Difficulté pour l'interconnection de VPNs (IPSEC et Openvpn) entre pfsense



  • Bonjour tout le monde.

    Je vous écrit dans l'espoir de résoudre un problème rencontré dans un millieu pro.

    Je souhaite me connecter au siège via openvpn (configuré sur pfsense) et avoir accès à la totalité de mes sous-réseaux.

    La difficulté rencontré : mon réseau est lui-même une interconnection de réseaux via vpn ipsec (toujours avec pfsense).

    J'ai pris le temps de vous faire un schéma :
    0_1539699672656_vpn.png

    Donc actuellement moi je peu me connecter avec openvpn à PFs-01, et je ping Alice. En revanche je ne ping pas Bob. Alice, elle, ping Bob.
    Pour info, l'ICMP (ping) est autorisé sur tous les pare-feu (des pfsense, des ordinateus ....).

    Je suis sous windows. j'utilise la conf openVPN généré par l'onglet "client export" du menu openvpn de pfsense.
    J'ai essayé de faire un tracert depuis mon poste genre tracert 10.100.3.14
    résultat :
    63ms 60ms 63ms 10.250.0.1
    60ms 58ms 62ms 192.168.3.1
    x x x
    x x x (perdu dans le vide)

    Donc en effet mon ping va sur le pfsense, qui renvoi par la BOX d'accès à internet 1 (qui ne connait bien entendu pas 10.64.0.0/10)

    Alors que depuis le poste d'Alice, le ping arrive à PFs-1, qui l'envoi au travers du VPN IPsec à PFs-2, puis à Bob.

    Je pense qu'il manque une route. Mais laquelle, et à quel endroit ? sur PFs-1 ?

    Merci pour votre aide.



  • Ton tunnel VPN, sur pfs-1, connait le réseau 10.0.0.0/10 mais ne connait probablement pas 10.64.0.0/10. Est-ce que tu annonces bien cette route au niveau du serveur VPN ?



  • Bonjour Chris4916,
    Merci de ta réponse.

    Alors sur pfs-1, quand je vais dans la conf du serveur openvpn, j'ai le champ
    "IPv4 Local Network/s" : 10.0.0.0/10,10.64.0.0/10,10.128.0.0/10
    10.128.0.0/10 c'est une autre partie du réseau que je n'ai pas mis dans le schémas, parce que la problématique est identique, et que j'adapterais la solution à cette partie là aussi.

    ET, pfs-1 sait communiquer auprès de 10.64.0.0/10 (puisqu'Alice et Bob communiquent sans problème).

    Coté client, voici les routes que j'ai une fois connecté au VPN :

    IPv4 Table de routage
    ===========================================================================
    Itinéraires actifs :
    Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
              0.0.0.0          0.0.0.0   172.17.255.254       172.17.2.2     25
             10.0.0.0      255.192.0.0       10.250.0.5       10.250.0.6     35
            10.64.0.0      255.192.0.0       10.250.0.5       10.250.0.6     35
           10.128.0.0      255.192.0.0       10.250.0.5       10.250.0.6     35
           10.250.0.1  255.255.255.255       10.250.0.5       10.250.0.6     35
           10.250.0.4  255.255.255.252         On-link        10.250.0.6    291
           10.250.0.6  255.255.255.255         On-link        10.250.0.6    291
           10.250.0.7  255.255.255.255         On-link        10.250.0.6    291
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
           172.17.0.0      255.255.0.0         On-link        172.17.2.2    281
           172.17.2.2  255.255.255.255         On-link        172.17.2.2    281
       172.17.255.255  255.255.255.255         On-link        172.17.2.2    281
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
            224.0.0.0        240.0.0.0         On-link        10.250.0.6    291
            224.0.0.0        240.0.0.0         On-link        172.17.2.2    281
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      255.255.255.255  255.255.255.255         On-link        10.250.0.6    291
      255.255.255.255  255.255.255.255         On-link        172.17.2.2    281
    ===========================================================================
    

    A titre de comparaison, voici les routes de Alice:

    IPv4 Table de routage
    ===========================================================================
    Itinéraires actifs :
    Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
              0.0.0.0          0.0.0.0         10.2.1.1        10.1.6.13     25
             10.0.0.0      255.192.0.0         On-link         10.1.6.13    281
            10.1.6.13  255.255.255.255         On-link         10.1.6.13    281
        10.63.255.255  255.255.255.255         On-link         10.1.6.13    281
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
            224.0.0.0        240.0.0.0         On-link         10.1.6.13    281
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      255.255.255.255  255.255.255.255         On-link         10.1.6.13    281
    ===========================================================================
    

    Dernière chose, j'ai essayé de reprendre la manip depuis le début, et donc de suivre le parcours utilisateur "lambda".
    Depuis pfsense, en exportant la conf client, je télécharge l'installeur .exe avec la conf pour "moi". Une fois installé sur le pc, je n'arrive pas à me connecter. J'ouvre la conf avec blocnote (le fichier .openvpn) et surprise :
    remote 192.168.3.1 1194
    J'ai remplacé par :
    remote 56.xxx.xxx.xxx 1194 <- l'ip publique de BOX 1 et non son ip privé : je suis connecté, mais je me retrouve dans le cas indiqué dans mon message précédent.
    J'ai quand même cherché dans PFsense pourquoi l'ip privé est indiqué, et sur la page pfs-1/vpn_openvpn_export.php -> l'onglet client export d'openvpn, j'ai le champ "Host Name Resolution" : interface IP address

    Or si je change sur "Other" avec la valeur : 56.xxx.xxx.xxx (L'ip publique de Box 1), je n'ai pas de bouton pour enregistrer ... Je ne sait pas si le problème est lié ?