[Problème] VPN- OPVENVPN site à site



  • Bonjour à tous et à toutes,

    Tout d'abord, merci pour ce forum et des solutions que vous apportez.
    Ensuite une petite présentation. Je suis RSI dans un groupe Aéréo, j'ai 30 ans et je n'ai pas beaucoup de notions de connexion inter-sites via VPN, je suis plus axé Administration et Firewall (IPCOP en l'occurence).
    Pour rentrer dans le vif du sujet :
    J'ai monté deux Pfsenses pour relier deux de mes sites . Je me suivi du tuto qui était conseillé sur le forum.

    Comme un petit schéma vaut mieux que de longs discours :

    Site 1 (maison mère) –- PFSENSE –- Livebox ----------- Internet ----------- LinkSys WAG354G --- PFSENSE –- Site 2

    J’ai suivi le tuto pour paramétrer mes deux PFSENSES. A savoir sur le site 1 j'ai configuré OPENVPN Serveur et sur le Site 2 OPENVPN Client.
    Sur la livebox j'ai mis l'adresse IP WAN de mon PFSENSE en DMZ et j'ai également redirigé mes ports 1194 TCP et UDP vers l'IP de ma carte WAN
    Sur mon Linksys (site 2) j'ai également paramétré mon IP WAN en DMZ et j'ai aussi redirigé mes portes 1194 TCP et UDP vers l'IP de ma carte WAN

    Après tout cela fait je pensais que tout fonctionnerait (c'est beau d'être naïf). Je teste donc un ping entre mes deux plages réseaux (192.168.1.0/24 et 192.168.2.0/24) et j'ai un joli : délai d'attente dépassé !!!
    Bref, je poursuis mes recherches je vais voir différents sites, différents forum mais malheureusement je ne trouve rien qui puisse me venir en aide.
    Je vous post les logs des deux PFSENSES :

    Serveur :

    Aug 28 10:51:08 openvpn[314]: Inactivity timeout (–ping-restart), restarting
    Aug 28 10:51:08 openvpn[314]: SIGUSR1[soft,ping-restart] received, process restarting
    Aug 28 10:51:10 openvpn[314]: Re-using pre-shared static key
    Aug 28 10:51:10 openvpn[314]: LZO compression initialized
    Aug 28 10:51:10 openvpn[314]: TCP/UDP: Preserving recently used remote address: 90.50.79.126:1194
    Aug 28 10:51:10 openvpn[314]: Preserving previous TUN/TAP instance: tun0
    Aug 28 10:51:10 openvpn[314]: UDPv4 link local (bound): [undef]:1194
    Aug 28 10:51:10 openvpn[314]: UDPv4 link remote: XX.XX.XX.XX (IP du site 2):1194
    Aug 28 10:51:20 openvpn[314]: Peer Connection Initiated with XX.XX.XX.XX (IP du site 2):1194
    Aug 28 10:51:22 openvpn[314]: Initialization Sequence Completed

    Client :

    Aug 28 10:52:08 openvpn[315]: Inactivity timeout (–ping-restart), restarting
    Aug 28 10:52:08 openvpn[315]: SIGUSR1[soft,ping-restart] received, process restarting
    Aug 28 10:52:10 openvpn[315]: Re-using pre-shared static key
    Aug 28 10:52:10 openvpn[315]: LZO compression initialized
    Aug 28 10:52:10 openvpn[315]: Preserving previous TUN/TAP instance: tun0
    Aug 28 10:52:10 openvpn[315]: UDPv4 link local (bound): [undef]:1194
    Aug 28 10:52:10 openvpn[315]: UDPv4 link remote: XX.XX.XX.XX (IP du site 1):1194
    Aug 28 10:52:19 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)
    Aug 28 10:52:19 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)
    Aug 28 10:52:29 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)
    Aug 28 10:52:29 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)

    Je ne comprends pas pourquoi du côté serveur tout semble OK et du côté client ça ne passe pas.
    J’ai configuré aussi les règles du parefeu comme c’est dit dans le tuto.
    Est-ce que vous voyez ce qu’il peut se passer et d’où peut venir le problème ?
    Je reste à votre disposition si vous avez besoin de plus d’informations.

    Merci d’avance,

    Cordialement,

    Jrm

    PS : Si au filnal avec votre aide j'arrive à connecter mes deux sites est-ce que c'est possible d'en connecter d'autres à mon Site 1 via OPENVPN également ?



  • le message de log parle de lui même non ? L'IP source ne semble pas être celle qui est configurée.



  • effectivement, sur mon PFSENSE client j'ai cette erreur qui me dit qu'il n'arrive pas à s'interroger lui-même  :-, mais je ne comprends pas où je me suis loupé dans les paramétrages de mon PFSENSE client.

    Est-ce que quelqu'un à une idée ?

    Merci,



  • Re bonjour,

    Bon j'ai réussi (ne me demandaient pas comment).
    Sur mes deux log j'ai ce résultat : openvpn[1469]: Initialization Sequence Completed

    ça veut bien dire que c'est bon ?

    Par contre je n'arrive toujours pas à Pinguer mon autre sous réseau. Je ne vois pas pourquoi.

    J'ai essayer en paramétrant ma carte réseau avec comme passerelle et DNS mon IP de ma carte LAN mais rien à faire, visiblement ça communique pas.

    Est-ce que vous avez une idée ?

    Merci,



  • Oui, il vous reste éventuellement des problèmes de routage. Une livebox fait systématiquement du nat. Méfiez vous. Utilisez la capture de trafic pour voir ce qui se passe de l'autre côté sur les interfaces ….



  • La logique c'est

    • 1, d'établir le vpn,
    • 2, d'autoriser le trafic d'un réseau vers l'autre (et réciproquement).

    Il faut créer un alias pour chaque réseau et créer une règle (ou plus) pour chaque sens …



  • @ccnet:

    Oui, il vous reste éventuellement des problèmes de routage. Une livebox fait systématiquement du nat. Méfiez vous. Utilisez la capture de trafic pour voir ce qui se passe de l'autre côté sur les interfaces ….

    Je vais tester le nat de ma livebox parce que j'ai franchement un doute.
    Pouvez-vous me dire qu'elle adresse je dois saisir dans ''Host address'' "dans packet capture" sachant que j'ai en adressage sur mon Site 1 (serveur) : 192.168.1.0 et en Site 2 (Client) : 192.168.2.0 ?

    Merci d'avance,



  • @jdh:

    La logique c'est

    • 1, d'établir le vpn,
    • 2, d'autoriser le trafic d'un réseau vers l'autre (et réciproquement).

    Il faut créer un alias pour chaque réseau et créer une règle (ou plus) pour chaque sens …

    J'ai suivi le tuto du forum est-ce suffisant ou bien faut-il en rajouter ?

    Merci d'avance,

    Jrm



  • Je ne comprends pas j'ai de nouveau le message sur mon site 2 (client) :

    openvpn[315]: TCP/UDP: Incoming packet rejected from xx.xx.xx.xx:1024[2] (adresse IP site 1 : serveur), expected peer address: xx.xx.xx.xx:1194(adresse IP site 1 : serveur) (allow this incoming source address/port by removing –remote or adding --float)

    Je ne comprends pas. Avez-vous une idée du problème ?

    Merci d'avance,

    Jrmei


Log in to reply