[Résolu] NAT avant IPsec pour OpenVPN
-
Bonjour,
Le siège d'un de mes clients (A) est connecté en IPsec à un de leur client (B) avec plusieurs phases 2 vers différents sous-réseaux, il faudrait que les employés nomades puissent accéder aux serveurs se trouvant chez le client via OpenVPN.
(10.0.8.0/24) Employé <====== OpenVPN ======> Site A (192.168.1.0/24) <=== IPsec VPN =====> client du client B (192.168.4.0/24)(192.168.5.0/24)(192.168.6.0/24).
Il faut que les serveurs distants du client voient la connexion comme provenant d'une IP du site A et non du sous-réseau OpenVPN.
Il n'est pas possible d'ajouter une nouvelle phase 2 avec le sous-réseau de l'OpenVPN dans l'IPsec.Je cherche désespérément une solution depuis plus d'une semaine mais rien ne fonctionne, j'ai essayé avec du NAT 1:1 sur l'interface de mon OpenVPN mais sans succès.
Auriez-vous une idée de comment mettre cela en place s'il vous plait ?
Merci
-
quel protocole sur les serveurs distants à accéder ?
si c'est du web, un proxy résout facilement ton problème ;) -
Les protocoles utilisés sont HTTP, HTTPS, FTP, SFTP, RDP et ils ont aussi besoin d'accéder en direct à des DB MsSQL.
-
Bonsoir,
+1 pour Chris4916
Une piste :
Avez-vous tester l'ajout de route dans le fichier openvpn client ?
exemple en supposant du /24 :
push route "192.168.[4|5|6].0 255.255.255.0 192.168.1.[ip_routeur_site_A]"Il vous faut alors autoriser l’accès au range du site B dans votre routeur A
Cordialement,
Mathieu
-
Bonjour,
Malheureusement ça ne fonctionne toujours pas.
A la place du NAT 1:1, j'ai essayé le Outbound manuel avec comme config :
Interface : OpenVPN
Source : 10.0.8.0/24
Destination : 192.168.4.0/24
NAT address : 192.168.1.0/24J'ai ensuite ajouté une règle sur l'interface OpenVPN autorisant le trafic de 10.0.8.0/24 vers 192.168.4.0/24
Installé un reverse proxy ne résoudra pas le problème des protocoles SFTP, RDP et l'accès aux DB MsSQL.
Merci pour votre aide.
-
Effectivement. La solution simple consisterait à définir ton réseau VPN en fonction des restrictions du site cible.
-
Quand je ne maitrise pas le firewall, et que j'ai besoin d'un accès VPN (OpenVPN), je créé
- une VM Debian, sur laquelle j'installe OpenVPN,
- je créé, à la main, la PKI à partir d'EasyRSA fourni avec OpenVPN
- et … j'ajoute la règle iptables (POSTROUTING + MASQUERADE) qui fait que, les clients OpenVPN accèdent aux ressources locales ... comme la VM, c'est à dire avec l'ip de la VM !
C'est pas intégré à pfSense, mais ça fonctionne (plutôt bien) ...
cf entre autres :
- https://arashmilani.com/post?id=53 pour les règles iptables
- https://christophegx.ovh/construire-un-vpn-avec-openvpn-sur-debian-8/ l'ensemble complet (à mettre à jour avec Debian 9 !)
En voulant rester à pfSense, je n'ai pas essayé mais il me semblerait logique de chercher du côté de Firewall > Nat > Outbound (manual) :
il devrait être possible de nater le trafic d'ip de client OpenVPN ... -
Bonjour,
Merci pour vos réponses.
J'aimerais faire cela avec Pfsense sans utiliser de machine virtuelle sur le côté.Ceci dit j'avance, j'arrive à présent à pinger les serveurs derrière l'IPsec depuis mon OpenVPN !
Mais toujours pas moyen d'accéder aux interfaces web et autres protocoles (RDP, …).J'ai trouvé ce topic dont l'auteur voulait faire la même chose que moi (merci Google Translate :D ).
Comme expliqué dans son dernier post, j'ai créé une nouvelle Phase 2 sur mon tunnel IPsec et configué le NAT directement sur celui-ci en NATant tout sur 192.168.1.2/32 ainsi tout mon trafic OpenVPN est vu comme venant de 1.2/32. -
Bonjour,
Tout fonctionne !
Mes problèmes d'accès RDP et aux sites distants venaient d'un problème DNS en interne.Merci à tous pour votre aide !
-
C'est Résolu. Très bien.
Mais vous n'avez pas décrit le détail des opérations qui vous permettent d'y arriver.
Sans ce détail, le fil ne sert pas à grand chose …Merci de complétez votre réponse finale.