VPN Client + pfsense = suicide

Jazz210

Bonjour à toute la communauté Pfsense Française.

Je possède depuis quelque mois maintenant un firewall Watchguard firebox x1000
que j'ai customisé (ventilo silencieux) et passé sous pfsense afin de proteger l'ensemble de mon bureau soit 4 PCs + quelques VMs.

Veuillez m'excuser d'avance pour mes manquements car je suis nouveau ici et dans le monde pfsense en général, je vous avous etre au bord de la crise de nerf car 1 mois que je pinaille avec ce vpn...
N'hésitez pas a me poser des question si je n'ai pas été assez précis.

voici mon problème :
J'aurais souhaité faire passer bonne partie de mon parc par un client VPN mais OPT2 refuse d'attribuer une ip quand je me branche dessus

avant tout voici un schéma:

WAN : 192.168.1.50
LAN: 172.10.1.1 = admin (internet restreint)
OPT1: 172.11.1.1 = réseau privé
OPT2 = 10.8.8.17 = NordVPN

j'ai suivis ces deux tutos :
https://nordvpn.com/tutorials/pfsense/pfsense-openvpn/
https://www.expressvpn.com/fr/support/vpn-setup/pfsense-with-expressvpn-openvpn/

• La mise en place des certificats se passe bien
• L'interface pfsense m'indique qu'Openvpn est active & connecté
• Le ping et traceroute depuis pfsense entre OPT2 et google est ok..
• mes rules OPT2 et OPENVPN sont simplement en "PASS ANY ANY" pour le moment

je ne comprend pas quoi mettre au niveau du nat Outbound, les deux tuto utilise deux méthodes différentes et mais aucune des deux ne marches

j'ai essayé : 192.168.0.0/16 10.8.8.0/16 , je ne comprend pas.

c'est vraiment dans la partie nat-Outbound et gateway que je pèche a trouver la solution.

