Configuration OpenVPN dans pfSense
-
Bonjour à tous,
j’ai un pfsense qui permet le load balancing de 2 WAN (une en ADSL et une en 4G) et un LAN classique de l’autre côté (d’environ 25 device, entre les PC, smartphone, tablettes et TV) avec un VPN (openVPN - 1194 udp) pour accéder depuis l’extérieur à différents services comme Samba, VNC…. pour une agence.
Voici l’architecture
Agence 1WAN1 & WAN2
|_____ _____|
| |
pfSense (2.4.2)
|
Switch NETGEAR 1Gb/s
|||||||Agence 2
WAN (ADSL)
|
|
pfSense (2.4.2)
|
Switch NETGEAR 1Gb/s
||||||Nomade
en général 1 ou 2 personnes en télétravail tous les jours, principalement pour se connecter aux partages Samba, et un peu de VNCLa connexion 4G étant plus performante en débit (et légèrement moins bonne en temps de réponse) j’ai donné un poids plus important pour le côté 4G. J’ai ensuite des règles pour certains services dont j’ai besoin d’une unique connexion, SSH par exemple… Je suis passé par des alias et des règles sur le Firewall côté LAN en failover.
Après plusieurs réglages, tout fonctionne très bien.
Limitation de la connexion 4G
La connexion 4G de chez Bouygues fonctionne bien après avoir mis des antennes, mais elle a une seule limite.... 200Go/mois après le débit est réduit à un modem 56k Olitech V92 :-) même avec beaucoup de nostalgie, c'est pas gérable. Les mois normaux tout va bien, on n'est limite mais on arrive à tenir les 200Go (on arrive à 160Go/mois) mais lorsque j'ai un de mes gars qui s'amuse à transférer 25Go d'un serveur vers l'agence puis 25Go de l'agence pour l'envoyer sur un autre serveur, plutôt que faire du serveur à serveur (surtout quand après explication tu apprends que c'était sur le même serveur) ça plus les mises à jour de Windows de 10 postes qui se déclenchent car soit disant critique alors que tu as paramétrer pour les faire que à la main..... ben ça pète.Le problème
J'ai donc pris en doublon pour le moment un abonnement 4G SFR illimité, mais je n'arrive pas à faire marcher OpenVPN avec SFR. Vu que ce sont des IP dynamiques le modem 4G est paramétré avec un noip comme DDNS. Avec la 4G Bouygues tout est ok, le VPN (sur le port 1194) marche très bien. Mais dès que je passe sur SFR, (j'ai également essayé SFR RED c'est pareil) même quand le noip est à jour, impossible de me connecter (waiting server). J'ai suivi 2 pistes :
1 - les ip dynamiques seraient NATée sur tous les opérateurs 4G, sauf sur l'offre Bouygues
2 - les ports 1194 upd seraient filtrésMes questions (on y arrive ;-) )
1 - Si les ip sont effectivement NATée je n'ai aucun moyen de mettre à jour à jour le noip, même à la main, ça reste gérable vu que c'est super ponctuel (si je reste chez Bouygues et que j'ai juste un petit abonnement en cas de besoin) ?
2 - Si effectivement les ports sont filtrés, j'ai tenté de réglés l'OpenVPN sur le 443 TCP qui doit lui être ouvert, j'ai fait les changement dans le serveur Open VPN (VPN > OpenVPN > Edition du Serveur) mais ça ne fonctionne pas (même en 4G Bouygues) donc je dois avoir un problème (je reste en waiting server + timeout)
J'ai également tenté de faire du NAT en faisant le transfert suivant (pour que le VPN fonctionne sur les 2 ports 1194 en UDP et 443 en TCP) même résultat :
Interface : WAN2
Protocol : TCP
Source : Any
Source port Range : Any
Destination : Any
Destination port range : from 443 to 443
Redirect target IP : 192.168.20.10 (c'est l'IP de l'interface WAN2 (4G) côté pfSense)
Redirect target port : OpenVPN
3 - J'ai tenté également de modifier l'interface du serveur VPN en la mettant sur l'interface de la connexion ADSL (ip fixe) mais le serveur OpenVPN ne répond plus non plus.Pour info, j'ai mis les 2 modems en DMZ vers l'adresse IP des interfaces réseaux côté pfSense qui correspond, pour limiter tout problème à ce niveau là dans un premier temps.
Avez-vous des pistes ?
Manu.
-
Bonsoir à tous,
Je suis inquiet, je vois que mon message est lu mais pas de réponses. Mon problème n’est peut-être pas clair ? Manque de précisions ? Si c’est le cas n’hésitez pas à me le dire pour que je complète. Ou simplement un problème de temps pour les membres de ce forum (ce qui peut se comprendre)
Bonne soirée à tous.
