Difficulté pour l'interconnection de VPNs (IPSEC et Openvpn) entre pfsense
-
Bonjour tout le monde.
Je vous écrit dans l'espoir de résoudre un problème rencontré dans un millieu pro.
Je souhaite me connecter au siège via openvpn (configuré sur pfsense) et avoir accès à la totalité de mes sous-réseaux.
La difficulté rencontré : mon réseau est lui-même une interconnection de réseaux via vpn ipsec (toujours avec pfsense).
J'ai pris le temps de vous faire un schéma :
Donc actuellement moi je peu me connecter avec openvpn à PFs-01, et je ping Alice. En revanche je ne ping pas Bob. Alice, elle, ping Bob.
Pour info, l'ICMP (ping) est autorisé sur tous les pare-feu (des pfsense, des ordinateus ....).Je suis sous windows. j'utilise la conf openVPN généré par l'onglet "client export" du menu openvpn de pfsense.
J'ai essayé de faire un tracert depuis mon poste genre tracert 10.100.3.14
résultat :
63ms 60ms 63ms 10.250.0.1
60ms 58ms 62ms 192.168.3.1
x x x
x x x (perdu dans le vide)Donc en effet mon ping va sur le pfsense, qui renvoi par la BOX d'accès à internet 1 (qui ne connait bien entendu pas 10.64.0.0/10)
Alors que depuis le poste d'Alice, le ping arrive à PFs-1, qui l'envoi au travers du VPN IPsec à PFs-2, puis à Bob.
Je pense qu'il manque une route. Mais laquelle, et à quel endroit ? sur PFs-1 ?
Merci pour votre aide.
-
Ton tunnel VPN, sur pfs-1, connait le réseau 10.0.0.0/10 mais ne connait probablement pas 10.64.0.0/10. Est-ce que tu annonces bien cette route au niveau du serveur VPN ?
-
Bonjour Chris4916,
Merci de ta réponse.Alors sur pfs-1, quand je vais dans la conf du serveur openvpn, j'ai le champ
"IPv4 Local Network/s" : 10.0.0.0/10,10.64.0.0/10,10.128.0.0/10
10.128.0.0/10 c'est une autre partie du réseau que je n'ai pas mis dans le schémas, parce que la problématique est identique, et que j'adapterais la solution à cette partie là aussi.ET, pfs-1 sait communiquer auprès de 10.64.0.0/10 (puisqu'Alice et Bob communiquent sans problème).
Coté client, voici les routes que j'ai une fois connecté au VPN :
IPv4 Table de routage =========================================================================== Itinéraires actifs : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 0.0.0.0 0.0.0.0 172.17.255.254 172.17.2.2 25 10.0.0.0 255.192.0.0 10.250.0.5 10.250.0.6 35 10.64.0.0 255.192.0.0 10.250.0.5 10.250.0.6 35 10.128.0.0 255.192.0.0 10.250.0.5 10.250.0.6 35 10.250.0.1 255.255.255.255 10.250.0.5 10.250.0.6 35 10.250.0.4 255.255.255.252 On-link 10.250.0.6 291 10.250.0.6 255.255.255.255 On-link 10.250.0.6 291 10.250.0.7 255.255.255.255 On-link 10.250.0.6 291 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 172.17.0.0 255.255.0.0 On-link 172.17.2.2 281 172.17.2.2 255.255.255.255 On-link 172.17.2.2 281 172.17.255.255 255.255.255.255 On-link 172.17.2.2 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 10.250.0.6 291 224.0.0.0 240.0.0.0 On-link 172.17.2.2 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 10.250.0.6 291 255.255.255.255 255.255.255.255 On-link 172.17.2.2 281 ===========================================================================
A titre de comparaison, voici les routes de Alice:
IPv4 Table de routage =========================================================================== Itinéraires actifs : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 0.0.0.0 0.0.0.0 10.2.1.1 10.1.6.13 25 10.0.0.0 255.192.0.0 On-link 10.1.6.13 281 10.1.6.13 255.255.255.255 On-link 10.1.6.13 281 10.63.255.255 255.255.255.255 On-link 10.1.6.13 281 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 10.1.6.13 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 10.1.6.13 281 ===========================================================================
Dernière chose, j'ai essayé de reprendre la manip depuis le début, et donc de suivre le parcours utilisateur "lambda".
Depuis pfsense, en exportant la conf client, je télécharge l'installeur .exe avec la conf pour "moi". Une fois installé sur le pc, je n'arrive pas à me connecter. J'ouvre la conf avec blocnote (le fichier .openvpn) et surprise :
remote 192.168.3.1 1194
J'ai remplacé par :
remote 56.xxx.xxx.xxx 1194 <- l'ip publique de BOX 1 et non son ip privé : je suis connecté, mais je me retrouve dans le cas indiqué dans mon message précédent.
J'ai quand même cherché dans PFsense pourquoi l'ip privé est indiqué, et sur la page pfs-1/vpn_openvpn_export.php -> l'onglet client export d'openvpn, j'ai le champ "Host Name Resolution" : interface IP addressOr si je change sur "Other" avec la valeur : 56.xxx.xxx.xxx (L'ip publique de Box 1), je n'ai pas de bouton pour enregistrer ... Je ne sait pas si le problème est lié ?