[OpenVPN] Routage du sous-réseau WAN



  • Bonjour,

    Pour commencer, voici un schéma pour vous présenter mon installation personnelle : https://delurk.com/tmp/public draw-io.png

    Je souhaite faire passer le trafic des LAN bleus (interfaces WAN côté pfSense) à travers le tunnel OpenVPN mais ça ne fonctionne pas. Pour l'instant seul les LAN verts (interfaces LAN côté pfSense) sont accessibles sur chaque site.

    J'ai suivi cette procédure https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site ou il suffit de renseigner les sous-réseaux distants dans le paramétrage d'OpenVPN et il se charge d'éditer les tables de routage au démarrage. Extrait de la table de routage Routeur1 : https://privatebin.delurk.com/?cca21cc5a9532431#dMOB/vynVwexTthIORQ1YlOLlExC/vxps/8sDkLeWRw=

    Dans l'état mes routeurs ping les matériels localisés sur l'ensemble des LAN (bleus et verts) mais les clients s'arrêtent aux interfaces WAN des routeurs pfSense.

    Si quelqu'un a une idée, merci d'avance !



  • Il n'y a pas que des problématiques de routage. Il faut aussi t'assurer que les règles de Fw autorisent les flux, y compris sur l'interface OpenVPN.

    Au passage, ce genre de design est, à mon avis, plus simple à gérer avec Ipsec



  • Merci pour ta réponse chris4916.

    Côté pare-feu, j'ai autorisé TOUT le trafic sur les interfaces OpenVPN de chaque site. Voici un "state" du Routeur2 pour illustrer mon problème : https://privatebin.delurk.com/?4dc6d41abada3d97#vbC8lDeHjIvruDGC1CkqN3mcw+fXRPIInHbywZjHhCs=

    J'ai déjà pensé à IPsec, mais j'ai une gateway en ip dynamique.



  • :-[  ???
    Je viens de regarder à nouveau ton schéma et j'avoue ne pas le comprendre.
    ma lecture est la suivante:

    • tu as sur chaque site un LAN qui accède à internet via un pfsense lui-même en cascade derrière un équipement de ton ISP
    • il y a un tunnel OpenVPN qui interconnecte les LAN de chaque site.
    • tu appelles "DMZ" le segment qui est entre le WAN de pfSense et l'équipement de l'ISP
      ..
      et c'est ce segment réseau (unsecure par définition) que tu veux voir communiquer avec le LAN ?

    Je suis perplexe mais bon, pourquoi pas…

    Je pense, sans y avoir réfléchi trop dans le détail, qu'il faut définir une route, qu'il faut pousser au travers du VPN, pour dire par où passer pour atteindre la "DMZ" distante.
    mais si comme je le soupçonne, ton objectif est d'atteindre l'interface Web de tes machines proxmox sur l'IP "DMZ" (ouch, ça fait mal même en l'écrivant), je ne m'y prendrais pas du tout de cette manière.
    Si il n'y a pas de FW sur l'équipement de l'ISP, c'est très chaud. Et si il y en a un, c'est le bon endroit pour faire un tunnel, AMHA  8)

    Bref, je ne comprends pas bien le design de ton réseau  :o



  • Tu résumes très bien la situation et je vais apporter quelques précisions :

    @chris4916:

    :-[  ???
    Je viens de regarder à nouveau ton schéma et j'avoue ne pas le comprendre.
    ma lecture est la suivante:

    • tu as sur chaque site un LAN qui accède à internet via un pfsense lui-même en cascade derrière un équipement de ton ISP [b]Oui
    • il y a un tunnel OpenVPN qui interconnecte les LAN de chaque site. Oui
    • tu appelles "DMZ" le segment qui est entre le WAN de pfSense et l'équipement de l'ISP Seul l'interface WAN de pfSense est déclaré dans la DMZ du routeur ISP
      ..
      et c'est ce segment réseau (unsecure par définition) que tu veux voir communiquer avec le LAN ?  Absolument, les réseaux 192.168.1.0/24 et 192.168.2.0/24

    Je suis perplexe mais bon, pourquoi pas…

    Je pense, sans y avoir réfléchi trop dans le détail, qu'il faut définir une route, qu'il faut pousser au travers du VPN, pour dire par où passer pour atteindre la "DMZ" distante.
    mais si comme je le soupçonne, ton objectif est d'atteindre l'interface Web de tes machines proxmox sur l'IP "DMZ" (ouch, ça fait mal même en l'écrivant), je ne m'y prendrais pas du tout de cette manière.
    Si il n'y a pas de FW sur l'équipement de l'ISP, c'est très chaud. Et si il y en a un, c'est le bon endroit pour faire un tunnel, AMHA  8) Il y en a un mais il n'y a pas de service VPN. J'aurais mille fois préféré me séparer des Gateway ISP "grand public" mais j'ai d'autres priorités pour le moment…

    Bref, je ne comprends pas bien le design de ton réseau  :o Tu as tout compris.

    Actuellement, pour gérer mon matériel en LAN bleu, j'utilise un tunnel SSH vers une machine en LAN vert du site souhaité. Mais ce n'est pas pratique du tout. Je vais aussi avoir besoin de lier mes hyperviseurs et je souhaite bien entendu le faire via VPN.



  • Sans rien changer au niveau des Proxmox, il me semble que:
    1 - ton interface d'admin proxmox sera toujours en amont de ton FX pfSense, donc pas "protégée"
    2 - la solution "naturelle" serait donc d’établir un tunnel VPN entre les devices de ton ISP, sauf que si je comprends bien, dans l'état actuel des choses, ce n'est pas possible.

    En gardant ce design et sans présumer de ce que les devices de l'ISP peuvent fournir, je ne vois pas de solution intelligente. Autoriser un accès, au travers de routes, à l'interface proxmox qui se trouve coté WAN de ton pfSense, donc pas protégé (DMZ est ici, pour moi, abusif) n'a pas de sens d'un point de vue sécurité.

    Ce que tu pourrais par contre envisager, c'est d'avoir une configuration Proxmox différente.
    Si ton besoin (car il faut revenir au besoin) est d'isoler l'interface d'admin Proxmox des interfaces des serveurs, alors il te faut 3 segments réseau autour de pfSense (avec des VLAN par exemple ou des réseaux différents) et il te suffit de connecter l'interface WAN de pfSense à la gateway de l'ISP.
    En procédant ainsi, les 2 réseaux (interface d'admin de Proxmox et réseau "serveurs") seront "derrière" pfSense et tu pourras ainsi controler, via pfSense, qui a accès à quoi sans être obligé de faire des règles de routage bizarres ou de rebondir d'un réseau à l'autre.

    Par ailleurs, le fait que tes IP publiques soient dynamique ne t'empêche absolument pas d'utiliser IPSec. Il suffit de configurer dans ta remote gateway un fqdn que tu mets à jour au travers d'un service type Dyndns.

    C'est ce que j'utilise pour quelques un des mes déploiements et ça marche très bien :-)



  • Merci chris4916 pour t'être penché sur mon problème.

    Je l'ai résolu en créant une règle NAT Outbound pour autoriser le trafic de mon LAN distant à sortir sur l'interface WAN du routeur pfSense.

    La règle : https://privatebin.delurk.com/?3633c1848e48c4fd#B0UjaOJuj6nlUVuY+fTC24rSKTSWx7g3mMnAAZnuTqk=


Log in to reply