Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Open VPN Client : How to ? Je donne ma langue au chat

    Scheduled Pinned Locked Moved Français
    3 Posts 2 Posters 388 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ChienFou
      last edited by

      Bonjour,

      Je me suis perdu dans les méandres de l'informatique en tant que débutant (Réseau, Parefeu ....)
      Tout d'abord, je tiens à dire que j'ai :

      • lu partiellement (pas en entier) le site web http://irp.nain-t.net/doku.php/ me rappelant quelques cours d'informatique
      • chercher la solution de par moi-même sur le forum (Anglais / Français) : je suis sur que la réponse y est, mais je n'ai pas su trouvé. La solution est évidente, elle est devant moi surement, mais je me suis aveuglé par mes recherches et lectures jusqu'à présent : je sèche.
      • je suis débutant et souhaite aussi me rassurer que ce que je fais est bon / conforme, du coup si je me suis planté dans certains paramètres, n'hésitez pas.
      • l utilisation ici est purement personnelle, ce n'est pas mon domaine d'activité professionnelle.

      A noter :
      Ce qui m'intéresse avant tout, c'est le résultat : ici que cela fonctionne, mais je souhaite comprendre aussi dans un deuxième temps.

      Contexte : milieu perso, niveau expertise de l'administrateur : 1/10 ancien utilisateur de la solution IpCOP.
      Ici le pare-feu matériel est de 2011 : PC Engine.
      J'ai récemment réinstallé la dernière version de PfSense après avoir été bloqué sur un problème de disque SSD. Le PfSense est à jour dernière version en vigueur.
      Programme installé : Snort

      Besoin :
      Je viens de souscrire à un abonnement VPN : Cyberghost que j'essaie de configurer depuis 2 + 1 jours sur le Pare-Feu afin de centraliser le trafic sur le tunnel (cas où j'utilise un seul jeton VPN au lieu d'installer le VPN sur chaque équipement).

      1. Besoin 1er (Test)
        Je souhaite faire passer le traffic du WIFI par ce Tunnel VPN.
        Je souhaite garder le traffic du LAN normal : sans passer par le VPN.
        Du coup, je souhaite avoir le choix d'utiliser ou pas la connexion VPN.
        Après lecture d'autre post, je crois comprendre que je peux configurer et utiliser plusieurs VPN (P2P et Streaming à la fois) ?
      2. Besoin 2 (Version finale)
        Le LAN passera par le VPN (si possible mettre une règle par équipement concerné du LAN)
        Le WIFI sera normal

      Objectif
      Protéger mon réseau personnel, caché mon identité sur Internet dans la majeure partie des cas

      • Navigation (pas tout le temps)
      • Téléchargement
      • Streaming IPTV

      Schéma :

      • WAN (modem/routeur/box) : Freebox Revolution
        Avec WIFI (me permet d'aller sur Internet en dernier recours notamment ici car j'ai planté le Pare-feu)
        IP : 192.168.0.23

      • LAN : IP Fixe : 192.168.12.1
        Serveur DHCP activé avec IP Réservé
        -- PC
        -- NAS
        -- etc

      • DMZ : IP Fixe : 192.168.2.1
        non utilisé pour le moment, moyen terme : Serveur WEB

      • WIFI : Ip Fixe : 192.168.10.1
        Serveur DHCP activé
        -- Tablette
        -- Téléphone
        -- etc

      PfSense-Network interfaces.png

      • DNS :
        127.0.0.1
        192.168.0.254

      • Autres interfaces : Oui
        VPN (Nom donné à la carte réseau VPN) Adresse IP : 10.203.3.193
        Remote IP 45.xxx.xxx.9

      • Règles NAT : forward, 1-to-1, manual/automatic outbound, …

      PfSense- Pare-feu NAT Transfert de port.png

      PfSense- Pare feu NAT 1 1.png

      PfSense- Pare feu NAT Outbound.png

      PfSense- Pare feu NAT NPT .png

      • Règles Firewall : par onglet, règles principales, …

      PfSense- Pare feu - Rules - flottantes.png
      PfSense- Pare feu - Rules - wan.png
      PfSense- Parefeu - Rules - LAN.png

      PfSense- Parefeu - Rules - LAN bis.png

      PfSense- Pare feu - Rules - DMZ.png
      PfSense- Pare feu - Rules - wifi.png

      PfSense- Pare feu - Rules - wifi bis.png

      PfSense- Pare feu - Rules - OpenVPN.png PfSense- Pare feu - Rules - VPN.png

      dans les tutoriels, personne indique de mettre une règle pour le VPN ?