openvpn me remonte des erreurs également

Jul 22 17:58:35 	openvpn 	47190 	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 22 17:58:35 	openvpn 	47190 	Control Channel Authentication: using '/var/etc/openvpn/client2.tls-auth' as a OpenVPN static key file
Jul 22 17:58:35 	openvpn 	47190 	Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Jul 22 17:58:35 	openvpn 	47190 	Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Jul 22 17:58:35 	openvpn 	47190 	Socket Buffers: R=[42080->42080] S=[57344->57344]
Jul 22 17:58:35 	openvpn 	47190 	UDPv4 link local (bound): [AF_INET]192.168.1.50
Jul 22 17:58:35 	openvpn 	47190 	UDPv4 link remote: [AF_INET]185.101.216.19:1194
Jul 22 17:58:36 	openvpn 	47190 	TLS: Initial packet from [AF_INET]185.101.216.19:1194, sid=746ac959 bb7de1d1
Jul 22 17:58:36 	openvpn 	47190 	WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Jul 22 17:58:36 	openvpn 	47190 	VERIFY OK: depth=1, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ee2.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com
Jul 22 17:58:36 	openvpn 	47190 	Validating certificate key usage
Jul 22 17:58:36 	openvpn 	47190 	++ Certificate has key usage 00a0, expects 00a0
Jul 22 17:58:36 	openvpn 	47190 	VERIFY KU OK
Jul 22 17:58:36 	openvpn 	47190 	Validating certificate extended key usage
Jul 22 17:58:36 	openvpn 	47190 	++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Jul 22 17:58:36 	openvpn 	47190 	VERIFY EKU OK
Jul 22 17:58:36 	openvpn 	47190 	VERIFY OK: depth=0, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ee2.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com
Jul 22 17:58:36 	openvpn 	47190 	Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jul 22 17:58:36 	openvpn 	47190 	Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Jul 22 17:58:36 	openvpn 	47190 	Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jul 22 17:58:36 	openvpn 	47190 	Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Jul 22 17:58:36 	openvpn 	47190 	Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Jul 22 17:58:36 	openvpn 	47190 	[ee2.nordvpn.com] Peer Connection Initiated with [AF_INET]185.101.216.19:1194
Jul 22 17:58:38 	openvpn 	47190 	SENT CONTROL [ee2.nordvpn.com]: 'PUSH_REQUEST' (status=1)
Jul 22 17:58:41 	openvpn 	47190 	PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,sndbuf 524288,rcvbuf 524288,dhcp-option DNS 103.86.96.100,dhcp-option DNS 103.86.99.100,route-gateway 10.8.8.1,topology subnet,ping 60,ping-restart 180,ifconfig 10.8.8.17 255.255.255.0,peer-id 5'
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: timers and/or timeouts modified
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Jul 22 17:58:41 	openvpn 	47190 	Socket Buffers: R=[42080->524288] S=[57344->524288]
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: --ifconfig/up options modified
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: route options modified
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: route-related options modified
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: peer-id set
Jul 22 17:58:41 	openvpn 	47190 	OPTIONS IMPORT: adjusting link_mtu to 1637
Jul 22 17:58:41 	openvpn 	47190 	ROUTE_GATEWAY 192.168.1.254
Jul 22 17:58:41 	openvpn 	47190 	TUN/TAP device ovpnc2 exists previously, keep at program end
Jul 22 17:58:41 	openvpn 	47190 	TUN/TAP device /dev/tun2 opened
Jul 22 17:58:41 	openvpn 	47190 	do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Jul 22 17:58:41 	openvpn 	47190 	/sbin/ifconfig ovpnc2 10.8.8.17 10.8.8.1 mtu 1500 netmask 255.255.255.0 up
Jul 22 17:58:41 	openvpn 	47190 	/sbin/route add -net 10.8.8.0 10.8.8.1 255.255.255.0
Jul 22 17:58:41 	openvpn 	47190 	/usr/local/sbin/ovpn-linkup ovpnc2 1500 1637 10.8.8.17 255.255.255.0 init
Jul 22 17:58:41 	openvpn 	47190 	Initialization Sequence Completed
Jul 22 17:58:41 	openvpn 	47190 	MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
Jul 22 17:58:41 	openvpn 	47190 	MANAGEMENT: CMD 'state 1'
Jul 22 17:58:41 	openvpn 	47190 	MANAGEMENT: CMD 'status 2'
Jul 22 17:58:41 	openvpn 	47190 	MANAGEMENT: Client disconnected
Jul 22 17:58:57 	openvpn 	47190 	MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
Jul 22 17:58:57 	openvpn 	47190 	MANAGEMENT: CMD 'state 1'
Jul 22 17:58:57 	openvpn 	47190 	MANAGEMENT: CMD 'status 2'
Jul 22 17:58:57 	openvpn 	47190 	MANAGEMENT: Client disconnected 

en vous remerciant d'avance pour votre aide, car je suis complètement perdu depuis 1 mois avec ce probleme. un dhcp sur mon raspberry avec vpn le tout protégé d'un bon Iptables aurait été plus rapide...

jdh

Les débutants doivent lire A LIRE EN PREMIER et s'en inspirer pour présenter leur situation ...

Quand vous choisissez un adressage réseau pour un réseau privé, vous devez suivre la RFC 1918 : 172.10.x.x et 172.11.x.x ne sont pas des adresses privées.

Qu'est ce que cette interface OPT2 et ce choix d'adresse ip ?

L'utilisation d'un VPN tel NordVPN repose sur OpenVPN et donc il faut configurer un Client OpenVPN. Ensuite, le trafic de LAN vers Internet peut utiliser la gateway fournie par le client VPN : nul besoin d'une interface OPT2 !

ccnet

@jazz210 said in VPN Client + pfsense = suicide:

J'aurais souhaité faire passer bonne partie de mon parc par un client VPN

Les remarques de jdh ci dessus s'appliquent évidemment.
En dehors de cela je ne comprend pas ce que vous Voulez faire. En particulier cette phrase que j'ai cité.
Essayer d'exprimer un besoin fonctionnel et d'oublier la technique de mise en œuvre.
Votre adressage me laisse perplexe moi aussi, mais ce n'est pas le sujet pour le moment.

