PfSense / OpenVPN | Connexion VPN effective, LAN accessible, ressources HTTP/HTTPS inacessibles



  • Bonjour,

    Je souhaite mettre en place un serveur OpenVPN sur un Pfsense. L'objectif est simple, accéder aux ressources du réseau local (NAS Synology, VM en tout genre...) depuis n'importe où.

    Un petit diagramme simple pour illustrer. :)

    Generic Network Diagram.png

    J'ai donc configuré via le package openvpn-client-export le serveur OpenVPN :

    • Mode SSL/TLS + User Auth (local database auth)

    • UDP 1194 (IPV4 only)

    • 192.168.50.0/29 pour les clients OpenVPN

    • 192.168.5.0/24 pour le LAN

    Une fois configuré, le client peut se connecter au VPN. Il est possible de contacter en ICMP (ping dans les deux sens) les machines du réseau local ainsi que n'importe quelle machine sur internet (option redirect gateway dans la configuration OpenVPN du client). Il est même possible d'initier des connexions SSH sur les VMs du LAN depuis le client connecté au VPN.

    La difficulté arrive pour le HTTP / HTTPS impossible d'accéder à une ressource web. J'ai ajouté un extrait d'une capture de paquets sur l'interface OpenVPN du pfsense lorsque je tente de me connecter à l'interface web proxmox (machine qui répond en ICMP).

    En raison de la communication ICMP possible dans les deux sens, ce ne doit pas être un problème de routage. Le fait que le SSH soit possible et que la seule règle de filtrage autorise tous les protocoles IPv4 sur la pâte OpenVPN du firewall me fait penser que ce n'est pas non plus un problème de filtrage.

    Dans la capture de paquets, d'après mon niveau de compréhension du TCP le three-way-handshake semble s'effectuer et ensuite les données ne parviennent pas à être transmises correctement ce qui expliquerait les TCP Dup Ack. Il semblerait que le serveur ne parvient pas à retransmettre les données.

    packetcapture.cap

    Avez-vous une piste ? J'espère être clair et synthétique. Par avance merci pour votre aide. :)

    Alexandre.



  • L'établissement de la connexion tcp est correct, de même que l'établissement de la session TLS 1.2. Ensuite il ne se passe plus rien en https.
    La connexion https a deux particularités semble-t-il. Un port non standard, 8006 je crois, et un certificat par défaut de Promox. Je penche pour un problème applicatif.
    Tous vos aspects réseaux sont corrects.
    L'admin Promox, si c'est bien de cela qu'il s'agit, est ok par défaut depuis un réseau autre que celui de l'interface d'admin ?



  • Bonjour, merci pour la réponse !

    Oui l'interface web d'aministration proxmox est parfaitement fonctionnelle depuis mon réseau local. J'ai ici pris l'exemple de l'accès à l'interface proxmox mais le problème est identique pour l'interface web DSM de mon synology, même chose pour un serveur web classique.



  • Buenas queridos colegas
    En el dia de hoy les traigo un problema que no me deja trabajar
    Tengo una versión instalada de 2.4.4-RELEASE-p3 (amd64) en una Motherboard Intel(R) Xeon (R) CPU 3050 @ 2.13GHz 2 CPUs: 1 package(s) x 2 core(s)AES-NI CPU Crypto con 6 tarjetas de red para mis conexiones ya que utilizo varias vías para conectarme y no tengo fibra óptica todo esta funcionando muy bien hasta hace unos días que se me reinicia y pone carteles como 9 minutos y al final dice así:
    db:0:kbd.enter.default> reset
    cpu_reset: failed to restart BSP
    cpu reset: restarting BSP
    em1: watchdog time –resetting
    este último es cuando está trabajando pero es molesto pues me desconecta las máquina de la LAN me gustaría saber como solucionarlo no se puede trabajar



  • @sandy said in PfSense / OpenVPN | Connexion VPN effective, LAN accessible, ressources HTTP/HTTPS inacessibles:

    Buenas queridos colegas
    En el dia de hoy les traigo un problema que no me deja trabajar
    Tengo una versión instalada de pfsense de 2.4.4-RELEASE-p3 (amd64) en una Motherboard Intel(R) Xeon (R) CPU 3050 @ 2.13GHz 2 CPUs: 1 package(s) x 2 core(s)AES-NI CPU Crypto con 6 tarjetas de red para mis conexiones ya que utilizo varias vías para conectarme y no tengo fibra óptica todo esta funcionando muy bien hasta hace unos días que se me reinicia y pone carteles como 9 minutos y al final dice así:
    db:0:kbd.enter.default> reset
    cpu_reset: failed to restart BSP
    cpu reset: restarting BSP
    em1: watchdog time –resetting
    este último es cuando está trabajando pero es molesto pues me desconecta las máquina de la LAN me gustaría saber como solucionarlo no se puede trabajar


Log in to reply