Pas d'accès au LAN avec OpenVPN Pfsense



  • Bonjour a tous, voila je suis tout nouveau sur Pfsense et j’ai actuellement un souci avec openVPN.

    Voici ma config réseau

    mon réseau LAN et en 192.168.199.X
    "serveur" PFSense : 192.168.199.1

    serveur VPN:

    tunnel Network 192.168.20.0/24
    IPV4 Local Network 192.168.199.0/24
    Serveur DNS: 192.168.199.1
    Force DNS Cache update: coché

    Custome Option:

    push “route 192.168.199.0 255.255.255.0”;push “redirect-gateway def2”

    Mes réglage FW sont :

    onglet WAN:

    alt text

    LAN:

    alt text

    OpenVPN:

    alt text

    Voila maintenant mon problème est le suivent,

    je me connecte parfaitement a mon VPN (avec l’ip 192.168.20.2)
    je peut pinger mon pfsense depuis mon client VPN sur l’ip 192.168.199.1
    mais impossible de pingr ou d’atteindre des partage de n’importe quelle appareil sur le LAN (192.168.199.x)

    sr le ping j’ai délai d’attente dépasser et en partage j’ai une erreur comme qui il ne trouve pas la machine…

    avec vous une idée?

    je suis vraiment à court la…

    Merci beaucoup

    PS:

    malgré mes réglage dans le custome voici ma configuration IP de mon client:

    alt text

    est ce normal que je n’ai pas la passerelle?

    edit2:

    voici ce que j’ai avec un tracroute sur un appareil du LAN depuis le client oenvpn

    alt text

    et la même chose sur mon pfsense:

    alt text
    Merci encore



  • @der43e said in Pas d'accès au LAN avec OpenVPN Pfsense:

    redirect-gateway def2

    ça correspond à quoi ?



  • a vrais dire je ne sais pas vraiment je l’ai mis la par déséspoir…



  • Bon alors je me suis replongé dessus a tête reposé, navré pour ma dernière réponse qui n’est pas très constructive mais la fatigue a eu raison de moi…

    Donc bon déjà pour commencé j’ai tous refait ma config cette fois si en TAP, je me connaitre je recois bien une adresse que j’ai défini dans mon Bridge DHCP mais la j’ai un souci qui est le même que en TUN,

    je ne peut pas pinger les appareils dans mon LAN et cette fois ci je ne peut pas non plus pinger mon PFSense…

    Avez vous une idée?

    car deux fois le même problème avec deux configuration " différente" c’est tout de même étrange…

    je doit oublier qqc a un endroit…



  • Bon je m’en suis sorti!!

    Alors,

    Déjà avec l’assistant de configuration openVPN je ne pouvait pas faire du TAP, en fesent la configuration manuellement je ne pouvait pas cocher l’option Bdrige DHCP (elle était grisé due à un Bug je pense ),

    donc je pouvait me connecté mais impossible de pinger,

    du cou j’ai fait avec l’assistant un configuration TUN, que je suis aller éditer et j’ai passer en TAP, la l’option Bridge DHCP n’etait plus grisé j’ai donc pu la cocher et configurer mon DHCP,

    puis simplement je suis aller assigner mon OpenVPN sur une interface et j’ai Bridgé le LAN avec la connexion OpenVPN et la tous fonctionne…

    Savez vous si ce bug de Bridge DHCP grisé et un BUG connu?

    Merci de ta réponse en tous cas je me suis senti moins seul ^^



  • Pourquoi faire simple quand on peut faire compliqué !!!

    OpenVPN s’appuie sur une interface réseau de type TUN ou TAP.
    Le site d’OpenVPN indique clairement quelle est la différence.
    Et, EN GENERAL, la bonne solution est TUN. (Je pense qu’OpenVPN la conseille même).

    Pourquoi TAP alors ?
    Parce que TUN en fonctionne pas ?
    Non, parce que, faute d’analyse, TUN, mal configuré, ne fonctionne pas.

