Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Problème] VPN- OPVENVPN site à site

    Scheduled Pinned Locked Moved Français
    9 Posts 4 Posters 4.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jrmei
      last edited by

      Bonjour à tous et à toutes,

      Tout d'abord, merci pour ce forum et des solutions que vous apportez.
      Ensuite une petite présentation. Je suis RSI dans un groupe Aéréo, j'ai 30 ans et je n'ai pas beaucoup de notions de connexion inter-sites via VPN, je suis plus axé Administration et Firewall (IPCOP en l'occurence).
      Pour rentrer dans le vif du sujet :
      J'ai monté deux Pfsenses pour relier deux de mes sites . Je me suivi du tuto qui était conseillé sur le forum.

      Comme un petit schéma vaut mieux que de longs discours :

      Site 1 (maison mère) –- PFSENSE –- Livebox ----------- Internet ----------- LinkSys WAG354G --- PFSENSE –- Site 2

      J’ai suivi le tuto pour paramétrer mes deux PFSENSES. A savoir sur le site 1 j'ai configuré OPENVPN Serveur et sur le Site 2 OPENVPN Client.
      Sur la livebox j'ai mis l'adresse IP WAN de mon PFSENSE en DMZ et j'ai également redirigé mes ports 1194 TCP et UDP vers l'IP de ma carte WAN
      Sur mon Linksys (site 2) j'ai également paramétré mon IP WAN en DMZ et j'ai aussi redirigé mes portes 1194 TCP et UDP vers l'IP de ma carte WAN

      Après tout cela fait je pensais que tout fonctionnerait (c'est beau d'être naïf). Je teste donc un ping entre mes deux plages réseaux (192.168.1.0/24 et 192.168.2.0/24) et j'ai un joli : délai d'attente dépassé !!!
      Bref, je poursuis mes recherches je vais voir différents sites, différents forum mais malheureusement je ne trouve rien qui puisse me venir en aide.
      Je vous post les logs des deux PFSENSES :

      Serveur :

      Aug 28 10:51:08 openvpn[314]: Inactivity timeout (–ping-restart), restarting
      Aug 28 10:51:08 openvpn[314]: SIGUSR1[soft,ping-restart] received, process restarting
      Aug 28 10:51:10 openvpn[314]: Re-using pre-shared static key
      Aug 28 10:51:10 openvpn[314]: LZO compression initialized
      Aug 28 10:51:10 openvpn[314]: TCP/UDP: Preserving recently used remote address: 90.50.79.126:1194
      Aug 28 10:51:10 openvpn[314]: Preserving previous TUN/TAP instance: tun0
      Aug 28 10:51:10 openvpn[314]: UDPv4 link local (bound): [undef]:1194
      Aug 28 10:51:10 openvpn[314]: UDPv4 link remote: XX.XX.XX.XX (IP du site 2):1194
      Aug 28 10:51:20 openvpn[314]: Peer Connection Initiated with XX.XX.XX.XX (IP du site 2):1194
      Aug 28 10:51:22 openvpn[314]: Initialization Sequence Completed

      Client :

      Aug 28 10:52:08 openvpn[315]: Inactivity timeout (–ping-restart), restarting
      Aug 28 10:52:08 openvpn[315]: SIGUSR1[soft,ping-restart] received, process restarting
      Aug 28 10:52:10 openvpn[315]: Re-using pre-shared static key
      Aug 28 10:52:10 openvpn[315]: LZO compression initialized
      Aug 28 10:52:10 openvpn[315]: Preserving previous TUN/TAP instance: tun0
      Aug 28 10:52:10 openvpn[315]: UDPv4 link local (bound): [undef]:1194
      Aug 28 10:52:10 openvpn[315]: UDPv4 link remote: XX.XX.XX.XX (IP du site 1):1194
      Aug 28 10:52:19 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)
      Aug 28 10:52:19 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)
      Aug 28 10:52:29 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)
      Aug 28 10:52:29 openvpn[315]: TCP/UDP: Incoming packet rejected from XX.XX.XX.XX (IP du site 1):1024[2], expected peer address: XX.XX.XX.XX (IP du site 1):1194 (allow this incoming source address/port by removing –remote or adding --float)

      Je ne comprends pas pourquoi du côté serveur tout semble OK et du côté client ça ne passe pas.
      J’ai configuré aussi les règles du parefeu comme c’est dit dans le tuto.
      Est-ce que vous voyez ce qu’il peut se passer et d’où peut venir le problème ?
      Je reste à votre disposition si vous avez besoin de plus d’informations.

