Forwarding entre 2 tunnels VPN



  • Bonjour,

    Je sollicite l'aide de la communauté afin de savoir comment je pourrais effectuer un forwarding à travers mon serveur pfSense entre 2 tunnels VPN. Car j'aimerais effectuer une connexion SSH de mon poste connecté en VPN sur le pfSense, vers un routeur étant aussi connecté par un autre VPN sur le pfSense (voir schéma ci-dessous) :
    Infra VPN.jpg

    Je pense qu'une règle est à effectuer sur le pare-feu pfSense pour laisser passer le trafic d'un tunnel VPN vers l'autre, mais j'ignore comment la transcrire dans la configuration du pare-feu.

    Auriez-vous une petite idée ?

    Merci pour votre aide.



  • Ah l'image est belle ... mais elle ne comble guère la légèreté des infos fournies !

    Vous ne fournissez pas assez d'informations !!

    Il n'est pas certain qu'il y a quelque chose à faire sur le pfSense !

    Qu'est ce qu'un tunnel VPN (en français) et comment fonctionne-t-il ?



  • il faut que tes tunnels annoncent respectivement les routes vers les autres tunnels, sans quoi ton client ne va pas passer par le tunnel pour atteindre la cible (sauf si tu as explicitement configuré les tunnels pour forcer TOUS les flux via le tunnel)
    Ensuite, il faut au niveau des règles de FW, autoriser, sur le flux entrant, l'accès au réseau distant.



  • Une différence nette : moi j'attendais que l'utilisateur décrive ses choix et sa compréhension, pour voir si ce qui est évidemment nécessaire avait été paramétré.

    Perso, m'est avis que donner une réponse à quelqu'un qui n'a pas cherché, ne sert à rien. Mon utilité, c'est d'apprendre à réfléchir.

    Mais déjà, on voit que dès la présentation, l'utilisateur ne pense pas un instant que ses paramétrages soient utiles puisqu'il ne les mentionne pas !

    Il faut donc demander

    • qu'est ce qu'un tunnel ?
    • une fois qu'est écrit qu'il y a 2 réseaux = 1 de chaque côté,
    • on peut alors passer à comment atteindre un réseau pour lequel on n'a pas indiqué comment y parvenir.
    • et là la logique commence à s'acquérir ...

    Maimonide : Donne un poisson à un homme, il mangera un jour, apprends-lui à pêcher, il mangera toute sa vie.



  • C'est parce que toi, tu as une vraie vocation d’enseignant et envie de faire progresser le monde.
    Alors que moi je me contente de le mettre sur la voie. Je n'ai pas les talents didacticiels 😔



  • @jdh

    En effet je n'ai pas mentionné les paramétrages mais chris4916 a tout de même très bien compris ce que je souhaitais faire c'est à dire effectuer un routage d'un tunnel VPN vers un autre tunnel VPN.

    J'ai préféré faire un schéma qui me semble pour moi plus explicite que d'écrire de longs paragraphes et que l'ont ait du mal à me comprendre

    Le problème ne vient donc pas du fonctionnement du VPN en lui même donc pourquoi me poser la question "qu'est-ce qu'un VPN ?" je sais très bien ce qu'est un VPN, j'ai réussi à le mettre en place et tout fonctionne correctement. Ce que je souhaite c'est juste router les paquets entre les deux tunnels créées par mon serveur VPN pfSense.

    C'est à dire : pour les machines du réseau 10.92.92.0/24 -> si vous souhaitez aller vers le réseau 10.192.92.0/30 -> passez par la passerelle : 10.92.92.1 (IP de l'interface du pfSense)

    Ensuite le serveur pfSense, je pense fera la correspondance avec sa table de routage pour indiquer vers quelle autre interface le paquet doit être routé pour aller vers le réseau 10.192.92.0/30 (donc normalement l'interface ayant l'IP 10.192.92.1)

    Ce que je souhaitais surtout savoir c'est comment l'interpréter sur le GUI de pfSense, c'est à dire quel sous-menu adapté à cette configuration :

    • Dois-je le renseigner dans le paramétrage de mon tunnel VPN source, c'est à dire dans le menu "VPN" > OpenVPN > puis je sélectionne le réseau VPN source pour le modifier puis dans la section "Paramétrage tunnel IPv4" je rajoute le réseau du tunnel VPN que je souhaite atteindre" :

    paramétrage tunnel pfSense.jpg

    • Ou y a t-il un autre sous-menu par lequel je dois passer (par exemple par le menu "Système > Routage puis créer une route statique) :

    paramétrage pfSense route statique.jpg

    Car je ne suis pas encore tout à fait à l'aise niveau configuration sur le GUI pfSense.

    Mais si ton but est de montrer que tu as un savoir supérieur aux autres en sortant des proverbes, je pense que peu de personnes apprécieront ton aide ...


