[RESOLU] Connexion vers un OpenVpn ne fonctionne pas à partir de ma DMZ



  • Bonjour à tous,
    Je me permet de vous soumettre un problème qui me fait tourner en rond depuis un bon moment …

    Ma config :
    Netgate SG-4860 (Appliance)
    2.3.4-RELEASE (amd64)
    built on Wed May 03 16:53:25 CDT 2017
    FreeBSD 10.3-RELEASE-p19

    openvpn-client-export installé

    Mon poste Cible est connecté via OpenVpn à partir d'Internet.
    Je peux me connecter en 3389 à partir de mon Lan (192.168.2.126) mais pas à partir de ma DMZ (192.168.250.246).

    Config OK :
    Mon-poste_192.168.2.126/24 –------ 192.168.2.251/24 ---(LAN) PFSENSE (OpenVpn) --- 10.0.11.8/24 ---------- 192.168.100.1_Cible

    Config KO :
    Poste-DMZ_192.168.250.246/24 –------ 192.168.250.254/24 ---(DMZ) PFSENSE (OpenVpn) --- 10.0.11.8/24 ---------- 192.168.100.1_Cible

    Rules DMZ :
    Protocol Source              Port  Destination Port  Gateway
    IPv4 *      192.168.250.246 *      10.0.11.8         * *

    Rules LAN
    IPv4 *      *                      *      10.0.11.8         * *

    States

    Connection Ok :
    LAN tcp 192.168.2.126:1083 -> 10.0.11.8:3389 TIME_WAIT:TIME_WAIT 4 / 2 191 B / 111 B
    LAN tcp 192.168.2.10:59634 -> 10.0.11.2:3389 TIME_WAIT:TIME_WAIT 4 / 5 219 B / 231 B
    LAN tcp 192.168.2.126:1091 -> 10.0.11.8:3389 ESTABLISHED:ESTABLISHED 49 / 53 4 KiB / 24 KiB

    Connection KO
    DMZ1 tcp 192.168.250.246:50150 -> 10.0.11.8:3389 CLOSED:SYN_SENT 3 / 0 152 B / 0 B

    Packet Capture détaillé :

    Coté LAN OK:
    12:41:30.728747 70:1c:e7🇩🇪6a:7a > 00:08:a2:09:7a:ba, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6038, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.2.126.17506 > 10.0.11.8.3389: Flags [P.], cksum 0x5f59 (correct), seq 466:478, ack 357, win 67, length 12

    Coté DMZ KO:
    12:42:18.807778 00:15:5d:02:06:0a > 00:08:a2:09:7a:b6, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 9778, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.250.246.50123 > 10.0.11.8.3389: Flags |S|, cksum 0xe0f6 (correct), seq 3005290824, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

    Coté OpenVpn KO :
    13:33:52.701853 AF IPv4 (2), length 56: (tos 0x0, ttl 127, id 12777, offset 0, flags [DF], proto TCP (6), length 52)
        192.168.250.246.50160 > 10.0.11.8.3389: Flags |S|, cksum 0x5ff6 (correct), seq 4288105901, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

    Le FireWall est désactivé sur la cible.

    Voila, je crois avoir tout dis, merci d'avance pour l'aide que vous pourrez m'apporter.



  • Mon premier soupçon pour vérification complémentaire porte sur le routage aller et retour. Comme la machine cible est celle qui se connecte en tant que client nomade, quid des options push route ?
    Quoi qu'il en soit merci pour la bonne documentation de la demande initiale.



  • J'ai envie de hurler : il manquait la route retour …

    C'est tellement simple et évident, que je m'était lancé dans l'analyse des trames réseau ...

    Quand je pense au temps perdu sur ce problème ...

    Merci grandement.
    Merci grandement.
    Merci grandement.


Log in to reply