[Résolu]OpenVPN - Impossible d'accéder aux machines locales



  • Bonjour.
    Mon problème est le suivant :
    J'ai configuré OpenVPN pour clients Roadwarriors.
    La connexion VPN entre les clients et le serveur se monte, mais ensuite impossible d'accéder en http à mes serveurs.

    La configuration :

    LAN pfsense : 10.163.135.17/255.255.255.0
    WAN pfsense : IP publique fixe fournie par mon FAI
    Réseau VPN : 10.0.8.0/255.255.255.0

    Mon poste client distant de test récupère une adresse IP 10.0.8.6/255.255.255.252
    Son serveur DHCP (intégré à OpenVPN serveur) est 10.0.8.5
    Son serveur DNS (celui de mon réseau local) est 10.163.135.14

    Depuis le poste client :

    http://10.0.8.1  -> Accès à Interface de ma pfsense : OK
    http://hostname.mondomaine.local -> Accès à Interface de mon serveur web local : PAS OK
    ping hostname.mondomaine.local -> OK

    Note : le serveur web local n'a pas pour passerelle par défaut la pfsense car connectée sur un MPLS distinct, et ne peut pas en être autrement.
    J'ai rajouté sur ce serveur web local une route pour le VPN

    route add 10.0.8.0 mask 255.255.255.0 gw 10.163.135.17

    Voyez vous une solution pour accéder à mon intranet ? Problème de route (sans doute) ? Problème de règle de filtrage ?



  • Si le ping fonctionne dans les 2 sens, c'est qu'il n'y a pas d'erreur au sens IP.

    (La route devrait être rajoutée au niveau du routeur MPLS pour ne pas à avoir à l'ajouter sur chaque machine).

    Il y a bien une règle permettant LAN vers réseau VPN ?

    Je ne vois guère qu'une analyse plus poussée avec tcpdump/whireshark.

    NB : la version de pfSense peut peut-être donner des infos : en 2.0RC on peut filtrer sur du VPN !



  • Sur ce type de symptôme, le plus souvent l'absence d'une "Custom options" (dans la conf openvpn) est à l'origine du problème. Vous devriez avoir quelque chose comme :

    push "route 10.163.135.0 255.255.255.0";push "redirect-gateway def1"
    

    L'avez vous ajouté ?
    On peut créer une interface pour le vpn et filtrer dessus avec la version 1.2.3 aussi.
    Après ces vérifications il va falloir capturer les trames.



  • Bonjour,

    Tout d'abord, merci pour ces réponses.

    Alors pour les règles de filtrage, j'ai tout ouvert pour pas avoir de souci de ce côté là.
    Source : LAN net / Destination : * / Port : * / Gateway : *

    Après vérification, le ping ne fonctionne pas.
    J'ai testé l'ajout de l'option

    push "route 10.163.135.0 255.255.255.0";push "redirect-gateway defl"

    Pas de changement…



  • Voyez vous l'ajout de route se faire sur le client (XP ?) lorsqu'il a établi la connexion vpn ? Ce qui implique que le client openvpn s'exécute avec des droits d' administrateur.



  • Voici les dernières lignes de mon fichier de log:

    Wed Apr 13 18:45:13 2011 us=102622 OPTIONS IMPORT: –ifconfig/up options modified
    Wed Apr 13 18:45:13 2011 us=102628 OPTIONS IMPORT: route options modified
    Wed Apr 13 18:45:13 2011 us=102633 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Wed Apr 13 18:45:13 2011 us=114195 TAP-WIN32 device [VPN] opened: \.\Global{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}.tap
    Wed Apr 13 18:45:13 2011 us=114219 TAP-Win32 Driver Version 8.4
    Wed Apr 13 18:45:13 2011 us=114228 TAP-Win32 MTU=1500
    Wed Apr 13 18:45:13 2011 us=114241 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
    Wed Apr 13 18:45:13 2011 us=114256 DHCP option string: 0f0a6369 74726f65 6e2e676d 2e010806 040aa387 0e2a040a a3870e
    Wed Apr 13 18:45:13 2011 us=117032 Successful ARP Flush on interface [131079] {xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}
    Wed Apr 13 18:45:13 2011 us=157408 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
    Wed Apr 13 18:45:13 2011 us=157423 Route: Waiting for TUN/TAP interface to come up…
    Wed Apr 13 18:45:14 2011 us=167194 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
    Wed Apr 13 18:45:14 2011 us=167248 route ADD 10.0.8.1 MASK 255.255.255.255 10.0.8.5
    Wed Apr 13 18:45:14 2011 us=174507 Route addition via IPAPI succeeded
    Wed Apr 13 18:45:14 2011 us=174522 Initialization Sequence Completed

    Depuis mon client (Windows XP), toujours la même chose, j'accède à l'interface d'administration de la pfsense sur http://10.0.8.1 , mais rien de plus…



  • Tout cela me parait bien. Par contre vous devriez accéder à pfsense via 10.163.135.17 et non 10.0.8.1.
    Local network est bien renseigné avec 10.163.135.0/24 et Remote network est vide ?
    Le serveur web local est bien dans le réseau 10.16.135.0 ? Ensuite je vois qu'une chose à regarder : ce qui se passe (capture de trames) , sur le serveur web lorsque vous avez monté le vpn et que vous tentez de l' accéder. L'idée est de vérifier si
    1. les trames lui parviennent et
    2. où partent les réponses.

    Comme en fait le ping ne passe pas je penche pour un problème de routage, d'où les vérificatrions proposées ci dessus.



  • On reprend la base :

    • le client doit être "exécuté en tant qu'administrateur",
    • la route vers le réseau cible doit être présente (route print).
      Ensuite on ping l'ip interne du firewall puis d'autres machines du lan.

    Il manque dans le log l'ajout de la route vers le lan !
    La config de serveur VPN n'est donc pas correcte …



  • Local network est bien renseigné avec 10.163.135.0/24 et Remote network est vide ?

    J'ai fait l'inverse :

    Remote network > 10.163.135.0/24
    Local network > vide

    Tout marche beaucoup mieux maintenant :)
    Merci messieurs pour votre réactivité et votre efficacité.

    Seul hic, le ping ne marche toujours pas… sans doute côré règle de filtrage


Log in to reply