  • Banned

    Ce bon vieux @jdh,
    Cela partait peut-être d'une bonne intention, mais c'est malheureusement loin d'être le comportement attendu d'un membre actif d'une communauté d'entre aide. Il n'y a qu'à voir votre ratio POSTS/RÉPUTATION... vous devriez revoir la forme de vos interventions hautaines et très peu efficaces, pour le bien de toute la communauté. Vous n'avez qu'à taper "@jdh netgate" sur Google et vous verrez, votre réputation vous précède !
    Je peux vous faire un schéma si vous n'avez pas compris, mais je pense que vous êtes un grand garçon :)

    "La culture, c'est comme la confiture, moins on en a, plus on l'étale." - Françoise Sagan



  • @Chakib$
    Evidemment, vous vous inscrivez et vous écrivez un seul et unique message.
    Lequel message est insultant.
    Que de temps à perdre à agir de cette façon et quelle supériorité de vouloir dire les autres sont des c. C'est affligent, et encore plus pour quelqu'un qui n'a jamais rien apporté aux autres. Pitoyable !

    Comme la modération n'existe pas sur ce forum, votre message ne sera pas supprimé, et votre compte fermé, comme cela le mériterait. Il reste au yeux du monde, le triste témoignage de ce torrent de merde hélas bien habituel : ce sont des gens de rien qui se permettent de critiquer quoi que ce soit (et il ne faudrait que cela continue).



  • @mtp_maxime

    D'abord, je ne suis pas hautain, c'est VOUS (et un connard) qui me jugez comme ça. C'est votre vision seulement. Donc cela vous regarde de jugez les autres ... Continuez à dénigrer ceux qui vous répondent, personne ne vous répondra plus !

    Votre schéma donne des infos, et chacun comprend parfaitement ce que vous voulez faire.
    Beaucoup savent quoi faire pour y parvenir, dont moi tout comme Chris.
    Mais si vous ajoutiez des infos, peut-être cela vous aurait aidé à trouver ce qui manque. Par exemple les adressage réseaux de part et d'autres.

    Bon, une réponse.

    Vous avez contruit des VPN (peut-être il eut fallu préciser le type : il ya peut-être des différences). Ok.
    Vous avez compris qu'il y a 2 réseaux : un de chaque côté.

    Et là, vous ne tirez pas la bonne conclusion.
    Et vous partez sur la table de routage de pfSense (qui est déjà correcte).

    Pourtant Chris a donné les 2 choses à faire, mais vous ne voyez pas la conséquence qu'un tunnel est établi entre 2 réseaux !

    Ce que je ne comprends pas, c'est qu'on dit

    • j'ai 2 tunnels, chacun entre 2 réseaux
    • depuis 1, via le premier tunnel, j'accède à des machines de 2
    • le 2ième tunnel fonctionne lui-aussi, entre les machines de 2 et 3
    • depuis 1, je n'arrive pas à accéder via le 1er tunnel puis via le 2ième tunnel à 3

    Et là, il n'y a pas le déclic ...

    De façon plus simple, et sans dessin :

    • il y a un tunnel entre A et B
    • il y a un tunnel entre B et C
    • Or A n'accède pas à C

    On doit alors trouver comment modifier les 2 tunnels (grosse piste).

    NB : La réponse de Chris est précise surtout s'il s'agit de tunnel OpenVpn, Pour IPsec, des termes peuvent être confusants.



  • Merci pour votre réponse.

    Cependant, je n'ai absolument pas compris votre raisonnement quand vous dites :

    "Pourtant Chris a donné la bonne réflexion, mais vous ne voyez pas la conséquence qu'un tunnel est établi entre 2 réseaux !"

    De quel tunnel parlez-vous entre les deux réseaux VPN ?

    Pareil concernant la grosse piste.

    D'ailleurs "je pense" avoir résolu une partie du problème.

    Sur mon poste j'ai ajouté une route statique indiquant :

    "Pour aller vers le réseau 10.192.92.0/30, passer par la passerelle 10.92.92.1"

    En ayant ajouté cette route, je peux pinger l'interface 10.192.92.1 (interface du pfSense) mais je ne peux pas pinger le routeur (10.192.92.2)

    J'ai donc supposé qu'il est possible que le routeur ne connaisse pas à son tour la route pour aller vers le réseau 10.92.92.0 afin de pouvoir répondre au ping

    J'ai donc ajouté la route du côté routeur :

    Pour aller vers le réseau 10.92.92.0/24, passer par la passerelle 10.192.92.1

    Cependant, lorsque j'effectue un ping vers le 10.92.92.1 (interface du pfSense), je n'ai aucune réponse.

    Mise à part faire du routage sur pfSense (cependant, il est nécessaire de renseigner les interfaces des tunnels VPN respectifs, ce qui n'est pas possible car il n'y a que les interfaces LAN/WAN de disponibles), je ne vois aucune autre piste actuellement, il faudra être beaucoup plus explicite (voir me faire un schéma si possible ...).