      • Packages ajoutés : Snort

      PfSense-Service Status.png

      • Autres fonctions assignées au pfSense : Pas plus que mentionné plus haut à savoir :
        -- Serveur DHCP (LAN, WIFI)
        -- SNORT
        -- VPN Client

      • Configuration d'une connection VPN Client (ce que j'ai fait ....)
        J'ai suivi 3 tutos un concernant : EXPRESSVPN avec PfSense, au autre avec NORDVPN trouver dans un post cité plus bas. J'ai trouvé un tutoriel sympa mais ca rate aussi.
        Les 3 sont différents ou alors incomplets, bref ca ne marche pas.

      https://nordvpn.com/fr/tutorials/pfsense/pfsense-openvpn/
      https://www.expressvpn.com/fr/support/vpn-setup/pfsense-with-expressvpn-openvpn/#additional
      https://forum.netgate.com/topic/146714/tunneled-isp-cheat-sheet (pas mal celui la)

      1. Ajout des certificats Serveur et Client : ok
      2. Ajout d'une connection OpenVPN de type client : Bug
        Note : la connection est établie, la connection se ré initialise souvent et j'ai des erreurs dans les logs de Open VPN (on verra plus tard).
      3. Associer l'interface VPN : ok
      4. Firewall NAT Outbound : KO ?
        Je dois router mon réseau WIFI dans le tunnel
      5. Firewall Rules WIFI : KO ?
      6. DNS : KO
      7. Gateway : KO

      Question :
      Problème précis rencontré et questions posées, … :
      Ca ne fonctionne pas ☹ Je suis perdu dans toutes mes recherches.
      L'accès aux services Internet ne fonctionnent plus sur PfSense en Wifi et la même le LAN (avec nom de domaine, IP Publique directe celle de google par exemple)

      Qu'est ce qui ne va pas dans

      • les règles NAT
      • la passerelle / gateway elle doit fonctionner ou pas ... toujours ko
      • le DNS

      Actuellement j'ai rien dans DNS Server Setting System/General Setup pourquoi faudrait il mettre un truc ?

      • Pour résoudre les noms de domaines
      • Pour éviter les fuites DNS ?
        Moi j'ai besoin du DNS normal et dans le VPN, je pensais que le serveur distant aller m'offrir le DNS, ou alors j'ai oublié de configurer cette option ?
        De ce que je comprends, passer par un tunnel ok, mais je dois éviter les fuites DNS
        Sauf erreur de ma part, il faut aussi y faire attention pour l'aspect : IPTV.

      Pistes imaginées
      J'ai un problème de NAT, et RULES et de DNS et passerelle .... mais la je suis dépassé et je ne comprends plus rien.

      Recherches : ici et la ...
      Vu des posts ici, je n'ai pas du trouver le bon. Donc ici quelques liens.
      https://forum.netgate.com/topic/133049/vpn-client-pfsense-suicide
      https://forum.netgate.com/topic/134013/résolu-openvpn-et-sélection-du-trafic
      https://computerz.solutions/pfsense-2-3-faire-nat-dune-connexion-internet-vers-lan/
      https://forum.netgate.com/topic/148887/dns-et-openvpn/
      https://forum.netgate.com/topic/149842/openvpn-split-tunnelling-screenshots
      https://forum.netgate.com/topic/151586/vpn-problème-de-passerelle
      ....

      Logs et tests : complément de "Recherches" :
      J'ai fait des tests des tutoriels, la je viens de forcer la passerelle sur le VPN j'avais mis les règles firewall NAT and RULE sur le WIFI uniquement .... : Plus rien ne fonctionne plus de réseau service Internet sur le LAN et WIFI 😭 😭 😭

      Les logs oui, mes lesquels regarder ?
      Firewall : je ne pense pas
      Snort : Rien
      OpenVPN .... il pleure car à priori, bien que la connexion s'établisse je dois avoir des erreurs
      DNS ... aussi.