Jazz210

Bonjour à tout les deux et merci de vos réponses.

Au vu des remarques d'hier j'ai décidé de repartir de zéro.
voici donc mon nouvelle adressage réseau

bbox= 192.168.1.254 --> WAN : 192.168.1.50

--LAN: 192.168.11.1 (administrateur pfsense coupé du net)
--LAN2: 192.168.12.1 = ( ports 443,80,53)
--LAN3: 192.168.13.1 = (vpn)

es-ce que cette adressage vous parait plus correct au vu de la RFC 1918?
j'avous avoir jetté un oeil avant de me lancé d'ou les adresses en 172...* et choici celle ci pour la facilité a les retrouver a l'oeil dans mes logs.
bref grosses erreur de ma part.

Mon but:
faire passer mon vpn uniquement! sur le lan3.

actuellement mon vpn est connecté et actif ma configuration des certificats est donc bonne.
ma connection vpn sur le lan3 marche! mais celà me coupe ma connection en lan2

inversement si j'éteins openvpn, mon internet revient sur le lan2
pour la gateway je l'ai défini directement dans les rules du lan3.

avez vous une idées de ce qui pourrer créer celà, car ce n'est pas la première fois que celà m'arrive loin de là.

merci pour votre aide.

ccnet

L'adressage est conforme à ce que l'on peut attendre pour des réseaux privés.

faire passer mon vpn uniquement! sur le lan3.

C'est toujours une formulation technique. Que voulez vous faire avec Open VPN ?
Comme vous ne savez pas le dire, précisons à quoi est utilisé OpenVPN. J'ai la vague impression que cela ne va pas correspondre à ce que vous imaginez.
OpenVPN est utilisé par des utilisateurs situés à l'extérieur de l'entreprise, (en gros n'importe où dans le monde) et qui disposent d'une connexion à Internet.
Openvpn va leur permettre d'accéder à tout ou partie des réseaux internes de l'entreprise par un canal sécurisé fournissant la confidentialité, le contrôle d'intégrité et, selon configuration, des mécanismes d'authentification plus ou moins robustes.
Je repose la question, qu'attendez vous d'openVPN, d'un point de vue fonctionnel ?
Par ailleurs cette description fonctionnelle de l'emploi le plus fréquent du vpn correspond t elle à ce que vous souhaitez ou à ce que vous en avez compris ?
Certains éléments laissent penser que vous voulez faire du vpn avec les réseaux internes. Pour quoi faire ? Pour atteindre quelle machine applications ou réseaux ?

Jazz210

je vois à présent ou vous voulez en venir.

j'utilise openvpn en temps que client vpn ou j'importe la configuration de mon fournisseur vpn ( NordVPN)

je souhaite donc faire sortir et uniquement sortir! mon traffic du lan3 vers le vpn client configurer dans openvpn.
actuellement je vous écris de ce lan3 et de mon vpn, malheuresement mes autres lan sont bloqué comme expliqué plus haut lorsque je connecte openvpn.

j'aurais pensée à un probleme dans la configuration dns, les deux tutos cités dans le post original parlent de la configuration dns, mais j'ai l'impression que c'est pour faire passer l'ensemble du traffic de pfsense par openvpn.

ccnet

Pas moyen de vous faire expliquer le besoin fonctionnel. C'est donc terminé pour moi.

Jazz210

je crois que vous vous noyez tous ici dans la masturbation intellectuelle....

ma question est pourtant simple et l'emploi d'openvpn en temps que client est ce qui est le plus largement utilisé de part le monde contrairement à ce que vous me citez (et réservé au pro) du vpn site to site

lan3 --> tunnel openvpn (client chez nordvpn) --> internet.

celà fera un topic sans aucun sens et un dialogue de sourd supplémentaire pour votre forum.
ma question reste donc en suspend, même si je n'attends plus aucun réponses de votre part.

ccnet

ma question est pourtant simple et l'emploi d'openvpn en temps que client est ce qui est le plus
largement utilisé de part le monde contrairement à ce que vous me citez (et réservé au pro) du vpn site to >site

C'est très exactement le contraire de ce que j'ai indiqué.

