Routage OpenVPN + VPN operateur
-
Bonjour a tous,
je vous expose mon scénario d'interco VPN hétérogène.
mon réseau est composé d'une dizaine de sites dans un business vpn orange et je doit rajouté plusieurs site en openvpn, orange nous donnant de moins en moins satisfaction.
j'ai intégré sur un des sites un pfsense 2.3.4, donc sur ce site je me retrouve sur le lan avec la passerelle orange (192.168.32.1) et le pfsense(192.168.32.251)
j'ai rajouté une route static dans le pfsense ce qui lui permet de communiqué avec le réseau (192.178.254.0/24) par le biais de la passerelle du vpn orange (192.168.32.1). j'ai des sites distant qui vont être connecté sur le pfsense par openvpn. je vais demandé a orange de declaré dans ses routeurs des routes static pour accédé a ces nouveau site par le biais du pfsense(192.168.32.251).Mes site distant openvpn doivent pouvoir accédé au réseau (192.178.254.0/24) en transitant par openvpn ensuite par la passerelle orange. j'ai donc déclaré dans mes site distant openvpn les réseaux distants auquel je souhaitais accédé soit (192.168.32.0/24, 192.178.254.0/24).
Y a t'il d'autre configuration a opéré pour que ce transite est lieu ?
-
Si le routeur orange possède les routes pour joindre les sites OpenVPN via la machine pfSense alors oui ca va marcher.
il reste a gérer le fait que dans votre LAN vous avez deux gateway, si une machine du lan veut acceder a un site openVPN, il va se diriger vers le routeur CISCO qui normalement répondra avec un ICMP Redirect vers l'IP du pfSense. C'est pas top, et certains OS sont configurés pour ne pas suivre un ICMP redirect.
Le mieux serait que le serveur pfSense soit la gateway du site et que le routeur Orange soit "derrière" le serveur pfSense dans un subnet d'interco, ainsi après vous serez autonomes dans la gestion des routes sans avoir a solliciter Orange (en demande qu'Orange mette la route pr defaut vers votre pfSense).
Réalisé des dizaines de fois avec Orange, ca marche nikel.
-
Salut Juve merci pour ta reponse,
malheureusement je ne fait pas ce que je veux, neanmoins j'ai bien compris ta remarque et elle me parais pertinente je vais voir ce que je peu faire :)
je vais demandé a orange de changé le range de leur reseau (histoire de pas avoir a reconfiguré tout mon lan) et mettre ce routeur sur une patte du pfsense de cette maniere il devient la gateway par defaut de mon lan et une des routes possible deviens le réseau orange.
-
C'est exactement la meilleur solution. 8)
-
Tout fonctionne mais il y a une petite subtilité pour que ça marche parfaitement,
il faut rajouté une regle NAT outbound et modifié le fonctionnement du NAT outbound dans le pfsense central avec le CIDR du réseau distant (vpn) sur l'interface qui doit naté.et la communication dans les 2 sens impeccable.
-
si le routage est correctement configuré, aucun besoin de NAT.
Si cela fonctionne uniquement avec le NAT c'est qu'il manque une route quelque part. -
Il manque la partie orange business…. j'ai demandé une intervention y a 10 jours j'ai relancé tout les jours pas de réponse donc pour le moment je suis dans cette configuration.
-
Ok donc là c'est normal.
Une modification chez Orange en été, vous allez attendre un peu.