Perte internet OpenVPN



  • Bonjour à tous,
    J'espère que mon message ne sera pas trop long…

    Contexte : Pro (Remplacement de la liaison PPTP obsolète)

    Besoin : J'ai mis en place place un PFSENSE (dernière version en ligne) dans mon magasin, qui n'était aujourd'hui protégé que par le parefeu de la box (OVH),
    ce qui me paraissait assez léger. Aujourd'hui, j'aurai besoin de me connecter au serveur interne (via RDP) et donc, afin de ne pas exposer ce dernier en direct, j'aimerai passer par un VPN. Actuellement en place le très obsolète PPTP. J'ai hesité entre IPSEC et OPENVPN, mais en fouillant sur le forum, il semblerait que OPenVPN soit assez sécure et relativement simple à installer (je n'ai pas de bases poussées dans le domaine, je debute).
    J'ai donc mis en place cette liasion en suitant les tutos disponibles sur pas mal de site.
    Le serveur avec RDP est sur le même site que le PfSense gérant le serveur OpenVPN.

    Schéma :  3 Interfaces réseau, WAN, LAN, DMZ

    BOX OVH (IP PUBLIQUE)        –-  WAN PFSENSE  ---  LAN PFSENSE            ---    USERS     
          (192.168.1.100)    --- (192.168.1.103/24) --- (192.168.0.102/24)    ---
            GATEWAY                                + DHCP

    ---      DMZ                      ---    USERS
                                                              --- (192.168.2.102/24)    ---  (INVITES)

    WAN (modem/routeur/box) : 1 WAN, IPV4 fixé / IPV6 (DHCP), Derière la box, 1 IP publique attribuée à la BOX

    LAN : 1 seul avec DHCP pour les postes utilisateurs (mais je fixe une ip en général), DNS + Gateway utilisé: 192.168.0.102 (IP du Lan)
    Dhcp: 192.168.0.50 - 192.168.0.60

    DMZ : Utilisé pour un pc "invité" avec portail captif + Squid (192.168.2.102) en mode transparent

    WIFI : J'utilise le Wifi de la box pour le moment (donc sans passer par PfSense), n'ayant pas d'interface sur le boitier (uniquement quelques portables connectés).

    Autres interfaces : Aucune.

    Règles NAT :

    Port Forward:

    http://zupimages.net/viewer.php?id=16/42/3gba.jpg

    OutBound:

    http://zupimages.net/viewer.php?id=16/42/rhw6.jpg

    Pas de 1-to-1, ou de NPt

    DNS paramétré dans la configuration générale de PfSense:
    127.0.0.1
    192.168.1.100
    91.121.61.147
    87.98.149.171

    Règles Firewall :

    Voici les règles du Firewall


    http://zupimages.net/viewer.php?id=16/42/pz28.jpg


    http://zupimages.net/viewer.php?id=16/42/zvoo.jpg


    http://zupimages.net/viewer.php?id=16/42/edd4.jpg


    http://zupimages.net/viewer.php?id=16/42/a6ho.jpg

    Packages ajoutés :

    Squid pour la conservation des logs et le passage par ClamAv (en particulier pour le poste client)
    Client Export pour l'installation simplifiée des postes clients OpenVPN

    Autres fonctions assignées au pfSense :

    Portail captif sur l'interface DMZ uniquement avec TimeOut 10 minutes. Authentification avec utilisateur avec "Allow only users/groups with "Captive portal login" privilege set"

    OpenVPN pour l'accès à un serveur en RDP. J'ai fais la configuration avec le Wizard.

    Squid pour le Lan et DMZ sans authentification mais ajouté manuellement pour le Lan (en transparent pour la DMZ) port classique 3128.

    Question :

    La connexion au VPN fonctionne correctement (ping des hôtes connectés des deux côtés sans problème), toutefois, je perds la connexion à internet, uniquement sur les postes connectés au VPN.
    A la déconnexion, la connexion internet refonctionne. Je suppose que c'est une erreur simple à résoudre, mais de mon coté, je ne vois pas, désolé  :-[
    Auriez-vous une piste?

    [u]Pistes imaginées
    Logs et tests :

    J'ai tout de suite pensé à un problème de DNS ou de Gateway, peut-être fais-je fausse route.
    A l'époque, ce problème avec PPTP se posait lorsqu'il était coché sur la carte "Passerelle par défaut utilisation sur réseau distant"
    J'ai tenté de retrouver ce réglage dans la connexion "TAP-WIndows" mais il est absent, raté  :-\

    J'ai forcé le DNS manuellement (en le fixant dans TAP-WINDOWS") en mettant l'ip de ma box. La connexion internet refonctionne, mais assez moyennement (lenteurs, site qui ne chargent pas…).

