[Résolu] NAT avant IPsec pour OpenVPN



  • Bonjour,

    Le siège d'un de mes clients (A) est connecté en IPsec à un de leur client (B) avec plusieurs phases 2 vers différents sous-réseaux, il faudrait que les employés nomades puissent accéder aux serveurs se trouvant chez le client via OpenVPN.

    (10.0.8.0/24) Employé <====== OpenVPN ======> Site A (192.168.1.0/24) <=== IPsec VPN =====> client du client B (192.168.4.0/24)(192.168.5.0/24)(192.168.6.0/24).

    Il faut que les serveurs distants du client voient la connexion comme provenant d'une IP du site A et non du sous-réseau OpenVPN.
    Il n'est pas possible d'ajouter une nouvelle phase 2 avec le sous-réseau de l'OpenVPN dans l'IPsec.

    Je cherche désespérément une solution depuis plus d'une semaine mais rien ne fonctionne, j'ai essayé avec du NAT 1:1 sur l'interface de mon OpenVPN mais sans succès.

    Auriez-vous une idée de comment mettre cela en place s'il vous plait ?

    Merci



  • quel protocole sur les serveurs distants à accéder ?
    si c'est du web, un proxy résout facilement ton problème  ;)



  • Les protocoles utilisés sont HTTP, HTTPS, FTP, SFTP, RDP et ils ont aussi besoin d'accéder en direct à des DB MsSQL.



  • Bonsoir,

    +1 pour Chris4916

    Une piste :

    Avez-vous tester l'ajout de route dans le fichier openvpn client ?

    exemple en supposant du /24 :

    push route "192.168.[4|5|6].0 255.255.255.0 192.168.1.[ip_routeur_site_A]"
    

    Il vous faut alors autoriser l’accès au range du site B dans votre routeur A

    Cordialement,

    Mathieu



  • Bonjour,

    Malheureusement ça ne fonctionne toujours pas.

    A la place du NAT 1:1, j'ai essayé le Outbound manuel avec comme config :

    Interface : OpenVPN
    Source : 10.0.8.0/24
    Destination : 192.168.4.0/24
    NAT address : 192.168.1.0/24

    J'ai ensuite ajouté une règle sur l'interface OpenVPN autorisant le trafic de 10.0.8.0/24 vers 192.168.4.0/24

    Installé un reverse proxy ne résoudra pas le problème des protocoles SFTP, RDP et l'accès aux DB MsSQL.

    Merci pour votre aide.



  • Effectivement. La solution simple consisterait à définir ton réseau VPN en fonction des restrictions du site cible.



  • Quand je ne maitrise pas le firewall, et que j'ai besoin d'un accès VPN (OpenVPN), je créé

    • une VM Debian, sur laquelle j'installe OpenVPN,
    • je créé, à la main, la PKI à partir d'EasyRSA fourni avec OpenVPN
    • et … j'ajoute la règle iptables (POSTROUTING + MASQUERADE) qui fait que, les clients OpenVPN accèdent aux ressources locales ... comme la VM, c'est à dire avec l'ip de la VM !

    C'est pas intégré à pfSense, mais ça fonctionne (plutôt bien) ...

    cf entre autres :

    En voulant rester à pfSense, je n'ai pas essayé mais il me semblerait logique de chercher du côté de Firewall > Nat > Outbound (manual) :
    il devrait être possible de nater le trafic d'ip de client OpenVPN ...



  • Bonjour,

    Merci pour vos réponses.
    J'aimerais faire cela avec Pfsense sans utiliser de machine virtuelle sur le côté.

    Ceci dit j'avance, j'arrive à présent à pinger les serveurs derrière l'IPsec depuis mon OpenVPN !
    Mais toujours pas moyen d'accéder aux interfaces web et autres protocoles (RDP, …).

    J'ai trouvé ce topic dont l'auteur voulait faire la même chose que moi (merci Google Translate :D ).
    Comme expliqué dans son dernier post, j'ai créé une nouvelle Phase 2 sur mon tunnel IPsec et configué le NAT directement sur celui-ci en NATant tout sur 192.168.1.2/32 ainsi tout mon trafic OpenVPN est vu comme venant de 1.2/32.



  • Bonjour,

    Tout fonctionne !
    Mes problèmes d'accès RDP et aux sites distants venaient d'un problème DNS en interne.

    Merci à tous pour votre aide !



  • C'est Résolu. Très bien.

    Mais vous n'avez pas décrit le détail des opérations qui vous permettent d'y arriver.
    Sans ce détail, le fil ne sert pas à grand chose …

    Merci de complétez votre réponse finale.


Log in to reply