Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vpn openvpn pfsense <–-> freebox : route add command failed

    Scheduled Pinned Locked Moved
    Français
    2
    9
    1.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      whitewater
      last edited by

      Bonjour à tous,
      J'ai vu le sujet quelques fois sur le forum, sans vraiment trouver une solution.

      J'aimerai faire un VPN OpenVPN entre un pFsense (client) et une Freebox (server).

      Freebox : OpenVPN routed (server). 192.168.0.254
      Pfsense : OpenVPN en client. LAN : 192.168.10.251

      Je récupère le fichier de config depuis la Freebox, je créé le CA et le certificat client Openvpn Freebox sur pfsense.

      pfsense, j'ajoute le client VPN,
      Je reprend les paramètres du fichier client pour la partie crypto.

      puis :
      remote network : 192.168.0.0/24
      tunel network : 192.168.27.0/24

      Custom options, j'ajoute :
      route-gateway 192.168.27.67

      J'ai mis cette option car sur la Freebox, onglet Connexion, IP locale du client OpenVPN : 192.168.27.67
      sans ça, le ping expliqué ci-dessous ne fonctionne pas.

      Le lien est bien UP. Depuis le pFsense, je peux pinguer les équipements sur le réseau 192.168.0.x
      Par contre, pas de réponse au ping depuis un équipement du réseau 192.168.0.x vers le 192.168.10.0 ou du LAN 192.168.10.0 vers 192.168.0.x

      En lisant les logs pfsense, je comprend qu'il manque une route.
      Comment faire pour qu'il l'ajoute correctement ?

      Time	Process	PID	Message
May 10 10:59:11	openvpn	93846	Initialization Sequence Completed
May 10 10:59:11	openvpn	93846	ERROR: FreeBSD route add command failed: external program exited with error status: 1
May 10 10:59:11	openvpn	93846	/usr/local/sbin/ovpn-linkup ovpnc3 1500 1559 192.168.27.67 212.27.38.253 init
May 10 10:59:11	openvpn	93846	/sbin/ifconfig ovpnc3 192.168.27.67 192.8.2.66 mtu 1500 netmask 212.27.38.253 up
May 10 10:59:11	openvpn	93846	do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 10 10:59:11	openvpn	93846	TUN/TAP device /dev/tun3 opened
May 10 10:59:11	openvpn	93846	TUN/TAP device ovpnc3 exists previously, keep at program end
May 10 10:59:09	openvpn	93846	[Freebox OpenVPN server ef2636774608f1509b927f36e6c4afa3] Peer Connection Initiated with [AF_INET]<ip publique="" freebox="">:30327
May 10 10:59:07	openvpn	93846	WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
May 10 10:59:07	openvpn	93846	TCPv4_CLIENT link remote: [AF_INET]<ip publique="" freebox="">:30327
May 10 10:59:07	openvpn	93846	TCPv4_CLIENT link local (bound): [AF_INET] <ip publique="" pfsense="">May 10 10:59:07	openvpn	93846	TCP connection established with [AF_INET]<ip publique="" freebox="">:30327
May 10 10:59:06	openvpn	93846	Attempting to establish TCP connection with [AF_INET]<ip publique="" freebox="">:30327 [nonblock]
May 10 10:59:06	openvpn	93846	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 10 10:59:06	openvpn	93846	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 10 10:59:06	openvpn	93846	WARNING: using --pull/--client and --ifconfig together is probably not what you want</ip></ip></ip></ip></ip>

      Je ne comprend pas l'ip 192.8.2.66 dans le log

      extrait du fichier openvpn client, généré par pfsense :

      ifconfig 192.168.27.2 192.168.27.1
auth-user-pass /var/etc/openvpn/client3.up
route 192.168.0.0 255.255.255.0
ca /var/etc/openvpn/client3.ca 
cert /var/etc/openvpn/client3.cert 
key /var/etc/openvpn/client3.key 
resolv-retry infinite
topology subnet
route-gateway 192.8.27.67

      Pour la ligne ifconfig, il la rajoute automatiquement pour pouvoir discuter avec le réseau tunnel ?
      merci pour vos réponses  :D

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Pour les versions que j'exploite chez différents clients j'ajoute dans les "customs options"

        route-method exe
route-delay 2
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.7.0 255.255.255.0"

        en supposant que je veuille accéder aux sous réseaux mentionnés dans l'exemple.

