[Résolu] L2TP/IPsec OK mais SMB KO



  • Bonjour à tous,

    voilà je suis en train de m'amuser un peu ( au niveau des VPNs) sur un PfSense que j'ai installé,

    J'ai mis en place un OpenVPN qui fonctionne à merveille!

    Et la je veux mettre en place un L2TP/IPsec (en suivent les directive que j'ai trouvé la: https://www.adrienfuret.fr/2016/08/04/pfsense-vpn-l2tpipsec/
    ) et presque tous fonctionne je m'explique:

    j'ai simplement 1PC Windows 10( PC°1) sur le LAN derrière mon PfSense
    Mon client VPN est un PC Windows 10 ( PC°2)

    Connexion PC°2 au VPN --> OK
    Ping PC°1 sur LAN depuis PC°2 --> OK
    accès interface Web sur PC°1 depuis PC°2 --> OK
    Connexion RDP depuis PC°2 sur PC°1 --> OK
    Connexion SMB depuis PC°2 sur PC°1 --> KO

    En effet il m'est impossible d'y accéder j'ai un message d'erreur systématique qui me dit qu'il ne peux pas accéder a mon partage...

    pour information toutes ces connexion je les effectue uniquement avec l'IP.

    J'ai déjà testé de désactiver le firewall Windows et AV sur PC°1 mais cela ne change rien à mon souci...

    Auriez vous une idées de ce qui pourrait bloquer?

    Merci!!



  • Salut salut

    • Bienvenu parmi nous, sur ce forum ne traitant de Pfsense.
    • Afin que vous puissiez avoir satisfaction votre demande, je ne serais que trop vous demande de suivre les préconisations ci joint en lien
      https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-à-respecter-pour-la-demande-d-aide
    • Ceci dans le but que nous poussions vous aider à résoudre de manière plus rapide et agréable possible, en effets le nombre de fils ne respectant pas ce principe se multiplie engendrant presque systématiquement des débordements qui n'ont rien à faire dans le cadre d'un forum technique pointu.

    Cordialement



  • Bien sur désolé!

    Alors:

    Contexte : Je suis un professionel mais novice sur PfSense, l'installation en question est uniquement pour un but d'apprentissage et n'est installé que en test!

    Besoin : Je voudrait mettre en place un VPN L2TP/IPsec pour accéder à mes ressources réseau ( imprimantes, partages, RDP, etc...) que ce sois depuis du Windows / OSX, iOs, Android!

    Schéma :

    WAN (modem/routeur/box) : 1 APU2, 1 interface WAN avec ip non static ( pour mon teste).

    LAN : 2 interface LAN ( une seul utilisé pour le moment, pas de vlan, ip 10.10.10.0/24, DHCP 10.10.10.10-->100

    DMZ : Aucune

    WIFI : Aucun

    Autres interfaces : Aucune

    Règles NAT : forward (rien), 1-to-1 (rien) ,
    outbound
    alt text,

    Règles Firewall :
    Floating:
    alt text

    WAN:
    alt text

    LAN:
    alt text

    L2TP:
    alt text

    IPsec:
    alt text

    Packages ajoutés : OpenVPN Export Client (qui n'as rien à voir ici mais bon..!

    Autres fonctions assignées au pfSense : VPN L2TP

    Question :

    j'ai simplement 1PC Windows 10( PC°1) sur le LAN derrière mon PfSense
    Mon client VPN est un PC Windows 10 ( PC°2)

    Connexion PC°2 au VPN --> OK
    Ping PC°1 sur LAN depuis PC°2 --> OK
    accès interface Web sur PC°1 depuis PC°2 --> OK
    Connexion RDP depuis PC°2 sur PC°1 --> OK
    Connexion SMB depuis PC°2 sur PC°1 --> KO

    En effet il m'est impossible d'y accéder j'ai un message d'erreur systématique qui me dit qu'il ne peux pas accéder a mon partage...

    pour information toutes ces connexion je les effectue uniquement avec l'IP.

    Pistes imaginées:
    J'ai déjà testé de désactiver le firewall Windows et AV sur PC°1 mais cela ne change rien à mon souci...

