, et de présenter les choses en suivant ce fil ...
'J'ai suivi le tuto', beaucoup commence comme ça : cela ne dispense pas de réfléchir et d'adapter ! Ne pas négliger la lecture de la doc pfSense, les tutos peuvent passer sous silence certaines nécessités !
Votre schéma est peu précis, et ne facilite pas le lecteur !
- incohérent avec les réglages indiqués en dehors
- incohérent car adressage identique de part et d'autre.
Compte tenu des incohérences, comme les autres lecteurs, il m'est impossible de comprendre votre problème.
Le tuto ne facilite pas les choses : il décrit des réglages, sans commencer par indiquer toutes les opérations à régler :
- le contexte : le réseau interne, le réseau des clients vpn,
- l'authentification,
- les règles firewall nécessaires,
- le client sur pc et la contrainte imposée (user admin ou pas)
Le tuto mentionne le 'wizard' (l'assistant) : si vous maitrisez, cela facilite la mise en oeuvre, mais quand on hésite, on modifie, j'ignore si l'assistant corrige et ajuste ? C'est pourquoi je précise les étapes (très succinctement).
Mettre en oeuvre OpenVPN avec pfSense n'est pourtant pas si difficile (si chaque étape a été bien prise en compte), mais à minima, il y a des éléments à correctement définir à votre choix.
-
Bonjour,
Merci d'avoir répondu.
Effectivement, ma question est mal posée et je n'ai pas respecté les pré-requis pourtant définis dans le post A LIRE EN PREMIER.
Je vais revoir tout ça en relisant la doc de pfSense sur le sujet et revenir ici pour donner les précisions demandées en cas de besoin.
Pascal.
-
Pas de drame, rien n'est une absolue nécessité.
Ce qui compte, c'est de bien comprendre les étapes avec leur conséquences, et cela doit maturer un peu ...
-
Bonjour,
Je reviens pour vous informer de l'avancement de la résolution de mon problème.
En fin de compte la cause n'était pas située dans les paramètres du serveur VPN créé à l'aide du Wizard de pfSense. Il fait très bien le job, du moins dans ma configuration.
En fait j'utilise temporairement 2 pfSense et mes serveurs et la plupart de mes postes étaient paramétrés pour utiliser l'autre pfSense comme passerelle. Donc le trafic issu de mon poste client VPN entrait bien sur mon réseau et arrivait sur mes cibles internes mais les réponses ne parvenaient pas en retour à mon client VPN.
J'ai redirigé mes machines vers le pfSense qui est le serveur VPN et tout est rentré dans l'ordre.Pour chercher j'ai utilisé les outils de diagnostic de la procédure décrite ici :
https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn.html
Par contre en parcourant la doc sur le site, j'ai découvert qu'il y avait maintenant une 3ème solution de VPN intégrée (prochainement ?) dans pfSense, WireGuard, qui serait plus performante qu'OpenVPN...
Pascal
-
On est là dans l'erreur classique d'avoir les yeux focalisés, et on ne voit donc pas tous les éléments en jeu. D'où l'importance de passer par le formulaire A LIRE EN PREMIER : on doit exposer peut-être plus de choses, et parfois cela permet de voir plus loin.
WireGuard est une solution qui pourrait prendre la suite d'OpenVPN (surtout pour le mode Roadwarrior). Je ne pense pas que le produit soit encore en phase de mise en prod ...
(Plus performant ? Avec des concepts plus sûr, oui ! Exemple : une faiblesse de tous VPN consiste en la négo de protos d'authentification ou cryptage, qui peuvent être obsolète et sont conservés pour compatibilité ...)