[RESOLU] Connexion vers un OpenVpn ne fonctionne pas à partir de ma DMZ
-
Bonjour à tous,
Je me permet de vous soumettre un problème qui me fait tourner en rond depuis un bon moment …Ma config :
Netgate SG-4860 (Appliance)
2.3.4-RELEASE (amd64)
built on Wed May 03 16:53:25 CDT 2017
FreeBSD 10.3-RELEASE-p19openvpn-client-export installé
Mon poste Cible est connecté via OpenVpn à partir d'Internet.
Je peux me connecter en 3389 à partir de mon Lan (192.168.2.126) mais pas à partir de ma DMZ (192.168.250.246).Config OK :
Mon-poste_192.168.2.126/24 –------ 192.168.2.251/24 ---(LAN) PFSENSE (OpenVpn) --- 10.0.11.8/24 ---------- 192.168.100.1_CibleConfig KO :
Poste-DMZ_192.168.250.246/24 –------ 192.168.250.254/24 ---(DMZ) PFSENSE (OpenVpn) --- 10.0.11.8/24 ---------- 192.168.100.1_CibleRules DMZ :
Protocol Source Port Destination Port Gateway
IPv4 * 192.168.250.246 * 10.0.11.8 * *Rules LAN
IPv4 * * * 10.0.11.8 * *States
Connection Ok :
LAN tcp 192.168.2.126:1083 -> 10.0.11.8:3389 TIME_WAIT:TIME_WAIT 4 / 2 191 B / 111 B
LAN tcp 192.168.2.10:59634 -> 10.0.11.2:3389 TIME_WAIT:TIME_WAIT 4 / 5 219 B / 231 B
LAN tcp 192.168.2.126:1091 -> 10.0.11.8:3389 ESTABLISHED:ESTABLISHED 49 / 53 4 KiB / 24 KiBConnection KO
DMZ1 tcp 192.168.250.246:50150 -> 10.0.11.8:3389 CLOSED:SYN_SENT 3 / 0 152 B / 0 BPacket Capture détaillé :
Coté LAN OK:
12:41:30.728747 70:1c:e76a:7a > 00:08:a2:09:7a:ba, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6038, offset 0, flags [DF], proto TCP (6), length 52)
192.168.2.126.17506 > 10.0.11.8.3389: Flags [P.], cksum 0x5f59 (correct), seq 466:478, ack 357, win 67, length 12Coté DMZ KO:
12:42:18.807778 00:15:5d:02:06:0a > 00:08:a2:09:7a:b6, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 9778, offset 0, flags [DF], proto TCP (6), length 52)
192.168.250.246.50123 > 10.0.11.8.3389: Flags |S|, cksum 0xe0f6 (correct), seq 3005290824, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0Coté OpenVpn KO :
13:33:52.701853 AF IPv4 (2), length 56: (tos 0x0, ttl 127, id 12777, offset 0, flags [DF], proto TCP (6), length 52)
192.168.250.246.50160 > 10.0.11.8.3389: Flags |S|, cksum 0x5ff6 (correct), seq 4288105901, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0Le FireWall est désactivé sur la cible.
Voila, je crois avoir tout dis, merci d'avance pour l'aide que vous pourrez m'apporter.
-
Mon premier soupçon pour vérification complémentaire porte sur le routage aller et retour. Comme la machine cible est celle qui se connecte en tant que client nomade, quid des options push route ?
Quoi qu'il en soit merci pour la bonne documentation de la demande initiale. -
J'ai envie de hurler : il manquait la route retour …
C'est tellement simple et évident, que je m'était lancé dans l'analyse des trames réseau ...
Quand je pense au temps perdu sur ce problème ...
Merci grandement.
Merci grandement.
Merci grandement.