Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [Résolu] NAT avant IPsec pour OpenVPN

    Français
    4
    10
    924
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Aunet last edited by

      Bonjour,

      Le siège d'un de mes clients (A) est connecté en IPsec à un de leur client (B) avec plusieurs phases 2 vers différents sous-réseaux, il faudrait que les employés nomades puissent accéder aux serveurs se trouvant chez le client via OpenVPN.

      (10.0.8.0/24) Employé <====== OpenVPN ======> Site A (192.168.1.0/24) <=== IPsec VPN =====> client du client B (192.168.4.0/24)(192.168.5.0/24)(192.168.6.0/24).

      Il faut que les serveurs distants du client voient la connexion comme provenant d'une IP du site A et non du sous-réseau OpenVPN.
      Il n'est pas possible d'ajouter une nouvelle phase 2 avec le sous-réseau de l'OpenVPN dans l'IPsec.

      Je cherche désespérément une solution depuis plus d'une semaine mais rien ne fonctionne, j'ai essayé avec du NAT 1:1 sur l'interface de mon OpenVPN mais sans succès.

      Auriez-vous une idée de comment mettre cela en place s'il vous plait ?

      Merci

      1 Reply Last reply Reply Quote 0
      • C
        chris4916 last edited by

        quel protocole sur les serveurs distants à accéder ?
        si c'est du web, un proxy résout facilement ton problème  ;)

        1 Reply Last reply Reply Quote 0
        • A
          Aunet last edited by

          Les protocoles utilisés sont HTTP, HTTPS, FTP, SFTP, RDP et ils ont aussi besoin d'accéder en direct à des DB MsSQL.

          1 Reply Last reply Reply Quote 0
          • M
            mattv last edited by

            Bonsoir,

            +1 pour Chris4916

            Une piste :

            Avez-vous tester l'ajout de route dans le fichier openvpn client ?

            exemple en supposant du /24 :

            push route "192.168.[4|5|6].0 255.255.255.0 192.168.1.[ip_routeur_site_A]"
            

            Il vous faut alors autoriser l’accès au range du site B dans votre routeur A

            Cordialement,

            Mathieu

            1 Reply Last reply Reply Quote 0
            • A
              Aunet last edited by

              Bonjour,

              Malheureusement ça ne fonctionne toujours pas.

              A la place du NAT 1:1, j'ai essayé le Outbound manuel avec comme config :

              Interface : OpenVPN
              Source : 10.0.8.0/24
              Destination : 192.168.4.0/24
              NAT address : 192.168.1.0/24

              J'ai ensuite ajouté une règle sur l'interface OpenVPN autorisant le trafic de 10.0.8.0/24 vers 192.168.4.0/24

              Installé un reverse proxy ne résoudra pas le problème des protocoles SFTP, RDP et l'accès aux DB MsSQL.

              Merci pour votre aide.

              1 Reply Last reply Reply Quote 0
              • C
                chris4916 last edited by

                Effectivement. La solution simple consisterait à définir ton réseau VPN en fonction des restrictions du site cible.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh last edited by

                  Quand je ne maitrise pas le firewall, et que j'ai besoin d'un accès VPN (OpenVPN), je créé

                  • une VM Debian, sur laquelle j'installe OpenVPN,
                  • je créé, à la main, la PKI à partir d'EasyRSA fourni avec OpenVPN
                  • et … j'ajoute la règle iptables (POSTROUTING + MASQUERADE) qui fait que, les clients OpenVPN accèdent aux ressources locales ... comme la VM, c'est à dire avec l'ip de la VM !

                  C'est pas intégré à pfSense, mais ça fonctionne (plutôt bien) ...

                  cf entre autres :

                  • https://arashmilani.com/post?id=53 pour les règles iptables
                  • https://christophegx.ovh/construire-un-vpn-avec-openvpn-sur-debian-8/ l'ensemble complet (à mettre à jour avec Debian 9 !)

                  En voulant rester à pfSense, je n'ai pas essayé mais il me semblerait logique de chercher du côté de Firewall > Nat > Outbound (manual) :
                  il devrait être possible de nater le trafic d'ip de client OpenVPN ...

                  1 Reply Last reply Reply Quote 0
                  • A
                    Aunet last edited by

                    Bonjour,

                    Merci pour vos réponses.
                    J'aimerais faire cela avec Pfsense sans utiliser de machine virtuelle sur le côté.

                    Ceci dit j'avance, j'arrive à présent à pinger les serveurs derrière l'IPsec depuis mon OpenVPN !
                    Mais toujours pas moyen d'accéder aux interfaces web et autres protocoles (RDP, …).

                    J'ai trouvé ce topic dont l'auteur voulait faire la même chose que moi (merci Google Translate :D ).
                    Comme expliqué dans son dernier post, j'ai créé une nouvelle Phase 2 sur mon tunnel IPsec et configué le NAT directement sur celui-ci en NATant tout sur 192.168.1.2/32 ainsi tout mon trafic OpenVPN est vu comme venant de 1.2/32.

                    1 Reply Last reply Reply Quote 0
                    • A
                      Aunet last edited by

                      Bonjour,

                      Tout fonctionne !
                      Mes problèmes d'accès RDP et aux sites distants venaient d'un problème DNS en interne.

                      Merci à tous pour votre aide !

                      1 Reply Last reply Reply Quote 0
                      • J
                        jdh last edited by

                        C'est Résolu. Très bien.

                        Mais vous n'avez pas décrit le détail des opérations qui vous permettent d'y arriver.
                        Sans ce détail, le fil ne sert pas à grand chose …

                        Merci de complétez votre réponse finale.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post

                        Products

                        • Platform Overview
                        • TNSR
                        • pfSense
                        • Appliances

                        Services

                        • Training
                        • Professional Services

                        Support

                        • Subscription Plans
                        • Contact Support
                        • Product Lifecycle
                        • Documentation

                        News

                        • Media Coverage
                        • Press
                        • Events

                        Resources

                        • Blog
                        • FAQ
                        • Find a Partner
                        • Resource Library
                        • Security Information

                        Company

                        • About Us
                        • Careers
                        • Partners
                        • Contact Us
                        • Legal
                        Our Mission

                        We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                        Subscribe to our Newsletter

                        Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                        © 2021 Rubicon Communications, LLC | Privacy Policy