Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [OpenVPN] Routage du sous-réseau WAN

    Scheduled Pinned Locked Moved Français
    7 Posts 2 Posters 636 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      delurk
      last edited by

      Bonjour,

      Pour commencer, voici un schéma pour vous présenter mon installation personnelle : https://delurk.com/tmp/public%20draw-io.png

      Je souhaite faire passer le trafic des LAN bleus (interfaces WAN côté pfSense) à travers le tunnel OpenVPN mais ça ne fonctionne pas. Pour l'instant seul les LAN verts (interfaces LAN côté pfSense) sont accessibles sur chaque site.

      J'ai suivi cette procédure https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site ou il suffit de renseigner les sous-réseaux distants dans le paramétrage d'OpenVPN et il se charge d'éditer les tables de routage au démarrage. Extrait de la table de routage Routeur1 : https://privatebin.delurk.com/?cca21cc5a9532431#dMOB/vynVwexTthIORQ1YlOLlExC/vxps/8sDkLeWRw=

      Dans l'état mes routeurs ping les matériels localisés sur l'ensemble des LAN (bleus et verts) mais les clients s'arrêtent aux interfaces WAN des routeurs pfSense.

      Si quelqu'un a une idée, merci d'avance !

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Il n'y a pas que des problématiques de routage. Il faut aussi t'assurer que les règles de Fw autorisent les flux, y compris sur l'interface OpenVPN.

        Au passage, ce genre de design est, à mon avis, plus simple à gérer avec Ipsec

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • D
          delurk
          last edited by

          Merci pour ta réponse chris4916.

          Côté pare-feu, j'ai autorisé TOUT le trafic sur les interfaces OpenVPN de chaque site. Voici un "state" du Routeur2 pour illustrer mon problème : https://privatebin.delurk.com/?4dc6d41abada3d97#vbC8lDeHjIvruDGC1CkqN3mcw+fXRPIInHbywZjHhCs=

          J'ai déjà pensé à IPsec, mais j'ai une gateway en ip dynamique.

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            :-[  ???
            Je viens de regarder à nouveau ton schéma et j'avoue ne pas le comprendre.
            ma lecture est la suivante:

            • tu as sur chaque site un LAN qui accède à internet via un pfsense lui-même en cascade derrière un équipement de ton ISP
            • il y a un tunnel OpenVPN qui interconnecte les LAN de chaque site.
            • tu appelles "DMZ" le segment qui est entre le WAN de pfSense et l'équipement de l'ISP
              ..
              et c'est ce segment réseau (unsecure par définition) que tu veux voir communiquer avec le LAN ?

            Je suis perplexe mais bon, pourquoi pas…

            Je pense, sans y avoir réfléchi trop dans le détail, qu'il faut définir une route, qu'il faut pousser au travers du VPN, pour dire par où passer pour atteindre la "DMZ" distante.
            mais si comme je le soupçonne, ton objectif est d'atteindre l'interface Web de tes machines proxmox sur l'IP "DMZ" (ouch, ça fait mal même en l'écrivant), je ne m'y prendrais pas du tout de cette manière.
            Si il n'y a pas de FW sur l'équipement de l'ISP, c'est très chaud. Et si il y en a un, c'est le bon endroit pour faire un tunnel, AMHA  8)

            Bref, je ne comprends pas bien le design de ton réseau  :o

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • D
              delurk
              last edited by

              Tu résumes très bien la situation et je vais apporter quelques précisions :

              @chris4916:

              :-[  ???
              Je viens de regarder à nouveau ton schéma et j'avoue ne pas le comprendre.
              ma lecture est la suivante:

              • tu as sur chaque site un LAN qui accède à internet via un pfsense lui-même en cascade derrière un équipement de ton ISP [b]Oui
              • il y a un tunnel OpenVPN qui interconnecte les LAN de chaque site. Oui
              • tu appelles "DMZ" le segment qui est entre le WAN de pfSense et l'équipement de l'ISP Seul l'interface WAN de pfSense est déclaré dans la DMZ du routeur ISP
                ..
                et c'est ce segment réseau (unsecure par définition) que tu veux voir communiquer avec le LAN ?  Absolument, les réseaux 192.168.1.0/24 et 192.168.2.0/24

              Je suis perplexe mais bon, pourquoi pas…

              Je pense, sans y avoir réfléchi trop dans le détail, qu'il faut définir une route, qu'il faut pousser au travers du VPN, pour dire par où passer pour atteindre la "DMZ" distante.
              mais si comme je le soupçonne, ton objectif est d'atteindre l'interface Web de tes machines proxmox sur l'IP "DMZ" (ouch, ça fait mal même en l'écrivant), je ne m'y prendrais pas du tout de cette manière.
              Si il n'y a pas de FW sur l'équipement de l'ISP, c'est très chaud. Et si il y en a un, c'est le bon endroit pour faire un tunnel, AMHA  8) Il y en a un mais il n'y a pas de service VPN. J'aurais mille fois préféré me séparer des Gateway ISP "grand public" mais j'ai d'autres priorités pour le moment…

              Bref, je ne comprends pas bien le design de ton réseau  :o Tu as tout compris.

              Actuellement, pour gérer mon matériel en LAN bleu, j'utilise un tunnel SSH vers une machine en LAN vert du site souhaité. Mais ce n'est pas pratique du tout. Je vais aussi avoir besoin de lier mes hyperviseurs et je souhaite bien entendu le faire via VPN.

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                Sans rien changer au niveau des Proxmox, il me semble que:
                1 - ton interface d'admin proxmox sera toujours en amont de ton FX pfSense, donc pas "protégée"
                2 - la solution "naturelle" serait donc d’établir un tunnel VPN entre les devices de ton ISP, sauf que si je comprends bien, dans l'état actuel des choses, ce n'est pas possible.

                En gardant ce design et sans présumer de ce que les devices de l'ISP peuvent fournir, je ne vois pas de solution intelligente. Autoriser un accès, au travers de routes, à l'interface proxmox qui se trouve coté WAN de ton pfSense, donc pas protégé (DMZ est ici, pour moi, abusif) n'a pas de sens d'un point de vue sécurité.

                Ce que tu pourrais par contre envisager, c'est d'avoir une configuration Proxmox différente.
                Si ton besoin (car il faut revenir au besoin) est d'isoler l'interface d'admin Proxmox des interfaces des serveurs, alors il te faut 3 segments réseau autour de pfSense (avec des VLAN par exemple ou des réseaux différents) et il te suffit de connecter l'interface WAN de pfSense à la gateway de l'ISP.
                En procédant ainsi, les 2 réseaux (interface d'admin de Proxmox et réseau "serveurs") seront "derrière" pfSense et tu pourras ainsi controler, via pfSense, qui a accès à quoi sans être obligé de faire des règles de routage bizarres ou de rebondir d'un réseau à l'autre.

                Par ailleurs, le fait que tes IP publiques soient dynamique ne t'empêche absolument pas d'utiliser IPSec. Il suffit de configurer dans ta remote gateway un fqdn que tu mets à jour au travers d'un service type Dyndns.

                C'est ce que j'utilise pour quelques un des mes déploiements et ça marche très bien :-)

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • D
                  delurk
                  last edited by

                  Merci chris4916 pour t'être penché sur mon problème.

                  Je l'ai résolu en créant une règle NAT Outbound pour autoriser le trafic de mon LAN distant à sortir sur l'interface WAN du routeur pfSense.

                  La règle : https://privatebin.delurk.com/?3633c1848e48c4fd#B0UjaOJuj6nlUVuY+fTC24rSKTSWx7g3mMnAAZnuTqk=

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.