Manu.
-
Ta description est assez claire, même si j'avoue ne pas comprendre, à la lecture d'un texte assez touffu si on mélange ici à la fois des accès nomades et un lien inter-agences via OpenVPN.
Pour le lien entre les agences, (si c'est le cas), IPSec est plus adapté.En ce qui concerne OpenVPN, ce serait plus souple si ton serveur écoutait uniquement sur l'interface loopback (127.0.0.1) sur le port de ton choix et si tu faisais une redirection, depuis tes différents accès WAN, vers l'interface loopback.
-
Hello Chris4916,
Merci pour ton retour et ton aide.
Les liens interagences, effectivement il faudra que j'optimise ça, l'IPSec : j'en ai déjà entendu parlé, mais je n'ai jamais eu le temps de m'y pencher (eh oui je ne suis pas admin système et les notions de base peuvent manquer). Merci pour cette info qui me sera bien utile en temps voulu.
En fait, c'est la seconde partie de ta réponse qui semble une bonne piste.
ce serait plus souple si ton serveur écoutait uniquement en loopback (127.0.01) sur le port de ton choix
Ca apporte quoi en fait ?
et si tu faisais une redirection, depuis tes différents accès WAN,
J'ai tenté de faire de la redirection de ports, puisque mon FAI du WAN2 de l'agence semble bloquer le port 1194 en UDP en amont, si je mets sur le 443 TCP (qui semble difficile à bloquer) une redirection de port ça devrait fonctionner, mais le client OpenVPN reste en waiting server + timeout
Voici ce que j'ai fait :
Interface : WAN2
Protocol : TCP
Source : Any
Source port Range : Any
Destination : Any
Destination port range : from 443 to 443
Redirect target IP : 192.168.20.10 (c’est l’IP de l’interface WAN2 (4G) côté pfSense)
Redirect target port : OpenVPNMerci de ton aide.
Manu -
Ce que ça apporte, c'est que ton serveur n'écoutant que sur localhost, tu peux avoir, par gateway, des ports d'écoute différents que tu rediriges vers localhost sur le port d'écoute de ton serveur OpenVPN.
Une seule configuration OpenVPN va accepter des connexions sur les 2 gateway. ça te permet également de gérer, du coup, des règles de NAT dédiées si nécessaire. -
Effectivement c’est intéressant, je teste ça dès demain. J’imagine que lorsque je fais des changements de la sorte (interface d’écoute) sur le serveur OpenVPN il faut que j’intervienne sur les différentes règles liées au VPN, j’espère ne pas le mettre « en vrac »
Pour la redirection est-ce que tu vois ce qui fait qu’elle ne fonctionne pas ?
Bonne soirée.
Manu. -
Hello, c'est bon c'est en place pour l'OpenVPN, il n'écoute pas sur le localhost (car je n'ai pas réussi à le faire fonctionner comme ça) mais sur l'interface LAN (en fait j'ai un peu galéré car je pensais qu'il fallait que je mette à jour aussi la règle lié à l'interface OpenVPN qui avait été créée en wizard, mais il fallait que je la laisse sur l'interface OpenVPN)
J'ai ensuite fait les 2 règles (une pour chaque Wan) pour spécifier, sur chaque interface WAN, une règle pour accepter toutes les sources à destination de l'ip du pfSense, sur le port OpenVPN.
Et enfin bien sûr ouvert les ports sur les modems avec transfert vers le serveur VPN et ça me permet aussi depuis les modems d'ouvrir d'autres ports et faire les transferts de ports en conséquence dès les modems.
Merci Chris4916, c'était un détail mais pour le coup c'est carrément plus souple de le paramétrer comme ça.
Il me reste donc plus que mon problème de 4G car de ce côté là ça ne fonctionne pas :
Sur le modem (Huawei) j'ai fait un transfert du 443 TCP vers mon 1194 UPD mais je ne parviens toujours pas à me connecter en VPN même en mettant dans l'openVPN client l'ip publique 4G. N'y a-t-il pas de solutions ?
Pour info : tout fonctionne correctement quand je suis avec l'abonnement 4G Bouygues, mais ça ne fonctionne pas sous un abonnement RED by SFR ou SFR tout court. -
@anjouweb said in Configuration OpenVPN dans pfSense:
j’ai fait un transfert du 443 TCP vers mon 1194 UPD
Je ne vois pas comment cela peut fonctionner !
-
@ccnet said in Configuration OpenVPN dans pfSense:
Je ne vois pas comment cela peut fonctionner !
Moi non plus
De plus, avoir un service qui écoute sur le LAN pour des connexions qui viennent d'internet, c'est très étrange. Bref, il y a peu de chances que ça marche comme ça.