      • Open VPN
      ay 5 11:09:29	openvpn	26075	TCP/UDP: Preserving recently used remote address: [AF_INET]45.xxx.xx.x:443
May 5 11:09:29	openvpn	26075	Socket Buffers: R=[42080->42080] S=[57344->57344]
May 5 11:09:29	openvpn	26075	UDPv4 link local (bound): [AF_INET]192.168.0.23:0
May 5 11:09:29	openvpn	26075	UDPv4 link remote: [AF_INET]45.xxx.xx.x:443
May 5 11:09:29	openvpn	26075	TLS: Initial packet from [AF_INET]45.xxx.xx.9:443, sid=8159091b 7cba23c1
May 5 11:09:29	openvpn	26075	VERIFY OK: depth=1, C=RO, L=Bucharest, O=CyberGhost S.A., CN=CyberGhost Root CA, emailAddress=info@cyberghost.ro
May 5 11:09:29	openvpn	26075	VERIFY KU OK
May 5 11:09:29	openvpn	26075	Validating certificate extended key usage
May 5 11:09:29	openvpn	26075	++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
May 5 11:09:29	openvpn	26075	VERIFY EKU OK
May 5 11:09:29	openvpn	26075	VERIFY OK: depth=0, CN=45.xxx.xx.9-1579516445
May 5 11:09:29	openvpn	26075	WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1549'
May 5 11:09:29	openvpn	26075	WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
May 5 11:09:29	openvpn	26075	WARNING: 'mtu-dynamic' is present in local config but missing in remote config, local='mtu-dynamic'
May 5 11:09:29	openvpn	26075	WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher AES-128-GCM'
May 5 11:09:29	openvpn	26075	WARNING: 'auth' is used inconsistently, local='auth SHA256', remote='auth [null-digest]'
May 5 11:09:29	openvpn	26075	WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
May 5 11:09:29	openvpn	26075	Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
May 5 11:09:29	openvpn	26075	[45.xxx.xx.9:-1579516445] Peer Connection Initiated with [AF_INET]45.xxx.xx.9:443
May 5 11:09:30	openvpn	26075	SENT CONTROL [45.xxx.xx.5-1579516445]: 'PUSH_REQUEST' (status=1)
May 5 11:09:30	openvpn	26075	PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route-ipv6 2000::/3,dhcp-option DNS 10.101.0.243,route-gateway 10.203.3.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.203.3.193 255.255.255.0,peer-id 10,cipher AES-128-GCM'
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: timers and/or timeouts modified
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: --ifconfig/up options modified
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: route options modified
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: route-related options modified
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: peer-id set
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: adjusting link_mtu to 1629
May 5 11:09:30	openvpn	26075	OPTIONS IMPORT: data channel crypto options modified
May 5 11:09:30	openvpn	26075	Data Channel: using negotiated cipher 'AES-128-GCM'
May 5 11:09:30	openvpn	26075	Data Channel MTU parms [ L:1557 D:1200 EF:57 EB:407 ET:0 EL:3 ]
May 5 11:09:30	openvpn	26075	Outgoing Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
May 5 11:09:30	openvpn	26075	Incoming Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
May 5 11:09:30	openvpn	26075	Preserving previous TUN/TAP instance: ovpnc1
May 5 11:09:30	openvpn	26075	Initialization Sequence Completed
May 5 11:09:40	openvpn	26075	FRAG_IN error flags=0x2a187bf3: FRAG_TEST not implemented
May 5 11:09:50	openvpn	26075	FRAG_IN error flags=0x2a187bf3: FRAG_TEST not implemented
May 5 11:10:00	openvpn	26075	FRAG_IN error flags=0x2a187bf3: FRAG_TEST not implemented
May 5 11:10:10	openvpn	26075	FRAG_IN error flags=0x2a187bf3: FRAG_TEST not implemented
May 5 11:10:20	openvpn	26075	FRAG_IN error flags=0x2a187bf3: FRAG_TEST not implemented

      *Passerelle Gateway

      May 5 11:12:58	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:12:58	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:12:59	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:12:59	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:13:00	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:13:00	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:13:01	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55
May 5 11:13:01	dpinger		VPN_VPNV4 10.203.3.1: sendto error: 55

