Site à Site OpenVPN - Problème de routes ?
-
Bonsoir à vous ,
Contexte : Il s'agit d'un milieu professionnel, cela avait toujours été utilisé pour des actions basiques donc mon niveau est resté basique sur ces produits. Ces derniers sont en prod.
Besoin : J'ai monté entre le site de production et le site de backup un VPN OpenVPN site à site (enfin essayé) entre deux netgate.
Schéma : Réseau Prod(192.168.0.X/24)----PFsenseProd(192.168.0.1)--------Box------Box------PfsenseBackup(192.168.1.1)----Réseau Backup(192.168.1.X/24)
WAN (modem/routeur/box) :
- Box Prod = Livebox Pro (règle NAT ok car VPN classique sans soucis)
- Box Backup = VideoFutur (Aucun réglage possible d'où le site à site)
- Netgate prod SG 2440
- Netgate Backup MBT 2220
LAN :
- 1 DHCP sur chaque équipement Netgate
- Aucun VLAN, réseau basique
- Serveur OPEN VPN sur site de production
DMZ :
- Néan
WIFI :
- Néan
Autres interfaces :
- Néan
Règles NAT :
Sur site backup outbount :
WAN 127.0.0.0/8 ::1/128 192.168.1.0/24 192.168.50.0/24 * * 500 WAN address * Auto created rule for ISAKMP
WAN 127.0.0.0/8 ::1/128 192.168.1.0/24 192.168.50.0/24 * * * WAN address * Auto created ruleSur site de prod outbount:
WANORANGE 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * 500 WANORANGE address * Auto created rule for ISAKMP
WANORANGE 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * * WANORANGE address * Auto created rule
WANBOUYGUES 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * 500 WANBOUYGUES address * Auto created rule for ISAKMP
WANBOUYGUES 127.0.0.0/8 ::1/128 192.168.0.0/24 192.168.50.0/24 * * * WANBOUYGUES address * Auto created ruleRègles Firewall :
Site Backup
Open VPN (tout est open):
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
0 /0 B IPv4 * * * * * * none
LAN :
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
2 /11.06 MiB* * * LAN Address 443 80 22 * * Anti-Lockout Rule
38 /77.26 MiB IPv4 * * * * * * none
WAN:
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
1 /24 KiB IPv4 * * * * * * noneSite de prod:
WAN:
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
IPv4 UDP * * * 1194 (OpenVPN) * none
LAN:
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
3 /18.63 MiB * * * LAN Address 443 80 22 * * Anti-Lockout Rule
27 /1.93 TiB IPv4 * LAN net * * * * none Default allow LAN to any rule
0 /0 B IPv6 * LAN net * * * * none Default allow LAN IPv6 to any rule
OPENVPN
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
0 /83 KiB IPv4 * * * * * * nonePackages ajoutés :
NéanAutres fonctions assignées au pfSense : VPN
Question : Le statut est UP. Le netgate du site de backup ping tout sur le LAN du site de prod. Le netgate du site de prod ne ping rien sur le site de backup. Les clients du site de backup ne ping rien du site de prod et les clients du site de prod ne ping rien sur le site de backup. Quel est l'élément que j'ai pu oublié pour que tout puisse se joindre ?
Pistes imaginées:
- Problème de Routing
Recherches :
- Contrôles des IP
- Contrôle des ports Forwarding Livebox
- Test avec Client OpenVPN au travers de ces redirection
Logs et tests :
- test expliqués plus haut, Le statut est UP. Le netgate du site de backup ping tout sur le LAN du site de prod. Le netgate du site de prod ne ping rien sur le site de backup. Les clients du site de backup ne ping rien du site de prod et les clients du site de prod ne ping rien sur le site de backup.
-Avec tracert cela ne remonte pas plus haute que la gateway locale du site de backup
Merci d'avance pour votre lecture et votre temps !
-
Un test simple : que donne un tracert depuis un client du site backup vers une machine du site principal. L'inverse aussi. Vous serez fixé sur le fonctionnement du routage.
Ne pas oublier les routes retour. -
Bonsoir Ccnet,
Cela ne fonctionne pas c'est ce que j'avais essayé.
1 <1 ms <1 ms <1 ms RZO-Improds.localdomain [192.168.1.1]
2 * * * Délai d’attente de la demande dépassé.
3 * * * Délai d’attente de la demande dépassé.
4Malheureusement je n'ai aucune idée de comment procéder, existe t-il des "tuto" ?
Merci :)
-
il y a des switch layer 3 avec le même adresses ?
peut-être?
le trafic est nul sur le Site Backup
0/0
problème de routes je pense
ce serait mieux si vous aviez pris des photos de la configuration openvpn -
Bonjour,
Sur le site de production, il semble y avoir deux liens (OBS et BY). Deux questions :
- Est ce que le trafic est routé symétriquement (si pas de réponse, passez à la question 2) ?
- Quel comportement quand un des deux WAN est désactivé (des chances que ça tombe en marche) ?
-
Bonjour à vous, merci pour vos retours.
@kiokoman négatif aucun L3, les deux PFsense sont placés tous deux derrière des box.
Le site de production a un PFsense placé derrière une livebox PRO donc le port 1194 est NAT vers le PFsense.
Sur le site de backup il y a une box VideoFutur mais en tant que "site client" il n'y a pas d'ouverture de flux à faire dans la box (c'est d'ailleurs pour cela que le VPN est monté dans ce sens car la box VideoFutur est une vraie daube et on ne peut rien paramétrer).Pour rappel, mon PFsense client (backup) peut accéder à n'importe quel périphérique derrière le PFsense de prod (le serveur vpn). Mais mes périphérique du site de backup n'arrivent pas à passer dans le VPN.
Dans l'autre sens, rien ne passe. Le site de prod, que ce soit le PFsense ou bien les périphériques n'arrivent pas à passer dans le VPN.L'état du VPN est cependant "UP"
@HuskerDu effectivement il y avait deux liens, une Fibre Orange et une Fibre Bouygues. J'ai supprimé le liens Bouygues rien ne change. Mais le lien Bouygues était déjà désactivé lors des tests :(
Merci d'avance pour votre lecture.