pfSense et OpenVPN // Impossible de se connecter depuis l'exterieur // TLS handshake failed



  • Bonjour à tous,

    Après avoir écumé de nombreux guide, tutoriel et documentation en tout genre (dont ceci : https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity/), je m'en remets à vous, car je ne comprends pas pourquoi je n'arrive pas à me connecter à mon serveur OpenVPN hébergé sur un pfSense depuis l'extérieur.

    Voici quelques informations qui vous seront certainement utiles pour m'aider :

    Voici un shéma épuré de mon réseau (avec seulement l'indispensable ici)
    alt text

    Je sais que c'est moche, mais à cause de nombreux problème de déconnexion sur ma freebox en mode Bridge, je suis donc passé en double NAT.

    J'ai donc une box freebox avec l'IP 192.168.0.1
    Sur lequel j'ai connecté mon routeur pfSense en 192.168.0.254.
    Sur la freebox, j'ai passé l'IP 192.168.0.254 DMZ afin d'avoir tous les ports ouverts.
    Ensuite, mon LAN est configuré sur le réseau 192.168.1.0/24 et mon pfSense a l'adresse ip 192.168.1.1

    Voilà, maintenant que vous savez presque tout, parlons de mon problème.
    Lorsque je tente de me connecter via mon client VPN sur un PC connecter à une Livebox à l'extérieur, j'obtiens l'erreur suivante :

    Wed Feb 20 16:55:41 2019 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
    Wed Feb 20 16:55:41 2019 Windows version 6.2 (Windows 8 or greater) 64bit
    Wed Feb 20 16:55:41 2019 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
    Wed Feb 20 16:55:45 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]83.X.X.X:1194
    Wed Feb 20 16:55:45 2019 UDP link local (bound): [AF_INET][undef]:0
    Wed Feb 20 16:55:45 2019 UDP link remote: [AF_INET]83.X.X.X:1194
    Wed Feb 20 16:56:45 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Wed Feb 20 16:56:45 2019 TLS Error: TLS handshake failed
    Wed Feb 20 16:56:45 2019 SIGUSR1[soft,tls-error] received, process restarting
    

    Ou l'adresse IP est mon adresse ip extérieure que j'ai changée directement dans le fichier de configuration (Donc 83.157.X.X:1194).

    Clairement, ça fait pensé à un problème de Firewall ou de port non ouvert.

    Voici ce que j'ai vérifié :

    Mon firewall du PC est désactivé.
    La pâte WAN de mon pfsense est bien en DMZ (192.168.0.254)
    L'adresse IP est bien mon adresse IP externe, elle est fixe
    Sur pfSense voici les règles mises en place lors de la configuration d'OpenVPN

    alt text

    Et voici la partie NAT :

    alt text

    Avez-vous des idées de ce que j'aurais pu louper/oublier ?

    Merci d'avance pour votre aide.



    1. Vérifiez la présence du trafic vpn sur l'interface wan.

    2. Il n'y a pas lieu d'ajouter une règle de nat. .La terminaison du tunnel est sur Pfsense. Ensuite c'est routage vers la machine de destination en passant par les règles du tunnel OpenVPN. Celles doivent autoriser les flux souhaités.



  • Merci pour ta réponse.
    J'ai effectivement supprimer la règle de NAT.

    Peut-tu m'en dire plus sur la vérification de présence du trafic ?

    Genre, je branche un sniffer type wireshark sur le réseau 192.168.0.0/24 à la recherche de trafic sur le port 1194 ?



  • Remarques générales :

    • pfSense permet les alias : il FAUT les utiliser !
    • Pour quoi créer une règle qui autorise tcp/udp/1194 alors qu'OpenVPN a été configuré sur 1194/udp ?

    Vous avez un routeur avec ip publique/ip privé.
    Le trafic OpenVPN arrive sur ce routeur et doit être redirigé vers le WAN de pfSense : Comment êtes vous sûr que cela fonctionne ?

    Regarder le trafic qui arrive sur un pfSense ? Et il faudrait un autre matériel (et un autre outil) ? Vous n'avez pas du chercher dans les possibilités de pfSense ! Bien évidemment que pfSense dispose de la possibilité de regarder du trafic qui arrive !



  • Merci pour ta réponse jdh.
    La règle créer en tcp/udp c'était un test, puisque cela ne fonctionnait pas en UDP, j'ai tenté l'ouverture sur le TCP & UDP.
    Dans tous les cas, j'ai supprimer cette règle comme demandé plus haut.

    Concernant le trafic OpenVPN justement, je ne suis pas sûr du tout que cela fonctionne.
    Cependant, mon pfsense étant en DMZ, le trafic envoyé sur le port 1194 devrait être directement envoyé à la pâte WAN de pfSense non ?

    J'ai installé ntopng pour l'analyse du trafic, je ne vois rien sur le port 1194. Donc peut être que c'est bloquer directement sur la freebox, mais je ne vois pas pourquoi alors que toute mes autres règles fonctionne correctement (pour l'accès au NAS depuis l'extérieur par exemple).



  • Ccnet conseille de 'vérifier la présence de trafic' (car c'est la base).

    Pfsense a, de base, l'outil qui permet de vérifier s'il y a du trafic sur une interface. Il n'y a nul besoin d'un package, même si ntop est un bon package assez utile. Cherchez encore ...



  • @utopik said in pfSense et OpenVPN // Impossible de se connecter depuis l'exterieur // TLS handshake failed:

    La règle créer en tcp/udp c'était un test, puisque cela ne fonctionnait pas en UDP, j'ai tenté l'ouverture sur le TCP & UDP.

    Cela manque de rigueur dans la démarche.

    J'ai installé ntopng pour l'analyse du trafic

    Inutile en effet. Sur Pfsense : Diagnostic -> Packet Capture. On configure l'écoute sur WAN en UDP et port=1194. Il suffit de capturer lors d'une tentative de connexion. Vous serez fixé.
    Si pas de trafic direction la box ....



  • Si ccnet donne la réponse ...

    Remarque générale : s'intéresser à un firewall, c'est comprendre l'importance d'être 'précis' (voire très précis) ! Il est essentiel de ne pas écrire des règles trop vagues !

    Quelqu'un qui n'est pas précis dans son langage, ne le sera pas plus dans le pilotage d'un firewall ...



  • bonjour,
    est ce qu'il y a une redirection de port sur la freebox?


Log in to reply