Pfsense, OpenVPN et Microsoft Azure



  • Bonjour à tous,

    Je suis en train de mettre un infrastructure en place dans Azure pour connecté des automates industrielles sur un superviseur centralisé. Pour cela nous souhaitons connecter les automates en openVPN (le client est directement dans l'automate) et le cloud Azure. Pour cela la seule solution proposé dans la catalogue Azure est pfsense et cela me convient parfaitement.

    J'ai mis en place dans Azure deux serveurs pfSense avec la réplication, le loadbalancing et un serveur OpenVPN, jusqu’à cette étape je n'ai pas rencontré trop de difficulté. Mes automates se connecte bien au serveur VPN.

    Premier point de blocage, comment je peux associer un client OpenVPN à une adresse IP Fixe sur le serveur OpenVPN, j'ai besoin de cette fonction pour établir la communication avec l'automate en permanence ?

    Deuxième point de blocage, la machine Azure possède une seule carte réseau qui à une adresse IP pour internet et une adresse IP pour le réseau local, comment je peux depuis une autre machine du réseau pfsense aller lire l'automate du réseau VPN? Mon réseau virtuel local Azure est 10.30.0.0/24 et j'ai mis mon réseau VPN en 10.30.1.0/24 pour mes essais. Si je fais un ping d'une machine tierce en 10.30.0.1 vers mon serveur pfsense 10.30.0.2, pas de problème çà fonctionne, par contre si depuis la machine 10.30.0.1 je veux lire mon automate en 10.30.1.1 la ça ne fonctionne pas. J'ai essayé de jouer avec les règles NAT 1:1 mais je n'ai pas réussi à atteindre mon automate, est-ce que quelqu'un aurait une idée ?

    Merci d'avance et bon weekend.



    1. Dérogations spécifiques aux clients - définissez un réseau de tunnels pour chaque client. Le client sera toujours à cette adresse

    2. Ne pas faire NAT, salissante. Définir des itinéraires. Le pfSense sait déjà comment rouler entre 10.30.0 et 10.30.1, mais probablement le client ne sait pas comment obtenir (ou répondre) à 10.30.1, seulement 10.30.0

    Ajoutez 10.30.1.0/24 aux réseaux locaux VPN / OpenVPN / Servers / Edit / IPv4, de sorte que l'itinéraire est transféré au client.

    1. Client specific overrides - set a Tunnel Network for each client.  Client will then always be at that address

    2. Don't do NAT, messy.  Set routes. The pfSense will already know how to route between 10.30.0 and 10.30.1, but probably the client doesn't know how to get (or reply) to 10.30.1, only 10.30.0

    Add 10.30.1.0/24 to VPN / OpenVPN / Servers / Edit / IPv4 local networks, so the route gets pushed to the client.