    Plutôt que de faire un contournement qui par chance a fonctionné, il serait un peu mieux de faire fonctionner correctement la solution TUN qui est celle qui est conseillée …

    Bien sûr si on espère qu’elle va … tomber en marche …

    Je rappelle que la config client doit juste être ‘en accord’ avec la config serveur, et c’est vrai pour OpenVPN et pour Ipsec …



  • Hello, merci pour ton commentaire constructif!

    Alors je ne suis pas expert en VPN mais tous ceux que j’ai mis en place pour le moment sur endian sont en TAP, mon but première était de faire du TAP car je doit accéder à diverses ressource (serveurs, imprimantes etc…)

    J ai tenté de faire du tun car la configuration TAP ne me permettait pas d’activer le bridge DHCP, d’ailleurs sait tu si cela vient dune mauvais configuration de ma part ou est ce un bug?

    Mes question était plus sur la mise en place de la confuguration sur PFsense que je ne connaît pas car comme je l’ai Dit je travail sur endian généralement!



  • Vous n’avez sans doute ni lu ni compris la page (importante) https://community.openvpn.net/openvpn/wiki/BridgingAndRouting.

    Le rédacteur mentionne de façon précise l’avertissement suivant ‘Please understand that in both setups, basic networking knowledge is a must.’ (avec la deuxième partie de la phase en gras).

    L’utilisation de TUN est le cas général, tandis que l’utilisation de TAP est l’exception (que vous le vouliez ou non). Parce qu’il suffit de lire les avantages de l’un et l’autre … D’ailleurs c’est écrit ‘To say it simple: Bridging will complicate your setup further.’ (ce qui est clair).

    Votre problème vient du fait que vous n’avez pas réussi à faire fonctionner TUN alors qu’il n’y a guère de difficulté, et, faute de compréhension et parce que TAP est tombé en marche du premier coup, vous tirez la mauvaise conclusion.

    Pour être aidé, il est assez évident que l’on fournit les config côté Serveur et côté client : elle doivent être coordonnées !



  • Bonjour, avez vous réellement lu mon précédent message?

    Ou n’avez vous juste pas compris ce que j’ai écris?

    Ou alors je ne m’exprime pas comme il faut je ne sais pas…

    Avez vous réellement envie d’aider les gens sur le forum ou juste de tirer des conclusions hâtive et de ne répondre à aucune questions posé?

    Par ce que au vue de vos réponse mis a par perdre votre temps à écrire vous ne faite pas grand choses dans mon cas!

    Une fois encore merci tout de même…



  • Ah les débutants qui veulent apprendre le métier aux anciens …
    Puisque vous aimez les questions, je vais en poser quelques unes …

    Par défaut, un serveur Open fonctionne en udp/1194, donc nécessairement on créé une règle dans l’onglet WAN pour que le pfsense accepte udp/1194 . Vous écrivez une règle avec ip et port *. Pourquoi ?
    En outre une telle règle est totalement folle : un firewall qui ouvrirait tous les ports, c’est très stupide …

    Dans l’onglet LAN, vous écrivez une règle pour autoriser un trafic depuis * (alors qu’il faudrait ‘LAN net’) vers udp/1194. Pour quel usage ?
    Dans l’onglet LAN, il est normal de créer une règle depuis ‘LAN net’ vers le réseau tunnel OpenVPN, dans le cas d’un OpenVPN en mode routed (=TUN).

