Débutant / Router une seule machine vers un tunnel OpenVPN.



  • Bonjour tout le monde et merci de m'accueillir. J'ai reçu vendredi dernier mon matos pour monter un pfsense pour la maison sur un APU2.

    J'ai réussi à tout faire fonctionner / vlan / règles de base NAT / AP Wifi / les accès en OpenVPN depuis les Mac et les Idevices.

    Je bloque sur le besoin d'une seule machine ( NAS / synology ) utilise un Tunnel OpenVPN sur le service HMA. ( La config du tunnel est bonne, il est up). Mais le paquet ne transite pas par les rules. ( en out ( que des "NO_TRAFFIC:SINGLE et en in "rien" ).

    J'ai créé coté LAN une rules pour mon NAS ( diskstation vers any avec la passerelle VPN HMA )

    Et une règle avec un NAT en inbound sur l'interface VPN HMA.

    Outgoing NAT

    Ingoing NAT sur le port 6881

    Merci de votre aide. ( je verrais bien un problème de NAT avec l'ip que me donne HMA, mais je n'en suis pas sur )

    Cedru

    ![Capture d’e?cran 2017-08-15 a? 22.07.54.png](/public/imported_attachments/1/Capture d’e?cran 2017-08-15 a? 22.07.54.png)
    ![Capture d’e?cran 2017-08-15 a? 22.07.54.png_thumb](/public/imported_attachments/1/Capture d’e?cran 2017-08-15 a? 22.07.54.png_thumb)



  • Bonjour,

    je ne saisis pas bien ce que vous cherchez à faire. Je fais quelques suppositions donc :)

    Si vous tentez de rediriger le trafic du nas (192.168.1.100) dans le tunnel, il me semble qu'une simple LAN rule avec en source 192.168.1.100, destination any, port any, et sélectionner la bonne GW, HMA dans votre cas, devrait être suffisante.

    En d'autres termes, vous sélectionnez un type de trafic entrant sur le LAN, que vous redirigez sur la passerelle de votre choix. C'est du load balancing manuel et fixe.

    Une autre méthode consiste à tagger les packets correspondant à un type de trafic sur le LAN, puis de créer une floating rule qui match le tag et qui fait ce que vous souhaitez sur ce packet, ici rediriger vers la passerelle donnée.

    Si vous n'avez pas de passerelle HVM dans la liste, il vous faudra sûrement l'ajouter manuellement dans système/routing. Et bien cocher la case remote gateway car cette passerelle n'est pas locale.

    Voilà, je ne suis pas sûr que cela aide mais une conversation donne toujours des idées, et parfois, de bonnes idées :)



  • Malgré que le post 1 ne respecte pas A LIRE EN PREMIER, il est assez détaillé.

    Synology + HMA -> HideMyAss : visiblement un VPN pour cacher une seedbox !

    Pourquoi faire ce VPN sur pfSense ?
    La solution 'normale' est de créer le vpn depuis le Synology, il restera à créer une règle de sortie du vpn au niveau pfSense.
    Le NAT + port forward dans le sens entrant me semble parfaitement inutile car le NAS ne devrait pas être serveur !

    Il est totalement inutile de créer ce vpn sur le pfSense AMPSHA.

    NB : le vpn a créer devrait être OpenVPN et non PPTP obsolete, non secure et difficile à faire traverser un firewall !



  • @jdh:

    Il est totalement inutile de créer ce vpn sur le pfSense AMPSHA.

    NB : le vpn a créer devrait être OpenVPN et non PPTP obsolete, non secure et difficile à faire traverser un firewall !

    Avis que je partage. Pourquoi déporter le vpn d'un client unique sur Pfsense alors que le dit client est capable de faire cela lui même. A part pour se compliquer la vie …
    Je confirme que ce bazar de nat est inutile. Pfsense gérant tout ce qui est nécessaire pour le trafic sortant.