        1 Reply Last reply Reply Quote 0
        • W
          whitewater
          last edited by

          Bonjour ccnet,
          Si je ne me trompe pas, ce que tu rajoutes est pour le client OpenVPN sur Windows.
          Dans mon cas, le fichier client a la commande pour ajouter la route :

          route 192.168.0.0 255.255.255.0

          Le problème, pFsense n'arrive pas à l'ajouter :

          ERROR: FreeBSD route add command failed: external program exited with error status: 1

          Parcequ'il faut des "droits" spéciaux, parceque ce n'est pas la bonne (ou une autre raison  :P) ?

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            En effet vous avez raison. J'ai regardé trop vite. Finalement je ne comprend plus bien votre problème. Je me repenche dessus lorsque j'ai un moment.

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Vraiment à côté ma réponse.
              C'est un type de config que je n'utilise pratiquement jamais. En regardant l'onglet de configuration du client côté Pfsense, dans "Tunnel settings" nous avons le champ :IP remote network. Ce qui a priori met en place le routage nécessaire.
              avec ce commentaire :

              IPv4 networks that will be routed through the tunnel, so that a site-to-site VPN can be established without manually changing the routing tables. Expressed as a comma-separated list of one or more CIDR ranges. If this is a site-to-site VPN, enter the remote LAN/s here. May be left blank for non site-to-site VPN.

              Est il renseigné ?

              1 Reply Last reply Reply Quote 0
              • W
                whitewater
                last edited by

                Vraiment à côté ma réponse

                Pas grave, ça arrive  ;)

                Oui, j'ai renseigné le champs. Voici ce que j'ai entré dans pFsense :
                IPv4 Tunnel Network : 192.168.27.0/24
                IPv4 Remote network(s) : 192.168.0.0/24

                Rien en IPv6.

                Dans les custums options :
                route-gateway 192.8.27.67

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet
                  last edited by

                  @whitewater:

                  Du fait de la présence de "IPv4 Remote network(s)"  je comprend, d'après la note, que ce ne serait pas nécessaire. Comme je ne l'ai pas utilisé dans cette version je ne suis pas certain de mon interprétation.

                  1 Reply Last reply Reply Quote 0
                  • W
                    whitewater
                    last edited by

                    désolé pour la réponse tardive. je suis en déplacement pour le travail, du coup, je ne peux pas trop tester.
                    j'ai essayé sans ou avec cette info renseignée. c'est pareil.

                    j'ai monté une interface openvpn sur pfsense, à l'aide de ces liens :
                    https://forum.pfsense.org/index.php?topic=76015.0
                    https://pixelsandwidgets.com/2014/10/setup-pfsense-openvpn-client-specific-devices/
                    https://blog.monstermuffin.org/tunneling-specific-traffic-over-a-vpn-with-pfsense/

                    depuis le réseau du site pfsense, je peux tout pinguer, les équipements et les ordis, situés derrière la freebox.
                    par contre, dans le sens inverse… non.

                    je n'ai pas eu le temps de bien vérifier mes paramètres, je ne pourrais pas d'ici juillet peut-être.
                    je regarderai mon topic de temps en temps et je vérifirai ma config quand je pourrais.

                    1 Reply Last reply Reply Quote 0
                    • C
                      ccnet
                      last edited by

                      A première vue, un problème de filtrage ? A vérifier en priorité. Le routage semble fonctionnel.

                      1 Reply Last reply Reply Quote 0
                      • fremoisF fremois referenced this topic on
                      • First post
                        Last post