      Merci d’avance,

      Cordialement,

      Jrm

      PS : Si au filnal avec votre aide j'arrive à connecter mes deux sites est-ce que c'est possible d'en connecter d'autres à mon Site 1 via OPENVPN également ?

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        le message de log parle de lui même non ? L'IP source ne semble pas être celle qui est configurée.

        1 Reply Last reply Reply Quote 0
        • J
          jrmei
          last edited by

          effectivement, sur mon PFSENSE client j'ai cette erreur qui me dit qu'il n'arrive pas à s'interroger lui-même  :-, mais je ne comprends pas où je me suis loupé dans les paramétrages de mon PFSENSE client.

          Est-ce que quelqu'un à une idée ?

          Merci,

          1 Reply Last reply Reply Quote 0
          • J
            jrmei
            last edited by

            Re bonjour,

            Bon j'ai réussi (ne me demandaient pas comment).
            Sur mes deux log j'ai ce résultat : openvpn[1469]: Initialization Sequence Completed

            ça veut bien dire que c'est bon ?

            Par contre je n'arrive toujours pas à Pinguer mon autre sous réseau. Je ne vois pas pourquoi.

            J'ai essayer en paramétrant ma carte réseau avec comme passerelle et DNS mon IP de ma carte LAN mais rien à faire, visiblement ça communique pas.

            Est-ce que vous avez une idée ?

            Merci,

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Oui, il vous reste éventuellement des problèmes de routage. Une livebox fait systématiquement du nat. Méfiez vous. Utilisez la capture de trafic pour voir ce qui se passe de l'autre côté sur les interfaces ….

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                La logique c'est

                • 1, d'établir le vpn,
                • 2, d'autoriser le trafic d'un réseau vers l'autre (et réciproquement).

                Il faut créer un alias pour chaque réseau et créer une règle (ou plus) pour chaque sens …

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • J
                  jrmei
                  last edited by

                  @ccnet:

                  Oui, il vous reste éventuellement des problèmes de routage. Une livebox fait systématiquement du nat. Méfiez vous. Utilisez la capture de trafic pour voir ce qui se passe de l'autre côté sur les interfaces ….

                  Je vais tester le nat de ma livebox parce que j'ai franchement un doute.
                  Pouvez-vous me dire qu'elle adresse je dois saisir dans ''Host address'' "dans packet capture" sachant que j'ai en adressage sur mon Site 1 (serveur) : 192.168.1.0 et en Site 2 (Client) : 192.168.2.0 ?

                  Merci d'avance,

                  1 Reply Last reply Reply Quote 0
                  • J
                    jrmei
                    last edited by

                    @jdh:

                    La logique c'est

                    • 1, d'établir le vpn,
                    • 2, d'autoriser le trafic d'un réseau vers l'autre (et réciproquement).

                    Il faut créer un alias pour chaque réseau et créer une règle (ou plus) pour chaque sens …

                    J'ai suivi le tuto du forum est-ce suffisant ou bien faut-il en rajouter ?

                    Merci d'avance,

                    Jrm

                    1 Reply Last reply Reply Quote 0
                    • J
                      jrmei
                      last edited by

                      Je ne comprends pas j'ai de nouveau le message sur mon site 2 (client) :

                      openvpn[315]: TCP/UDP: Incoming packet rejected from xx.xx.xx.xx:1024[2] (adresse IP site 1 : serveur), expected peer address: xx.xx.xx.xx:1194(adresse IP site 1 : serveur) (allow this incoming source address/port by removing –remote or adding --float)

                      Je ne comprends pas. Avez-vous une idée du problème ?

                      Merci d'avance,

                      Jrmei

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.