    J'ai coché: "DNS Server enable Provide a DNS server list to clients". L'ip de la Box est bien envoyée, mais le résultat est le même.

    Voici la configuration de la carte lors de la connexion au VPN, sur laquelle j'ai un serveur DHCP qui remonte et que je n'arrive pas à expliquer.


    http://zupimages.net/viewer.php?id=16/42/492p.jpg

    Voici ma configuration d'OpenVPN:


    http://zupimages.net/viewer.php?id=16/42/0iyt.jpg


    http://zupimages.net/viewer.php?id=16/42/yrpl.jpg


    http://zupimages.net/viewer.php?id=16/42/udr0.jpg


    http://zupimages.net/viewer.php?id=16/42/9iti.jpg

    Voici les routes enregistrées:

    http://zupimages.net/viewer.php?id=16/42/a9dj.jpg

    Logs lors de la connexion:

    Fri Oct 21 14:22:23 2016 OpenVPN 2.3.11 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
    Fri Oct 21 14:22:23 2016 Windows version 6.1 (Windows 7) 32bit
    Fri Oct 21 14:22:23 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
    Enter Management Password:
    Fri Oct 21 14:22:31 2016 Control Channel Authentication: using 'pfSense-udp-1194-boutique3-tls.key' as a OpenVPN static key file
    Fri Oct 21 14:22:31 2016 UDPv4 link local (bound): [undef]
    Fri Oct 21 14:22:31 2016 UDPv4 link remote: [AF_INET]109.xx.xx.xx:1194
    Fri Oct 21 14:22:32 2016 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    Fri Oct 21 14:22:32 2016 [OpenVPN.certificat] Peer Connection Initiated with [AF_INET]109.xx.xx.xx:1194
    Fri Oct 21 14:22:35 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Fri Oct 21 14:22:35 2016 open_tun, tt->ipv6=0
    Fri Oct 21 14:22:35 2016 TAP-WIN32 device [Connexion au réseau local 2] opened: \.\Global{36801FD6-07AE-4DBB-8C8C-7B0EF6EECF20}.tap
    Fri Oct 21 14:22:35 2016 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.1.0/10.0.1.3/255.255.255.0 [SUCCEEDED]
    Fri Oct 21 14:22:35 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.1.3/255.255.255.0 on interface {36801FD6-07AE-4DBB-8C8C-7B0EF6EECF20}

    [DHCP-serv: 10.0.1.254, lease-time: 31536000]
    Fri Oct 21 14:22:35 2016 Successful ARP Flush on interface [14] {36801FD6-07AE-4DBB-8C8C-7B0EF6EECF20}
    Fri Oct 21 14:22:40 2016 ROUTE: route addition failed using CreateIpForwardEntry: L’objet existe déjà.  [status=5010 if_index=11]
    Fri Oct 21 14:22:40 2016 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
    Fri Oct 21 14:22:40 2016 Initialization Sequence Completed
    Fri Oct 21 14:25:43 2016 SIGTERM[hard,] received, process exiting

    Je remarque bien une erreur au niveau route, que je n'arrive pas à identifier…

    complément de "Recherches" :

    L'ensemble de mes tests effectués ci-dessous n'ont que peut amélioré les choses, au mieux je peux me connecter à quelques sites avec des lenteurs. Je sèche :(
    J'ai refais l'installation plusieurs fois, mais je dois refaire la même erreur car le problème est similaire.

    Merci d'avance pour votre aide et conseils.

    EDIT: J'ai rajouté les liens vers les copies d'écran car elles n'étaient pas chargées dans le message, peut-être trop lourd?



    • Ton server DHCP, c'est tout simplement le serveur OpenVPN qui alloue une IP au client… sur le réseau OpenVPN (donc dans le tunnel).
    • est-ce que ton problème n'est pas simplement lié au DNS. Comme tu n'utilises pas de proxy, c'est le navigateur qui résout les nom et je ne vois pas de DNS "IPV4".
      Tu devrais en pousser un (au hasard pfSense ;-)) juste comme ça pour voir  ;)


  • Merci Chris.

    Je viens d'essayer "Provide a DNS server list to clients", mais comme dans mes essais, le serveur DNS est bien envoyé à la connexion VPN (visible si je fais un ipconfig), mais je n'ai toujours pas d'accès internet. J'ai tenté d'envoyer un peu toutes les ip à ma disposition: 192.168.1.100 (box), 192.168.1.103 (WAN) et 192.168.0.102 pour le LAN…

    J'ai même tenté par désespoir d'envoyer les DNS de Google en vain...
    Le ping entre les deux sites reste fonctionnel.
    Ais-je loupé quelque chose? (surement  ::))



  • Je ne comprends pas ce que "envoyer toutes les IP à ta disposition" veux dire.
    dans la copie d'écran de ton client, il n'y avait pas de DNS IPV4, d'où ma remarque mais si il y en a un, c'est OK.