      *DNS

      May 5 10:59:00	unbound	50637:0	info: 1.000000 2.000000 7
May 5 10:59:00	unbound	50637:0	info: 2.000000 4.000000 2
May 5 10:59:00	unbound	50637:0	info: server stats for thread 1: 2686 queries, 735 answers from cache, 1951 recursions, 0 prefetch, 0 rejected by ip ratelimiting
May 5 10:59:00	unbound	50637:0	info: server stats for thread 1: requestlist max 29 avg 0.786776 exceeded 0 jostled 0
May 5 10:59:00	unbound	50637:0	info: average recursion processing time 0.185400 sec
May 5 10:59:00	unbound	50637:0	info: histogram of recursion processing times
May 5 10:59:00	unbound	50637:0	info: [25%]=0.0606665 median[50%]=0.122794 [75%]=0.252812
May 5 10:59:00	unbound	50637:0	info: lower(secs) upper(secs) recursions
May 5 10:59:00	unbound	50637:0	info: 0.000000 0.000001 72
May 5 10:59:00	unbound	50637:0	info: 0.000128 0.000256 1
May 5 10:59:00	unbound	50637:0	info: 0.004096 0.008192 4
May 5 10:59:00	unbound	50637:0	info: 0.008192 0.016384 1
May 5 10:59:00	unbound	50637:0	info: 0.016384 0.032768 13
May 5 10:59:00	unbound	50637:0	info: 0.032768 0.065536 466
May 5 10:59:00	unbound	50637:0	info: 0.065536 0.131072 479
May 5 10:59:00	unbound	50637:0	info: 0.131072 0.262144 460
May 5 10:59:00	unbound	50637:0	info: 0.262144 0.524288 344
May 5 10:59:00	unbound	50637:0	info: 0.524288 1.000000 89
May 5 10:59:00	unbound	50637:0	info: 1.000000 2.000000 21
May 5 10:59:00	unbound	50637:0	info: 2.000000 4.000000 1
May 5 10:59:05	unbound	38469:0	notice: init module 0: validator
May 5 10:59:05	unbound	38469:0	notice: init module 1: iterator
May 5 10:59:05	unbound	38469:0	info: start of service (unbound 1.9.6).
May 5 10:59:11	unbound	38469:0	info: generate keytag query _ta-4f66. NULL IN
May 5 10:59:11	unbound	38469:1	info: generate keytag query _ta-4f66. NULL IN

      J'ai essayé du poste client 192.168.12.9 de faire un ping sur :
      l'ip VPN ok
      l'ip distante VPN : KO

      Autres
      Par contre étrange ... je n'ai pas de traffic IN dans le Open VPN et la gateway / passerelle est : Offline ...
      PfSense- Traffic VPN OUT et pas IN.png

      Et donc la passerelle
      PfSense-Gateways.png

      D'avance merci pour votre support et explications. Je suis preneur de tout tutoriel qui fonctionne 🙃
      Note : j'ai, comme je n'y comprends plus rien merci de me répondre comme si j'avais 4 ans.

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Il y en a qui vont être vraiment content parce qu'il y a plein d'informations, des copies d'écran etc... bref tout le détail certianement mais il y en a tellement que je n'ai au final presque rien lu.
        En 2 mots, pour tous les autres, c'est quoi le problème ?

        Tu dis que tu es débutant mais je note que tu as installé snort. Pour quel usage ?

        Si on faisait simple, au moins au début ?

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • C
          ChienFou
          last edited by

          Trop d'information tue l'information ...
          néanmoins j'ai respecté les posts

          https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-à-respecter-pour-la-demande-d-aide
          https://forum.netgate.com/topic/63434/a-tous-les-débutants
          https://forum.netgate.com/topic/9157/règles-section-française

          sachant que pour demander du support je comprends tout à fait qu'il faille présenter le contexte.
          Bref, une journée pour faire mon message avec des allers et retours .... et progrès aussi car au début pas de connexion VPN, plus d'Internet LAN / WIFI ☺
          et sans compter le fait que pour poster ma demande de support (avec images logs et tout ce qui va bien) j'ai pleuré 5 réputations (Merci encore à Rico).

          Le problème
          OpenVPN Client connexion ok avec erreurs dans les logs
          Je route mon traffic WIFI sur le VPN, et je n'ai pas de retour INTERNET : IN (qu'on voit d'ailleurs dans le graphique)
          Par contre .... vu le graphique toutes mes données partent dans le Tunnel alors que j'ai très peu voir pas d'activité sur le WIFI

          Brefs, les tutoriels n'ont rien donnés pour moi, ils sont au début identiques et c'est vers la fin où je me plante.

          Sinon, SNORT : détection d'intrusion, est à mon sens une couche supplémentaire sur le Firewall (du coup je viens de jeter un oeil rapide sur les logs : RAS).

          D'avance merci.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.