Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN - Peer to Peer

    Scheduled Pinned Locked Moved Français
    29 Posts 5 Posters 4.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • -
      -Sylvain-
      last edited by

      Bonjour,

      Je rencontre des difficultés dans la configuration de mon tunnel VPN entre 2 sites.
      Mon tunnel se monte correctement, par contre je n'arrive pas connecter les machines des réseaux différents réseaux les unes avec les autres.

      Explications :

      VPN : PeerToPeer (SSL/TLS)

      –-- Site 1 - Server
      LAN : 172.16.1.254/24
      WAN : IP Public
      IP VPN : 10.0.10.1

      ---- pfSense - Site 2 : Client
      La WAN du site 2 est dans une DMZ, derrière un firewall.
      LAN : 192.168.10.10/23
      WAN : 192.168.40.200/24 (DMZ)
      IP VPN : 10.0.10.2
      ---- Firewall Site 2
      LAN : 192.168.40.254 (DMZ)
      WAN : IP Public

      ---- Les premiers tests :
      Le client pfsense fait un ping sur l'IP VPN du serveur (IP 10.0.10.1) ==> OK
      Le serveur pfsense fait un ping sur l'IP VPN du client (IP 10.0.10.2) ==> OK
      Le client pfsense fait un ping sur l'IP LAN du serveur (IP 172.16.1.254) ==> OK
      Le serveur pfsense fait un ping sur l'IP LAN du client (IP 192.168.10.10) ==> Erreur

      Merci d'avance pour l'aide que vous pourrez m'apporter.

      -Sylvain-
      "May the force be with you! "

      1 Reply Last reply Reply Quote 0
      • B
        baalserv
        last edited by

        Bonjour,

        1/ Vérifier que les routes qui vont bien ont bien été ajouter sur le poste client. On peut vérifier à la fin des logs sur le client mais aussi en affichant la table de routage locale.
        Il est fréquent que cela survienne car il faut des droits administrateur pour éditer la table de routage sur le client.

        2/ Sur le site 1, pf est-il la GW par défaut des postes du Lan ? Si plusieurs GW sur le site 1 cela peut être un problème de ''route retour'' , voir :
        => https://forum.pfsense.org/index.php?topic=117350.0

        3/ FW soft sur les postes du lan ?

        Cdt

        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          La WAN du site 2 est dans une DMZ, derrière un firewall.

          Je ne comprend pas ce que cela signifie.
          Il est très probable que vos difficultés soient liées à une mauvaise configuration du routage. A titre personnel pour un VPN site à site, je préfère utiliser IPSec. Moyennant un routage correctement configuré tout cela est parfaitement neutre pour les utilisateurs. Ce qui ne signifie pas que votre solution ne finira pas par tomber en marche.
          Vérifiez aussi vos règles dans le tunnel.

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            @baalserv:

            1/ Vérifier que les routes qui vont bien ont bien été ajouter sur le poste client. On peut vérifier à la fin des logs sur le client mais aussi en affichant la table de routage locale.
            Il est fréquent que cela survienne car il faut des droits administrateur pour éditer la table de routage sur le client.

            A quel client fais-tu référence ?
            Nous sommes ici dans un mode peer-to-peer

            2/ Sur le site 1, pf est-il la GW par défaut des postes du Lan ? Si plusieurs GW sur le site 1 cela peut être un problème de ''route retour''

            Cette option me semble beaucoup plus probable.

            Il se peut également que le serveur VPN à une extrémité n'annonce pas bien sa route au serveur VPN de l'autre coté.
            Il faut donc vérifier les routes, comme tu le dis en "1", mais au niveau des serveurs VPN, AMHA

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • -
              -Sylvain-
              last edited by

              Ppur baalserv

              Voici les routes :

              Site 1 - Server

              Site 2 - Client

              Une machine du site 1

              Une machine du site 2

              Sur le site 1 je confirme bien que la GW est bien pf.
              Je n'ai qu'une seule GW.
              Il n'y a pas de FW soft sur les postes clients

              Pour ccnet :
              Ce que je veux dire c'est que pf est dans une DMZ derrière un FW. (1 port en DMZ / 1 port dans le LAN)

              -Sylvain-
              "May the force be with you! "

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                @-Sylvain-:

                Ce que je veux dire c'est que pf est dans une DMZ derrière un FW. (1 port en DMZ / 1 port dans le LAN)

                Vers le "LAN" qui est aussi le LAN du FW précédent ?
                Ce n'est pas très clair pour moi

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • -
                  -Sylvain-
                  last edited by

                  Pour faciliter la compréhension de mon réseau

                  -Sylvain-
                  "May the force be with you! "

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916
                    last edited by

                    … un schéma serait le bienvenu
                    j'intuite que tu as un pfSense derrière un autre FW (donc au final 2 FW en série) mais je n'en suis pas bien sûr, faute de schéma ou d’explication claire (ou alors je ne comprends pas)

                    Si c'est bien le cas, quelles sont les règle sur le FW en frontal ?

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • -
                      -Sylvain-
                      last edited by

                      Pour chris4916

                      Tu ne vois pas mon schéma ?

                      Oui j'ai 2 firewall en série.
                      En quoi les règles du FW frontal impacte le tunnel VPN ?
                      Concernant les regles du FW frontal

                      Deny | DMZ ==> WAN | Any service
                      Allow | DMZ ==> WAN | Port 1195(OpenVPN)

                      Deny | WAN==> DMZ| Any service

                      Veux tu des informations  sur les règles LAN <==> DMZ et/ou LAN <==> WAN ?