    Le choix TUN/TAP ou Routed/Bridge, comme indiqué sur le site OpenVPN (qui fournit aussi les drivers TUN/TAP) est à faire vers TUN et non TAP. La liste des inconvénients du bridge est éloquente … sans compter la nécessité de maitriser les bases du réseau.
    Un jour vous comprendrez que les choses simples fonctionnent mieux et se mettent en place plus vite …

    Au lieu de monter sur vos grands poneys, regardez plutôt les fils sur ce type de sujet. Exemple : https://forum.netgate.com/topic/131569/openvpn-réseau-non-identifié-en-client-nomade :
    il est rédigé par un débutant (moins de 40 posts), il y a 11 jours,
    la config OpenVPN est fournie en totalité, mais pas les règles firewall,
    un log client (trop détaillé) est fourni mais la config client n’est pas indiquée
    enfin le problème n’était pas lié à OpenVPN ni pfSense

    Vous n’obtiendrez plus rien de ma part …



  • “Ah les débutants qui veulent apprendre le métier aux anciens…”

    C’est vrais? A quelle moment pensez vous que j’ai voulut vous apprendre quoi que ce sois?

    “Puisque vous aimez les questions, je vais en poser quelques unes …”

    Pardon mais ce n’est pas le but d’un forum d’entre aide de pose des questions?

    J’ai comme l’impression que cela vous dérange, mais alors que faites vous la?

    “Par défaut, un serveur Open fonctionne en udp/1194, donc nécessairement on créé une règle dans l’onglet WAN pour que le pfsense accepte udp/1194 . Vous écrivez une règle avec ip et port *. Pourquoi ?”

    Je ne voudrait surtout pas que vous vous imaginez que j’ai la prétention de vous apprendre quoi que ce sois (ce qui nest vraiment pas le cas) mais ne voyez vous pas une corrélation entre le fait que je sois en phase d’essai pour résoudre in problème d’accès et le faite que tous les ports sois ouvert…?

    Pour revenir au poney, je ne serait pas monter dessus si je n’avais pas eu l’impression d’être pris de haut depuis votre premier message!

    Et encore j’ai beau relire les postes mais entre nous deux je ne vois pas vraiment qui c’est sentie obligé de prendre l’autre de haut pour se sentir supérieure ou je ne sais quoi…

    Je veux bien être pris de haut mais uniquement si on m’apporte des réponses sensé ce qui n’as clairement pas été votre cas…

    Enfin bref je ne vois pas l’intérêt de continuer à reprendre point par point j’ai clairement mieux à faire!

    “Vous n’obtiendrez plus rien de ma part …”

    Comment vous dire sans vous vexer… si c’est pour avoir des réponses comme vous l’avez fait effectivement moi aussi je n’en veux pas plus de vous!

    Votre dernière réponse est la seul qui ai un intérêt (même si il ne reponds toujours pas à aucune de mes questions qui devrait être assez simple pour un imminent expert comme vous )

    À vrais dire je ne vois pas vraiment pourquoi vous n’avez pas commencé directement avec ce message, nous aurions échange d’une autre manière qui m’aurais paru bien plus sympathique et intelligente …

    Merci tout de même pour le temps passé et Bonne soirée



  • Parce qu’on serait en mode ‘test’, on configurerait un serveur OpenVPN en choisissant udp/1194, puis on écrirait une règle onglet WAN sans reprendre udp/1194 ? Ca c’est super crédible ! (Le tout en ajoutant une règle onglet LAN qui autorise une sortie vers udp/1194.) Vous n’avez vraiment pas peur du ridicule !

    En fait vous avez déjà décrit votre méthode : quand on vous demande pourquoi telle option, vous répondez ‘a vrais dire je ne sais pas vraiment je l’ai mis la par déséspoir…’

    Eh bien non, configurer un matériel ou une solution logicielle, ce n’est pas espérer que ça va ‘tomber en marche’ !

    Initialement, je voulais écrire que faire de l’OpenVPN en mode bridge était stupide, puis je me suis ravisé et écrit sur le site de référence (forcément), le site d’OpenVPN où on trouve nécessairement tous les bons conseils. Je me disais, un débutant devrait parcourir le site pour apprendre comment s’y prendre (comme je l’ai fait moi-même, il y a 15 ans ou plus). Peine perdue.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy