Connexion OpenVPN OK mais impossible d'accéder au LAN

mazzz86

Bonjour,

Je dois avoir un problème avec la configuration de mon OpenVPN.
Je l'ai configuré à l'aide des tutoriels proposés sur le site, et la connexion d'un client sous windows se déroule correctement. Je récupère une adresse IP du pool d'adresse définit sur le serveur, pour ça c'est bon.
Par contre je n'arrive pas à pinger mes serveurs du LAN interne.

Lorsque je fais un ipconfig, je n'ai pas de passerelle de définie sur mon interface réseau VPN. Je pense que ça vient de là. Avez-vous rencontré le problème ? Lorsque vous vous connectez, vous avez bien une passerelle ?

Merci pour vos réponses.
@+

titofe

Manque d'info:

• Logs
• Rules en applications
• etc.

mazzz86

Bonjour,

Merci pour ta réponse, j'ai vraiment cru que mon post allait passer aux oubliettes.

voici un schéma de ma connexion :

LAN (10.50.x.x)<=> (10.50.2.7) OpenVPN (PfSense) (81.x.x.1) <=> Internet <=> (88.x.x.1) Freebox (192.168.0.254) <=> (192.168.0.1) Client

Le pool d'adresse défini sur mon serveur OpenVPN est le réseau (172.16.50.0/24).
Les logs ne me sortent rien de génant, d'autant que le client se connecte correctement. Il reçoit bien une IP du réseau ci-dessus sur son interface VPN.

Au niveau des règles de firewall, j'ai défini deux règles :
    - je laisse passer tout se qui vient de l'extérieur du réseau sur le port 1194 => Permet à la connexion VPN d'aboutir
    - je laisse passer tout se qui vient du pool d'adresse de mes itinérants vers le LAN (TCP et UDP).

Mon problème est que je ne ping pas les IP du LAN.

Lorsque que je fais un traceroute depuis mon client vers le LAN, le premier saut est la freebox (192.168.0.254) puis le paquet se perd, ce qui est normal.
Une fois le tunnel connecté, la freebox devrait être transparente.

Lorsque je fais un "route print", la route par défaut (0.0.0.0) pointe toujours sur ma freebox, ça m'étonne pas qu'il se perde.

Enfin lorsque je fais un ipconfig, on voit sur l'interface VPN qu'il n'y a pas de passerelle de définie, ce qui me parait bizarre.

J'aurais aimé savoir si vous aviez une idée d'où vient mon problème ou au moins savoir ce que vous récupérez comme paramètres réseau sur une configuration fonctionnelle.
De plus, y-a-t'il un moyen de "pousser" la nouvelle passerelle dans la configuration réseau afin qu'elle remplace la route par défaut vers la freebox.

S'il y a besoin de plus de détails, n'hésitez pas.

Merci

jdh

@mazzz86:

je laisse passer tout se qui vient du pool d'adresse de mes itinérants vers le LAN (TCP et UDP).

Je fais cela dans l'autre sens !
Proto : *
Source : LAN net
Port : *
Destination : lanvpn (alias)
Port : *
Gateway : *
Description : l2w local vers vpn

Enfin je fais comme cela parce qu'est pfSense qui sait comment envoyer vers les clients VPN.

mazzz86

Tu fais ça sur l'interface WAN ?

titofe

Pour le moment aucune version stable de PfSense ne peux filtrer OpenVPN (sauf en créant une interface pour OpenVPN, ou si tu utilise la version 2 qui ce trouve aujourd'hui en mode bêta), j'espère que cela t'aidera pour trouver la réponse.

jdh

Beh euh, si la source est "LAN Net" c'est que c'est une rules de … LAN !

(Ne pas oublier que l'onglet de rules désigne la carte par laquelle arrive le flux quel qu'il soit et quelque soit la destination : dans l'onglet LAN, on a les flux qui viennent de LAN à destination de WAN, DMZ, VPN ...)

Il est probable qu'une session d'un client OpenVPN du type ssh par exemple (sur base tcp ou udp) doit pouvoir fonctionner.
Mais un ping ne doit pas fonctionner parce que le paquet icmp retour (de LAN vers OpenVPN) n'est sans doute pas susceptible d'être "suivi" (équivalent de conntrack).
D'où ma règle.

Comme le mentionne Titofe, il n'est pas possible avec les versions actuelles de pfSense, il n'y a pas d'onglet de rules pour OpenVPN permettant de limiter l'accès de clients OpenVPN.