PFSENSE / IPSec et VPN



  • Bonjour,

    J'ai besoin d'aide dans un configuration un peu spécifique d'infrastructure.

    J'ai actuellement deux PFSENSE, un chez Online, et un chez moi. Ces deux pfsense sont reliés via un tunnel ipsec. Celui-ci est pleinement fonctionne, ce qui fait que mes VM Online (192.168.1.0/24) arrivent pleinement à communiquer en LAN avec les VM de chez moi en 192.168.2.0/24.

    J'ai maintenant mis en place un openvpn server sur mon infra Online, en lui disant de pousser les réseaux 192.168.1.0/24 et 192.168.2.0/24.

    Le but étant, depuis mon poste, de joindre chacune de mes VM via 192.168…

    Connecté à ce VPN, j'arrive à joindre mes servers Online (192.168.1.0/24) donc là ou est installé le vpn server, mais je n'arrive pas à joindre lesVM chez moi.

    Avez-vous une idée de l'origine du souci ? (si ce n'est mes faibles connaissances en réseau).

    Merci,
    Denis



  • Vous ne dites rien de ce qui est en place en matière de routage. A preuve du contraire il est fort probable que celui-ci ne soit pas opérationnel.



  • Une fois connecté à ton serveur OpenVPN (tu ne le précises pas mais je suppose que nous discutons du cas où tu n'es pas sur ton LAN), regarde les routes que connait ton client.

    Par ailleurs, assure toi que les règles de FW autorisent bien l'IP de ton client OpenVPN à accéder aux différents LAN. en particulier l'interface IPSec



  • Bonsoir,

    Merci pour les réponses. Désolé si j'ai manqué de précision, je vais tenter d'étayer.

    @ccnet:

    Vous ne dites rien de ce qui est en place en matière de routage. A preuve du contraire il est fort probable que celui-ci ne soit pas opérationnel.

    J'ai l'impression que le routage est bon. Mes VM côté Online arrivent bien à joindre mes VM côté maison. Pareil pour mes PFSENSE, ils arrivent chacun à joindre les VM qui sont "à leur opposé". Quelle route ai-je pu oublier ?

    @chris4916:

    Une fois connecté à ton serveur OpenVPN (tu ne le précises pas mais je suppose que nous discutons du cas où tu n'es pas sur ton LAN), regarde les routes que connait ton client.

    Par ailleurs, assure toi que les règles de FW autorisent bien l'IP de ton client OpenVPN à accéder aux différents LAN. en particulier l'interface IPSec

    Les routes sur mon client sont bien celles que je demande au vpn server de pousser. concernant le firewall, j'ai tout mis en * * * pour justement exclure cette partie.

    La sincèrement je sèche :(



  • Donc tu peux maintenant activer le log au niveau de tes règles de FW pour t'assurer que c'est bien la bonne règle qui s'applique.
    t'es-tu soucié des routes "retour" ?
    si tu autorises ICMP, tu peux aussi faire un trace route.

    Bref, il y a des outils pour regarder où est-ce que ça dysfonctionne  ;)



  • Je viens de faire une batterie de tests. Avec des pings de tout les côtés, accompagnés de tcpdump.

    Voici ce que je trouve :

    VM ONLINE (192.168.1.0/24) vers VM MAISON (192.168.2.0/24), via tunnel IPSec => OK
    VM MAISON (192.168.2.0/24) vers VM ONLINE (192.168.1.0/24), via tunnel IPSec => OK
    PFSENSE MAISON (192.168.2.254) vers VM ONLINE (192.168.1.0/24) => OK
    PFSENSE OLINE (192.168.1.254) vers VM ONLINE (192.168.2.0/24) => OK

    Quand je ping, VPN connecté vers une VM MAISON, si je schématise, le paquet doit faire :

    Mon PC –----VPN-----> PFSENSE ONLINE ------TUNNEL IPSEC-----> PFSENSE MAISON ------> VM

    Voici dons la réponse que j'obtiens au TCPDUMP sur PFSENSE ONLINE, lorsque je ping :

    22:46:15.313806 IP 10.0.9.2 > 192.168.2.103: ICMP echo request, id 13780, seq 240, length 64
    22:46:15.313823 IP 10.0.9.1 > 10.0.9.2: ICMP host 192.168.2.103 unreachable, length 36

    J'ai pourtant une route sur ce PFSENSE, pour le traffic vers 192.168.2.0/24.


Log in to reply