Si vous voulez comme vous l'indiquez configurer un client VPN pour accéder à un serveur VPN situé à l'extérieur alors ce sujet n'a rien à voir avec Pfsense et ne nécessite absolument pas la configuration d'OpenVPN sur Pfsense.

Si vous voulez connecter un réseau entier (lan3) au serveur VPN toujours à l'extérieur alors vous avez besoin du serveur OpenVPN en tant que client et pas d'un lient sur votre poste et vous êtes dans la configuration dont vous dites ne pas avoir besoin (et réservé au pro comme vous dites).

je crois que vous vous noyez tous ici dans la masturbation intellectuelle....

Modérez vos propos lorsque vous ne savez pas distinguez un réseau privé d'un réseau public au sens de la RFC 1918.
Je suis un professionnel des questions de sécurité IT. J'ai l'habitude de travailler avec une certaine rigueur et non pas dans l'approximation. Encore moins dans l'incompétence. D'un besoin clairement exprimé découle une solution qui va fonctionner. D'un besoin mal ou non exprimé découle ... des ennuis.
De deux choses l'une : soit vous voulez connecté un réseau entier à un VPN externe et vous pouvez le faire grace au client du serveur OpenVPN de Pfsense.
Soit vous voulez connecter certains clients mais tous à ce serveur VPN alors il faut utiliser un client vpn sur chaque poste.

ma connection vpn sur le lan3 marche! mais celà me coupe ma connection en lan2.

Selon la configuration le problème est de votre côté ou de celui du fournisseur du serveur VPN. C'est un problème de routage qui est fortement lié à in problème de sécurité.
J'ai lu comment vous appelez cela. Pour moi c'est de la compétence.

c'est vraiment dans la partie nat-Outbound et gateway que je pèche a trouver la solution.

Rien à toucher de ce côté là. Se noyer dites vous ?

jdh

Puisque notre ami a des pudeurs, on va l'écrire le besoin :

Les clients de VPN tel NordVPN et beaucoup d'autres (y compris avec choix du pays pour l'ip de sortie), veulent masquer leur adresse ip publique française : le trafic Internet qu'il initie apparait comme issue de l'ip publique sortie du vpn,

Typiquement on fait cela parce qu'on a échange des fichiers en mode P2P et qu'on a reçu une sympathique lettre de HADOPI.

Et ici, notre ami veut utiliser une seul compte NordVPN pour tous les PC connectés à une interface (de pfSense).

Et face à ce besoin, on suit ce que j'ai écris ...

Vos remarques, dans ce contexte et au vu de vos connaissances, sont assez déplacés ...

Jazz210

Bonjour

si je ne répond pas c'est que je suis débordé de travail...
pour réponse, je suis dans la finance et je trade à titre "compte propre" .. donc non pas de P2P ni d'hadopi ...

une fois de plus vaut remarque déplacé, montre que vous êtes ici des mouches à merde sur diplomés.
Mon problème étant résolu par moi même. topic clos.

#Licheurdecallottes

jdh

Comme d'hab !

Comme d'hab, la question qui semblait dépasser l'utilisateur est résolu par lui-même ! (alors même que ses connaissances sont très limitées ...)
Comme d'hab, la solution n'est jamais expliquée ! (parce que ce n'est pas le cas).
Comme d'hab, les gens qui répondent sur le forum sont des emmerdeurs.
C'est bien, continuez ...

ccnet

une fois de plus vaut remarque déplacé, montre que vous êtes ici des mouches à merde sur diplomés.

Là aussi la connaissance de base fait défaut.

N'hésitez pas a me poser des question si je n'ai pas été assez précis.

Bien mal nous en a pris.