Interconnexion Ipsec et Openvpn roadwarriors
-
Bonjour,
Je souhaiterai mettre en place une interconnexion entre un serveur Ipsec et des clients Openvpn roadwarriors.
Pour résumé ce qui devrait fonctionner :
OPENVPn Client (Ubuntu 14.04.5) <-> Open VPN Server (Pfsense 2.3.4) <-> Ipsec Tunnel <-> Server LDAP sur un LAN
TUN: 10.0.8.0/24 LAN : 172.31.20.17 /24 IP : 62.X.X.X IP du LAN : 172.31.212.31/29Ce qui fonctionne :
OPENVPn Client (Ubuntu 14.04.5) <-> Open VPN Server (Pfsense 2.3.4 = tunnel ok et ping du LAN ok des 2 côtés
Open VPN Server (Pfsense 2.3.4) <-> Ipsec Tunnel <-> Server LDAP = tunnel ok et ping du LAN vers le server LDAP
Ce qui ne fonctionne pas et que je souhaiterai faire fonctionner :
OPENVPn Client (Ubuntu 14.04.5) <-> Open VPN Server (Pfsense 2.3.4) <-> Ipsec Tunnel <-> Server LDAP sur un LAN : Ping n'aboutie pas depuis le client OPenvpn vers le serveur LDAP.
J'ai vu sur le forum qu'à priori il faut pusher la route du LAN qui se trouve là ou est situé le serveur LDAP sur le server openVPn, et il faudrait également ajouter une deuxième phase2 sur le tunnel IPsec des 2 côtés.
Est ce que vous pourriez donc me confirmer la solution à mettre en œuvre pour que les clients Openvpn Roadwarriors puissent communiqués sur le LAN distant qui se trouve derrière le serveur IPSec et donc le serveur LDAP ? Pourriez m'indiquer quelles configurations dois je renseigner pour ces 2 modifications ?
Merci beaucoup
-
J'ai l'impression que tu as déjà fait la bonne analyse. Pourquoi ne le mets-tu pas en place ?
Pour le tunnel VPN, ça dépend en fait de comment celui-ci est configuré:
- soit ton tunnel VPN ne prend en charge que les flux vers le (ou les) réseau qui est derrière le serveur OpenVPN, et dans ce cas, il faut effectivement ajouter une route pour annoncé au client que pour joindre le réseau 172.31.212.31/29, il faut passer par le tunnel VPN
- soit ton client ne voit que le tunnel VPN: tout passe part celui-ci et il n'est pas nécessaire d'ajouter de route puisque par défaut, la gateway, c'est le réseau à l'extrémité du tunnel.
Attention aux règles de firewall sur cette interface ;)
et idem coté IPSec…
- il faut que le lien IPSec sache qu'un client sur le réseau 10.0.8.0/24 accède 172.31.212.31/29, et il lui faut également une route retour, d'où la phase 2
- et attention également aux règle de FW
-
Bonjour,
Merci @chris4916 pour la réponse effectivement c'est fonctionnel maintenant.
Pour ceux qui cherchent :
il faut faire l'ajout sur l'IPsec du réseau virtuel de openvpn 10.0.8.0/24
Coté openvpn server : pusher la route du réseau Lan derrière l'ipsec.
Merci pour votre aide, le problème est résolu vous pouvez fermer le topic.