    Ton DNS devrait être, si tu as configuré le service "DNS resolver" de pfSense, pfSense lui-même, sur son IP LAN.

    Plutôt que de faire des ping, assures-toi avec un nslookup, coté client, que tu arrives bien à résoudre les URL
    Une fois que ça fonctionne, si tu n'as toujours pas accès à internet avec ton browser (car je suppose que c'est ça ton symptôme), tu devrais voir dans les logs de pfSense (au niveau du FW) des blocages.
    Pense à activer les logs "pour tout" provisoirement. C'est un peu bavard mais tu peux faire des filtres.

    ça devrait te donner une bonne idée de ce qui se passe.

    Tu parles de "ping des 2 sites"…. nous sommes bien dans une configuration VPN "client - serveur" et pas "site à site" ?



  • Désolé, ce n'était en effet pas très clair.
    Lorsque je parle d'envoyer toutes les IP, je parle du champs "Provide a DNS server list to clients" dans lequel j'ai tenté de saisir l'ip du lan, de ma box ou même du Wan. Si je ne saisie pas d'ip à cet endroit, rien n'est remonté sur le client et donc, on se retrouve sans DNS IPV4 dans la config comme dans ma copie d'écran.

    DNS resolver est bien actif, mais pas défaut, je n'ai rien touché à la configuration…

    Il doit bien y avoir un soucis de ce coté:

    C:\Users\boutique3>nslookup
    DNS request timed out.
        timeout was 2 seconds.
    Default Server:  UnKnown
    Address:  192.168.1.100

    google.Fr
    Server:  UnKnown
    Address:  192.168.1.100

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Request to UnKnown timed-out

    Voila ce que me donne un extrait des logs dans l'onglet Firewall

    Oct 21 15:48:20 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                        Cannot resolve TCP:FA
    Oct 21 15:48:20 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55529
                                                                        Cannot resolve TCP:FA
    Oct 21 15:48:21 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                        Cannot resolve TCP:FA
    Oct 21 15:48:21 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                      Cannot resolve TCP:FA
    Oct 21 15:48:21 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                        Cannot resolve TCP:FA
    Oct 21 15:48:23 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                      Cannot resolve TCP:FA
    Oct 21 15:48:23 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55529
                                                                      Cannot resolve TCP:FA
    Oct 21 15:48:25 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                      Cannot resolve TCP:FA
    Oct 21 15:48:28 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55529
                                                                      Cannot resolve TCP:FA
    Oct 21 15:48:29 ► ovpns1 216.58.208.163:443 lhr25s09-in-f3.1e100.net 10.0.1.3:55527
                                                                      Cannot resolve TCP:FA

    J'ai des cannot resolve  un peu partout.

    Concernant le ping des deux sites, si je connecte un client OpenVPN en local et l'autre sur le site distant, j'arrive bien à avoir 2 adresses qui peuvent se pinger entre elles, mais impossible d'acceder à internet via un browser.
    Le but est de pouvoir accéder à un serveur RDP sans exposer le serveur en direct.



  • C'est en effet une très bonne idée d'établir un tunnel VPN pour faire du RDP  8)

    Il y a probablement des difficultés au niveau DNS (il faut que je regarde ta conf plus en détail mais il y a beaucoup d'infos) et aussi, me semble t-il un souci potentiel avec IP V6.
    Tu utilises IP V6 ?

    tu as un IP en V6 sur ton poste client qui donc doit essayer ça en premier, je pense.



  • Merci pour tes réponses et ta patience  ::)

    Non, pas de besoin précis pour l'IPV6.
    Du coup, je l'ai désactivé sur la carte réseau du poste client…

    Mais mes espoirs on vite été brisés  :'(  ;D



  • Hum… je continue à chercher off course  :P

    Si je force le client à recevoir les DNS d'OVH (de ma connexion Internet) (91.121.61.147 et 87.98.149.171).
    la connexion à internet (navigateur) est de nouveau active. Je ne sais pas si cette solution peut-être utilisée? Quelle en serait les conséquences?



  • :o
    Je ne comprends pas. Dans ta description, tu dis que tu fais passer tout le flux via le tunnel VPN.
    Que peut-il alors passer par ta connexion "internet" ?
    Lorsque le tunnel est établi, quelles sont les routes, sur le client ?

    TCP:FA, c'est de la fragmentation, potentiellement liée à un routage asymétrique non ?