  • C'est parce que vous ne tirez pas les conséquences de ce que vous paramétrez.

    Je suppose qu'il y a 3 sites, A, B, C, reliés par VPN de type Ipsec,
    Site A : reseau 1, routeur X
    Site B : réseau 2, pfSense
    Site C : réseau 3, routeur Y

    Naturellement, on créé un tunnel entre A et B en indiquant reseau 1 et réseau 2.
    De même on créé un tunnel entre B et C en indiquant réseau 2 et réseau 3.

    Or on veut que réseau 1 communique avec réseau 3.

    Donc, simplement, le tunnel entre A et B doit relier réseau 1 / réseau 2 ET AUSSI réseau 1 / réseau 3.

    Et pareillement pour le tunnel entre B et C : réseau 2 / réseau 3 ET AUSSI réseau 1 / réseau 3.

    Il s'agit de bien tirer la conséquence : un tunnel relie 2 réseaux.
    Or il faut bien indiquer dans chaque tunnel pas seulement le réseau de l'extrémité mais tous les réseaux accessibles via ce tunnel !

    En Ipsec, on créé autant de Phase 2 que de réseaux qui communiquent entre eux.
    En OpenVPN, on écrit autant de ligne 'push route'.

    Et Chris ajoute, que , bien évidemment, dans l'onglet Firewall > Rules > Ipsec (ou OpenVpn), on créé les règles

    • réseau 1 <-> réseau 2, (tunnel entre A et B)
    • réseau 2 <-> réseau 3, (tunnel entre B et C)
    • ET BIEN SUR réseau 1 <-> réseau 3. (enchainement de tunnels)

    Ce n'était pas extrêmement compliqué, Franchement ?



  • Alors ???



  • Bonjour,

    Désolé du retour tardif ...

    1. Donc pour schématiser ton explication s'agit t-il bien de ça (en sachant que le réseau 2 est le réseau que je veux atteindre de base lorsque je crée un tunnel VPN) :

    infra VPN.jpg

    1. Concernant les tunnels, j'ai omis de préciser que l'un est en Point-to-Site et l'autre en Site-to-Site (voir le schéma ci-dessus), cela change t-il quelque chose à la configuration que je dois mettre en place pour passer d'un tunnel vers l'autre ?

    2. Concernant les push route je dois donc ajouter pour le tunnel VPN "Point-to-site" que je veux accéder au réseau 2 et au réseau 3 et pour le tunnel VPN "Site-to-Site'" que je veux accéder au réseau 2 et au réseau 1 ?

    Si j'ai bien compris ce que tu m'a expliqué, non ca n'a pas l'air compliqué. C'est juste que je ne pensais pas que je devais inclure le réseau 2 dans la configuration c'est pour ca.



  • @mtp_maxime said in Forwarding entre 2 tunnels VPN:

    j'ai omis de préciser que l'un est en Point-to-Site et l'autre en Site-to-Site (voir le schéma ci-dessus), cela change t-il quelque chose

    Evidemment c'est essentiel !
    Vous êtes débutant : arrêtez de vous dire 'pas besoin de préciser cela'.
    Comment espérer obtenir une aide efficace d'un lecteur qui n'a pas toutes les cartes en main ? (qui est obligé de faire des suppositions !)

    Moi ce qui m'importe, c'est que l'on comprenne ce qu'on fait pour bien paramétrer.
    Si j'ai posé la question d'écrire en français le 'ce qu'on veut', c'est pour voir si on tire les conclusions de ses objectifs.

    Si on comprend un vpn qui relie explicitement 2 réseaux, on doit aussi comprendre que un réseau plus loin doit être défini dans le vpn.
    Quand on ne maitrise pas la définition, on ne voit pas le problème.
    Une fois expliqué, on devrait se dire 'bon sang c'est bien sûr'.





  • 'C'est juste que je ne pensais pas que je devais inclure le réseau 2 dans la configuration c'est pour ca.'

    C'est le problème quand on a peu d'expérience :

    • d'une, on n'expose pas la totalité d'une situation,
    • de deux, on ne comprend pas exactement le sens de ce qui est fait.

    Ici, on configure un vpn avec le réglage basic (un réseau accède à un réseau, ou un nomade accède à un réseau.

    Mais le fait d'accéder à un autre réseau (via le point de connexion), on ne voit pas la conséquence sur le réglage à faire (et mêmes les réglages sur chaque VPN !)

    Un site où est exposé la même problématique et la solution, va-telle aider à ce que le débutant apprenne à tirer toutes les conséquences de l'utilisation d'un système (ici le VPN). Pas si sûr.

    Moi j'insite (lourdement) sur la réflexion qui doit devenir plus réflexe ...


Log in to reply