    Recherches : IDEM
    Logs et tests : j'ai regarder dans les log et je ne vois rien de special... les partages SMB fonctionne bien évidemment sans problème si ont ne passe pas par le VPN!

    Configuration VPN:
    IL2TP:

    alt text

    alt text

    IPsec:

    alt text

    Mobile Client:

    alt text

    Merci et navré de n'avoir pas fait la demande correctement...!



  • This post is deleted!


  • Salut salut

    • Personnellement je n'aurais pas mis en place un vpn l2tp sauf erreur qui n'est plus suffisamment sécure en production.
    • J'aurais plus privilégier
      - pour du clients itinérants ==> OPENVPN
      - pour du site à site ==> IPSEC
      Il est important de savoir même dans un but d'apprentissage et étude si la techno à tester est viable et pourquoi.

    Je vais plus laisser mes petits camardes vous expliquer pourquoi s il le souhaite.
    Autre chose merci d'avoir suivi les pré requis.

    Cordialement.



  • Remarque liminaire : Merci à Tatave d'avoir pensé à rappeler le formulaire, assez simple à utiliser, et qui est destiné à fournir de l'info dès le début. Je note l'idée. Bravo à CrisVain d'avoir parfaitement compris et rempli excellemment le formulaire. Puissions nous avoir des nouveaux comme CrisVain !

    J'ignorais que L2TP pouvait fonctionner ...

    Je suppose que si le ping fonctionne depuis l'extérieur vers l'intérieur, c'est que la totalité des trames passent (au vu des règles L2TP).

    Depuis PC2 (vpn), je lancerais, en ligne de commande une commande comme 'net use \\ip-pc1\ipc$ /user:pc1\user mdp' avant d'aller plus loin. Cette commande permet d'ouvrir la connexion SMB en s'identifiant avec un utilisateur local à PC1.



  • L2tp IPSec est plutôt obsolète et très peu efficace compte tenu de la surcharge protocolaire induite par sa conception. Pour résumer : openvpn pour les utilisateurs nomades ( isolés) et IPSec pour les interconnexions de sites.



  • On est parfaitement d'accord Ccnet : Openvpn pour les nomades (roadwarrior), Ipsec pour le site-à-site, c'est ce qu'il faut recommander.

    Néanmoins, juste pour la beauté, il est difficile de comprendre pourquoi si le vpn est monté, un partage SMB ne fonctionne pas.



  • @Tatave Merci beaucoup pour l'information! en effet j'aurait du me renseigner avant même si cela est un test! et pour ce qui est des pré requis c'est tout à fait normal!

    Donc effectivement je ne savais pas que L2TP n’étais pas conseillé..(je ne suis pas spécialiser dans les VPN) mais je l'ai pris car sur iOs par exemple l'option OpenVPN n'est pas intégré et que je ne souhaitait pas passer par une application supplémentaire... du coup que me conseilleriez vous?

    De plus sauf erreur de ma part mais OpenVPN sur iOs et Android ne gère pas le TAP sur OpenVPN ( quoi que j'avais déniché un app android qui le gérait Client OpenVPN Android), et dites moi si je me trompe car je ne suis pas un expert dans le domaine mais pour mon utilisation comme expliqué plus haut ( utilisation de toutes les ressources réseau LAN: SMB, imprimantes, RDP, et autres app installer sur un serveur par exemple) le mode TAP serait plus recommandé non?

    @jdh Merci, je test la commande dès demain et je revient vers vous pour un feedback!

    cela n’empêche que comme le dit @jdh juste pour le principe je vais tous de même chercher ou cela coince..

    Merci déjà pour vos tuyaux et un grand merci pour m'aider a y voir plus claire!!



  • Bon...

    J'ai trouvé la source du problème et j'ai un peux (beaucoup) honte de moi...

    Rien à voir avec le VPN...

