[Résolu] pfsense openvpn | question réseau -> "lan" même que client vpn



  • Bonjour à tous,

    @ccnet , ne me tape pas, il n'y a pas de question bête (enfin quoique 😇 )

    CONTEXTE: Actuellement dans un environnement de production (société ou je travail)

    CONNAISANCE: je commence a maîtriser correctement les bases de pfSense mais sans grande connaissance approfondi du réseau.

    LAN: 192.168.1.1/24 (truc basic quoi)

    WAN: ip publique via ppoe

    REGLES: règles laissant tout passer (pour les tests)

    Résumé:
    J'ai installé un serveur openvpn depuis pfSense. il fonctionne correctement, je m'y connecte parfaitement.
    Les ip distribuées par openvpn sont en 10.0.0.0/24 (j'ai suivi bêtement les tutos) et j'ai activé l'option"Redirect IPv4 Gateway".
    Comme indiqué le réseau de ma société est en 192.168.1.1 et je souhaite accéder à un serveur en 192.168.1.108. Aucun problème jusque la,
    MAIS,
    lorsque je suis chez certains clients, qui sont eux aussi en 192.168.1.0/24, cela ne fonctionne plus.

    Alors évidemment la question/réponse qui me viens, c'est comme le réseau client est le même que le réseau visé par le vpn, je suppose, que dans tous les cas, c'est la carte ethernet qui ira cherché le 1.108 et non la carte virtuel du vpn ? Même si l'option "Redirect IPv4 Gateway" est cochée (PC sous win10 avec openvpn en 2.4.7) ?

    Ai-je juste ?

    Merci par avance pour votre éclaircissement et bonne journée à tous.



  • Que se passe-t-il quand un PC se connecte en OpenVPN ?
    Il reçoit depuis le serveur VPN une commande "push route x.x.x.x/x".
    Donc il ajoute localement (=sur le PC) une route vers le réseau indiqué.
    De facto, si le réseau local sur lequel est connecté le PC est identique au réseau reçu, cela pose un sérieux problème !
    En fait pas tout à fait, car il y a une 'métrique', c'est à dire une priorité, et il est probable que le réseau ajouté (celui accédé via le VPN) sera prioritaire.
    Donc on risque de ne plus accéder ... à son réseau local !

    Quelles solutions ?
    Une seule, et de bon sens, arrêter d'utiliser les réseaux 192.168.1.x ou 192.168.0.x !
    Par exemple, sauf pour les habitants de l'Ain, migrer son réseau local vers 192.168.(n° de département).0/24 est déjà un bon début !
    En tout état de cause, ne pas ouvrir à un accès OpenVPN à un réseau trop basiquement numéroté !

    NB : sous windows, faire 'route print' pour afficher les routes connues et regarder la colonne métrique ... SI vous le faites avant et après de lancer le VPN, vous comprendrez vite ...



  • @jdh said in pfsense openvpn | question réseau -> "lan" même que client vpn:

    Une seule, et de bon sens, arrêter d'utiliser les réseaux 192.168.1.x ou 192.168.0.x !

    Très bonne suggestion! En regardant les alternatifs, on peut voir que les adresses IPs définis dans l'RFC 1918 stipulent que celles-ci ne peuvent jamais paraître sur Internet, donc se porte candidats pour l'utilisation à l'interne d'un réseau.
    Bien sur on retrouve 192.168.0.0/16 dans lequel la majorité des installations se retrouvent, mais pourquoi arrêter là? Les choix offerts par 172.16.0.0/12 ou 10.0.0.0/8 sont innombrables!
    Bref le but est de minimiser le risque d'une collision.

    Une autre stratégie serait de configurer une deuxième instance de serveur OpenVPN (sur la même boite bien sur) avec une configuration client dans une plage IP différente que l'instance primaire. Dans le cas où le client se connecte et il y a un conflit, on peut lui demander de se connecter à la deuxième instance. - YMMV



  • Il faut absolument cesser d'utiliser les numéros de réseau cités (192.168.1.0 et 0.0) et même les 172.16.1.0 et 10.0.0.0 (surtout en subnetting). Personnellement je proscris ces réseaux depuis près de 10 ans au moins pour ne pas me retrouver avec ce genre de problème.



  • C'est le bon sens même de ne pas utiliser ce type de réseau (puisque c'est le type de réseau de n'importe quelle box usuelle).

    Le changement d'adressage réseau d'un réseau peut-être long, surtout si on ne s'y est pas préparé ! Tout ce qui est en adresse statique, devra être changé, tout ce qui est en dhcp passera aisément. Il y a de la réflexion pour passer beaucoup de choses en dhcp et mettre en oeuvre des réservations d'adresses (par dhcp).

    Il y a aussi, ici, une erreur fréquente : le LAN contient les serveurs et on donne accès VPN à cet unique réseau.

    De là une possibilité rapide de contournement : créer un nouveau réseau avec les seuls serveurs. Ainsi on peut créer un accès OpenVPN vers ce réseau serveur. Sur un petit réseau, le firewall, s'il a bien le hardware qu'il faut, peut être le routeur entre les réseaux.

    Mais alors, il faut penser VLAN si on possède ET les switchs qu'il faut ET la compréhension de mise en oeuvre !! Ce n'est pas gagné ...

    Ce problème montre, au delà du sujet initial, que c'est au début qu'il faut bien réfléchir, car c'est bien plus complexe de modifier par la suite ...



  • Bonjour à tous, et merci beaucoup pour vos réponses !

    Elle sont très instructive et complète ce que je ne savais qu'à moitié.

    Merci beaucoup pour votre aide, je vais corriger le problème dès mon retour au travail.

    Ce problème montre, au delà du sujet initial, que c'est au début qu'il faut bien réfléchir, car c'est bien plus complexe de modifier par la suite ...

    Oui cette conclusion est totalement vrai, mais je rajouterais que pour cela, il faut bien maîtriser son sujet, et comme l'informatique est un vaste sujet, on en apprend tous les jours et certains projet débute sans grande connaissance.


Log in to reply