Vpn openvpn pfsense <–-> freebox : route add command failed



  • Bonjour à tous,
    J'ai vu le sujet quelques fois sur le forum, sans vraiment trouver une solution.

    J'aimerai faire un VPN OpenVPN entre un pFsense (client) et une Freebox (server).

    Freebox : OpenVPN routed (server). 192.168.0.254
    Pfsense : OpenVPN en client. LAN : 192.168.10.251

    Je récupère le fichier de config depuis la Freebox, je créé le CA et le certificat client Openvpn Freebox sur pfsense.

    pfsense, j'ajoute le client VPN,
    Je reprend les paramètres du fichier client pour la partie crypto.

    puis :
    remote network : 192.168.0.0/24
    tunel network : 192.168.27.0/24

    Custom options, j'ajoute :
    route-gateway 192.168.27.67

    J'ai mis cette option car sur la Freebox, onglet Connexion, IP locale du client OpenVPN : 192.168.27.67
    sans ça, le ping expliqué ci-dessous ne fonctionne pas.

    Le lien est bien UP. Depuis le pFsense, je peux pinguer les équipements sur le réseau 192.168.0.x
    Par contre, pas de réponse au ping depuis un équipement du réseau 192.168.0.x vers le 192.168.10.0 ou du LAN 192.168.10.0 vers 192.168.0.x

    En lisant les logs pfsense, je comprend qu'il manque une route.
    Comment faire pour qu'il l'ajoute correctement ?

    Time	Process	PID	Message
    May 10 10:59:11	openvpn	93846	Initialization Sequence Completed
    May 10 10:59:11	openvpn	93846	ERROR: FreeBSD route add command failed: external program exited with error status: 1
    May 10 10:59:11	openvpn	93846	/usr/local/sbin/ovpn-linkup ovpnc3 1500 1559 192.168.27.67 212.27.38.253 init
    May 10 10:59:11	openvpn	93846	/sbin/ifconfig ovpnc3 192.168.27.67 192.8.2.66 mtu 1500 netmask 212.27.38.253 up
    May 10 10:59:11	openvpn	93846	do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
    May 10 10:59:11	openvpn	93846	TUN/TAP device /dev/tun3 opened
    May 10 10:59:11	openvpn	93846	TUN/TAP device ovpnc3 exists previously, keep at program end
    May 10 10:59:09	openvpn	93846	[Freebox OpenVPN server ef2636774608f1509b927f36e6c4afa3] Peer Connection Initiated with [AF_INET]<ip publique="" freebox="">:30327
    May 10 10:59:07	openvpn	93846	WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    May 10 10:59:07	openvpn	93846	TCPv4_CLIENT link remote: [AF_INET]<ip publique="" freebox="">:30327
    May 10 10:59:07	openvpn	93846	TCPv4_CLIENT link local (bound): [AF_INET] <ip publique="" pfsense="">May 10 10:59:07	openvpn	93846	TCP connection established with [AF_INET]<ip publique="" freebox="">:30327
    May 10 10:59:06	openvpn	93846	Attempting to establish TCP connection with [AF_INET]<ip publique="" freebox="">:30327 [nonblock]
    May 10 10:59:06	openvpn	93846	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    May 10 10:59:06	openvpn	93846	WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    May 10 10:59:06	openvpn	93846	WARNING: using --pull/--client and --ifconfig together is probably not what you want</ip></ip></ip></ip></ip>
    

    Je ne comprend pas l'ip 192.8.2.66 dans le log

    extrait du fichier openvpn client, généré par pfsense :

    ifconfig 192.168.27.2 192.168.27.1
    auth-user-pass /var/etc/openvpn/client3.up
    route 192.168.0.0 255.255.255.0
    ca /var/etc/openvpn/client3.ca 
    cert /var/etc/openvpn/client3.cert 
    key /var/etc/openvpn/client3.key 
    resolv-retry infinite
    topology subnet
    route-gateway 192.8.27.67
    
    

    Pour la ligne ifconfig, il la rajoute automatiquement pour pouvoir discuter avec le réseau tunnel ?
    merci pour vos réponses  :D



  • Pour les versions que j'exploite chez différents clients j'ajoute dans les "customs options"

    route-method exe
    route-delay 2
    push "route 192.168.1.0 255.255.255.0"
    push "route 192.168.7.0 255.255.255.0"
    

    en supposant que je veuille accéder aux sous réseaux mentionnés dans l'exemple.



  • Bonjour ccnet,
    Si je ne me trompe pas, ce que tu rajoutes est pour le client OpenVPN sur Windows.
    Dans mon cas, le fichier client a la commande pour ajouter la route :

    route 192.168.0.0 255.255.255.0
    

    Le problème, pFsense n'arrive pas à l'ajouter :

    ERROR: FreeBSD route add command failed: external program exited with error status: 1
    

    Parcequ'il faut des "droits" spéciaux, parceque ce n'est pas la bonne (ou une autre raison  :P) ?



  • En effet vous avez raison. J'ai regardé trop vite. Finalement je ne comprend plus bien votre problème. Je me repenche dessus lorsque j'ai un moment.



  • Vraiment à côté ma réponse.
    C'est un type de config que je n'utilise pratiquement jamais. En regardant l'onglet de configuration du client côté Pfsense, dans "Tunnel settings" nous avons le champ :IP remote network. Ce qui a priori met en place le routage nécessaire.
    avec ce commentaire :

    IPv4 networks that will be routed through the tunnel, so that a site-to-site VPN can be established without manually changing the routing tables. Expressed as a comma-separated list of one or more CIDR ranges. If this is a site-to-site VPN, enter the remote LAN/s here. May be left blank for non site-to-site VPN.

    Est il renseigné ?



  • Vraiment à côté ma réponse

    Pas grave, ça arrive  ;)

    Oui, j'ai renseigné le champs. Voici ce que j'ai entré dans pFsense :
    IPv4 Tunnel Network : 192.168.27.0/24
    IPv4 Remote network(s) : 192.168.0.0/24

    Rien en IPv6.

    Dans les custums options :
    route-gateway 192.8.27.67



  • @whitewater:

    Du fait de la présence de "IPv4 Remote network(s)"  je comprend, d'après la note, que ce ne serait pas nécessaire. Comme je ne l'ai pas utilisé dans cette version je ne suis pas certain de mon interprétation.



  • désolé pour la réponse tardive. je suis en déplacement pour le travail, du coup, je ne peux pas trop tester.
    j'ai essayé sans ou avec cette info renseignée. c'est pareil.

    j'ai monté une interface openvpn sur pfsense, à l'aide de ces liens :
    https://forum.pfsense.org/index.php?topic=76015.0
    https://pixelsandwidgets.com/2014/10/setup-pfsense-openvpn-client-specific-devices/
    https://blog.monstermuffin.org/tunneling-specific-traffic-over-a-vpn-with-pfsense/

    depuis le réseau du site pfsense, je peux tout pinguer, les équipements et les ordis, situés derrière la freebox.
    par contre, dans le sens inverse… non.

    je n'ai pas eu le temps de bien vérifier mes paramètres, je ne pourrais pas d'ici juillet peut-être.
    je regarderai mon topic de temps en temps et je vérifirai ma config quand je pourrais.



  • A première vue, un problème de filtrage ? A vérifier en priorité. Le routage semble fonctionnel.