    Pour que vous ne vous moquiez pas trop de moi je vous explique comment j'ai fauté... 😜

    voilà comment j'ai procédé:

    1. j'ai créer mon partage de teste sur mon réseau Local (LAN2 )ou ce trouvait PC2 ( client VPN) et il fonctionnait parfaitement!
    2. je mettait ce même pc sur le LAN de mon PFsense ( LAN1) ,et je testait le partage par le biais du VPN et la cela ne fonctionnait pas
    3. par fainéantise et par manque d'envie de branché un deuxieme PC sur mon LAN1... je débranchait mon PC du LAN1 que je reconnectait sur mon LAN2 et je me disait que c’était bizarre car le partage fonctionnait à nouveau..

    En fait en changement de LAN la connexion réseau de mon PC Windows derrière mon PFsense changeait de type de connexion en Privé ( Merci Windows 10) ce qui me bloquait les partages...

    Je suis désoler de vous avoir dérange pour une bêtise pareil...

    il faut voir le coté positif, sa m'auras au moins permis de savoir que le L2TP n'est pas recommandé!! 😓

    par contre je suis tous de même toujours intéresser d'avoir votre avis quant a mon message précédent!

    Encore navré...



  • On ne pense pas forcément à la différence de 'profil réseau' (Windows) : le ping fonctionne donc go.

    La différence Tun/Tap est présentée simplement dans https://en.wikipedia.org/wiki/TUN/TAP ou pour OpenVPN https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

    Très usuellement, un VPN pour nomades est en mode routé (TUN). C'est particulièrement indiqué si la passerelle réseau (gateway) des machines dans le LAN est le firewall qui est aussi serveur OpenVPN. C'est la méthode à conseiller !

    A contrario le mode bridge (TAP) doit être réservé à des besoins (très) spécifiques et est à éviter.

    Je crois qu'OpenVPN (en mode routé =TUN) est dispo pour pc (Windows+Apple) et smartphone (Android+Apple).


    Réflexions perso :

    Autant je vois l'intérêt d'un smartphone qui propose le 'partage de connexion' (afin qu'un pc se connecte en wifi au smartphone pour accéder à Internet voire à un réseau perso ou d'entreprise via VPN).

    Autant je vois moins l'intérêt que le smartphone établisse le VPN avec un réseau perso ou d'entreprise, car, d'une part, l'écran du smartphone est bien moins confortable que l'écran d'un pc, et, d'autre part, toutes les applications (qui me sont) utiles ne sont pas dispos ou véritablement utilisables sur le smartphone (exemple vsphere, rdp, putty, vnc/teamviewer, ...) !

    Exemple vécu cette année : sur un site du groupe, j'ai changé la messagerie interne :

    • la nouvelle est équivalente à Exchange et permet EAS (Exchange Active Sync), donc les smartphones n'ont pas besoin de VPN ni les outlook d'un pc connecté chez soi,
    • la précédente (juste POP/IMAP) ne fonctionnait, pour les outlook à distance, qu'avec le VPN, et il n'y avait donc aucun smartphone avec messagerie activée. (Cela aurait été possible avec IMAPS mais la solution avait des années ...)

    C'est étonnant comme les utilisateurs ne se posent pas la question du fonctionnement de leur Outlook sur le pc portable branché à la maison sans le moindre VPN ...



  • Non effectivement je n'y ai vraiment pas pensé du tout!...

    Merci pour les liens et les explications je m'en vais potasser la doc et faire mes testes, vous risquer peut être de me revoir sous peux... ^^!

    effectivement je ne trouve pas cela très pratique d'utilisé un smartphone et encore moins du Mac..., mais à vrais dire j'ai quelque clients pro qui utilise des iPad par exemple et qui souhaite accéder aux ressources réseaux, surtout les partages réseau, d'ou mes quelques recherches pour si un jours je doit remplacer les Sonicwall en question, ( et surtout par ce que je débarque sur PFsense et qu'il me plait énormément du coup je voudrait connaitre toutes les possibilité!)

    pour ce qui est de ton exemple je crois que l'ont peux le mettre sur beaucoup de choses dans ce domaine, les gens ne cherche pas a comprendre quoi que ce sois ce qui est grisent certaine fois pour nous...

    dans tous les cas un grand merci pour votre temps et vos conseille!

    je passe le sujet en résolut!