                      -Sylvain-
                      "May the force be with you! "

                      1 Reply Last reply Reply Quote 0
                      • C
                        chris4916
                        last edited by

                        @-Sylvain-:

                        Tu ne vois pas mon schéma ?

                        non

                        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                        1 Reply Last reply Reply Quote 0
                        • -
                          -Sylvain-
                          last edited by

                          Schema

                          http://imgur.com/EVRVY3v

                          -Sylvain-
                          "May the force be with you! "

                          1 Reply Last reply Reply Quote 0
                          • C
                            chris4916
                            last edited by

                            Dans ce que je vois (maintenant) de ton schéma et que je mets ça en regard de ta première explication, tu dis que pfSense sa propre interface LAN, c'est bien ça ???  :o
                            J'avoue être un peu largué.
                            Je vais essayer de relire tout ça.

                            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                            1 Reply Last reply Reply Quote 0
                            • -
                              -Sylvain-
                              last edited by

                              Oui j'utilise 2 cartes 1 WAN et 1 LAN
                              Si tu as une meilleure proposition je suis preneur.

                              -Sylvain-
                              "May the force be with you! "

                              1 Reply Last reply Reply Quote 0
                              • C
                                chris4916
                                last edited by

                                @chris4916:

                                Dans ce que je vois (maintenant) de ton schéma et que je mets ça en regard de ta première explication, tu dis que pfSense sa propre interface LAN, c'est bien ça

                                En même temps, si je n'écris que la moitié des mots, ce n'est pas très compréhensible  ::)
                                Désolé.
                                Je voulais écrire que "pfSense ne ping pas sa propre interface"

                                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                1 Reply Last reply Reply Quote 0
                                • C
                                  ccnet
                                  last edited by

                                  Le plus simple serait de publier vos configurations "serveur" et " client".  Tout cela reste obscure.

                                  Lorsque le problème sera résolu, je suis intéressé par la motivation des firewalls en série ….

                                  1 Reply Last reply Reply Quote 0
                                  • -
                                    -Sylvain-
                                    last edited by

                                    Pour chris4916

                                    Le client et le serveur ping leur propre IPs (LAN  + VPN), pas de problème de ce coté là.
                                    Le client ping l'interface du serveur (LAN + VPN)
                                    Le serveur ping uniquement l'interface VPN du client. L'interface LAN ne répond pas.

                                    Popur ccnet

                                    Suggères tu que je dois remplacer mon firewall existant (hardware) par pf ?

                                    -Sylvain-
                                    "May the force be with you! "

                                    1 Reply Last reply Reply Quote 0
                                    • C
                                      ccnet
                                      last edited by

                                      @-Sylvain-:

                                      Suggères tu que je dois remplacer mon firewall existant (hardware) par pf ?

                                      Non, je m'interroge juste sur la raison d'être de cette architecture.

                                      1 Reply Last reply Reply Quote 0
                                      • TataveT
                                        Tatave
                                        last edited by

                                        salut salut

                                        pf est un pare feu aussi, d'où la question/suggestion de ccnet je pense.

                                        Personnellement je en comprends pas trop le schéma
                                        si j'ai bien vu
                                        on a un pf en vert qui a 3 cartes , et dont une protège un réseau en 10.0.10.0/24
                                        on a un réseau en 10.0.10.0/24 a aussi deux  pf en mauve et en vert
                                        on a un pf en mauve a 3 cartes, dont une avec le réseau en 10.0.10.0/24
                                        on a un un pare feu hardware entre les deux pf qui sont eux des pare feu logiciel/os

                                        je ne comprend pas trop l’intérêt du montage ou il nous manque des info et pas qu'une.

                                        Cordialement.

                                        aider, bien sûre que oui
                                        assister, évidement non !!!

                                        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                                        apprendre à un homme comment cuisiner, il sera vivre.

                                        1 Reply Last reply Reply Quote 0
                                        • -
                                          -Sylvain-
                                          last edited by

                                          Pour tatave

                                          Le réseau bleu (10.0.10.0/24) c'est le réseau VPN (les cartes sont virtuelles …)
                                          Le réseau vert c'est le serveur : il y 2 cartes une pour le WAN et une pour le LAN.
                                          Le réseau mauve (surement celui qui pose problème) c'etst le client avec le FW frontal en tête de ligne. Il ne gère pas les tunnel VPN, je suis donc obligé d'utiliser un second firewall en cascade, derrière le frontal. c'est pfSense. j'ai raccordé pfsense a la DMZ géré par le FW frontal. donc 2 cartes : une raccordé à la DMZ et une raccordé au LAN.

                                          j'espère être clair

                                          -Sylvain-
                                          "May the force be with you! "

                                          1 Reply Last reply Reply Quote 0
                                          • C
                                            chris4916
                                            last edited by

                                            @-Sylvain-:

                                            j'espère être clair

                                            Pas assez pour que je comprenne car tu écris

                                            Le serveur pfsense fait un ping sur l'IP LAN du client (IP 192.168.10.10) ==> Erreur

                                            et sur ton schéma, pour moi, 192.168.10.10, c'est précisément l'adresse LAN de pfSense

                                            il y a un typo quelque part ?
                                            Quelle est la passerelle par défaut des machines sur le réseau 192.168.10.0/23 ?

                                            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.