Site à Site OpenVPN - Problème de routes ?



  • Bonsoir à vous ,

    Contexte : Il s'agit d'un milieu professionnel, cela avait toujours été utilisé pour des actions basiques donc mon niveau est resté basique sur ces produits. Ces derniers sont en prod.

    Besoin : J'ai monté entre le site de production et le site de backup un VPN OpenVPN site à site (enfin essayé) entre deux netgate.

    Schéma : Réseau Prod(192.168.0.X/24)----PFsenseProd(192.168.0.1)--------Box------Box------PfsenseBackup(192.168.1.1)----Réseau Backup(192.168.1.X/24)

    WAN (modem/routeur/box) :

    • Box Prod = Livebox Pro (règle NAT ok car VPN classique sans soucis)
    • Box Backup = VideoFutur (Aucun réglage possible d'où le site à site)
    • Netgate prod SG 2440
    • Netgate Backup MBT 2220

    LAN :

    • 1 DHCP sur chaque équipement Netgate
    • Aucun VLAN, réseau basique
    • Serveur OPEN VPN sur site de production

    DMZ :

    • Néan

    WIFI :

    • Néan

    Autres interfaces :

    • Néan

    Règles NAT :
    Sur site backup outbount :
    WAN 127.0.0.0/8 ::1/128 192.168.1.0/24 192.168.50.0/24 * * 500 WAN address * Auto created rule for ISAKMP
    WAN 127.0.0.0/8 ::1/128 192.168.1.0/24 192.168.50.0/24 * * * WAN address * Auto created rule

    Sur site de prod outbount:
    WANORANGE 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * 500 WANORANGE address * Auto created rule for ISAKMP
    WANORANGE 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * * WANORANGE address * Auto created rule
    WANBOUYGUES 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * 500 WANBOUYGUES address * Auto created rule for ISAKMP
    WANBOUYGUES 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * * WANBOUYGUES address * Auto created rule

    Règles Firewall :
    Site Backup
    Open VPN (tout est open):
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    0 /0 B IPv4 * * * * * * none
    LAN :
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    2 /11.06 MiB* * * LAN Address 443 80 22 * * Anti-Lockout Rule
    38 /77.26 MiB IPv4 * * * * * * none
    WAN:
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    1 /24 KiB IPv4 * * * * * * none

    Site de prod:
    WAN:
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    IPv4 UDP * * * 1194 (OpenVPN) * none
    LAN:
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    3 /18.63 MiB * * * LAN Address 443 80 22 * * Anti-Lockout Rule
    27 /1.93 TiB IPv4 * LAN net * * * * none Default allow LAN to any rule
    0 /0 B IPv6 * LAN net * * * * none Default allow LAN IPv6 to any rule
    OPENVPN
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    0 /83 KiB IPv4 * * * * * * none

    Packages ajoutés :
    Néan

    Autres fonctions assignées au pfSense : VPN

    Question : Le statut est UP. Le netgate du site de backup ping tout sur le LAN du site de prod. Le netgate du site de prod ne ping rien sur le site de backup. Les clients du site de backup ne ping rien du site de prod et les clients du site de prod ne ping rien sur le site de backup. Quel est l'élément que j'ai pu oublié pour que tout puisse se joindre ?

    Pistes imaginées:

    • Problème de Routing

    Recherches :

    • Contrôles des IP
    • Contrôle des ports Forwarding Livebox
    • Test avec Client OpenVPN au travers de ces redirection

    Logs et tests :

    • test expliqués plus haut, Le statut est UP. Le netgate du site de backup ping tout sur le LAN du site de prod. Le netgate du site de prod ne ping rien sur le site de backup. Les clients du site de backup ne ping rien du site de prod et les clients du site de prod ne ping rien sur le site de backup.
      -Avec tracert cela ne remonte pas plus haute que la gateway locale du site de backup

    Merci d'avance pour votre lecture et votre temps !

    ☺



  • Un test simple : que donne un tracert depuis un client du site backup vers une machine du site principal. L'inverse aussi. Vous serez fixé sur le fonctionnement du routage.
    Ne pas oublier les routes retour.



  • Bonsoir Ccnet,

    Cela ne fonctionne pas c'est ce que j'avais essayé.

    1 <1 ms <1 ms <1 ms RZO-Improds.localdomain [192.168.1.1]
    2 * * * Délai d’attente de la demande dépassé.
    3 * * * Délai d’attente de la demande dépassé.
    4

    Malheureusement je n'ai aucune idée de comment procéder, existe t-il des "tuto" ?

    Merci :)


  • LAYER 8

    il y a des switch layer 3 avec le même adresses ?
    peut-être?
    le trafic est nul sur le Site Backup
    0/0
    problème de routes je pense
    ce serait mieux si vous aviez pris des photos de la configuration openvpn



  • Bonjour,

    Sur le site de production, il semble y avoir deux liens (OBS et BY). Deux questions :

    • Est ce que le trafic est routé symétriquement (si pas de réponse, passez à la question 2) ?
    • Quel comportement quand un des deux WAN est désactivé (des chances que ça tombe en marche) ?


  • Bonjour à vous, merci pour vos retours.

    @kiokoman négatif aucun L3, les deux PFsense sont placés tous deux derrière des box.
    Le site de production a un PFsense placé derrière une livebox PRO donc le port 1194 est NAT vers le PFsense.
    Sur le site de backup il y a une box VideoFutur mais en tant que "site client" il n'y a pas d'ouverture de flux à faire dans la box (c'est d'ailleurs pour cela que le VPN est monté dans ce sens car la box VideoFutur est une vraie daube et on ne peut rien paramétrer).

    Pour rappel, mon PFsense client (backup) peut accéder à n'importe quel périphérique derrière le PFsense de prod (le serveur vpn). Mais mes périphérique du site de backup n'arrivent pas à passer dans le VPN.
    Dans l'autre sens, rien ne passe. Le site de prod, que ce soit le PFsense ou bien les périphériques n'arrivent pas à passer dans le VPN.

    L'état du VPN est cependant "UP"

    @HuskerDu effectivement il y avait deux liens, une Fibre Orange et une Fibre Bouygues. J'ai supprimé le liens Bouygues rien ne change. Mais le lien Bouygues était déjà désactivé lors des tests :(

    Merci d'avance pour votre lecture.


Log in to reply