Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Résolu]-[OpenVPN] Site à site - plantage

    Scheduled Pinned Locked Moved Français
    16 Posts 2 Posters 7.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bezourox
      last edited by

      Bonjour à tous,

      Après configuration de ma pfsense avec openVPN en mode roadwarrior (merci à ccnet), je cherche à configurer un vpn site à site.
      Mes 2 pfsense sont en version 1.2.3

      Mon schéma me parait classique :

      LAN Site Central – pfsense -- Inernet -- pfsense -- LAN Site Secondaire
      10.163.x.x        Wan PPPoE ip fixe

      Au vu des logs, le tunel se monte bien.

      May 3 11:10:33 openvpn[384]: /etc/rc.filter_configure tun1 1500 1546 10.0.16.1 10.0.16.2 init
      May 3 11:10:33 openvpn[384]: SIGTERM[hard,init_instance] received, process exiting
      May 3 11:10:35 openvpn[25654]: OpenVPN 2.0.6 i386-portbld-freebsd7.2 [SSL] [LZO] built on Dec 4 2009
      May 3 11:10:35 openvpn[25654]: WARNING: file '/var/etc/openvpn_server1.secret' is group or others accessible
      May 3 11:10:35 openvpn[25654]: LZO compression initialized
      May 3 11:10:35 openvpn[25654]: gw 212.xx.xx.xx
      May 3 11:10:35 openvpn[25654]: TUN/TAP device /dev/tun1 opened
      May 3 11:10:35 openvpn[25654]: /sbin/ifconfig tun1 10.0.16.1 10.0.16.2 mtu 1500 netmask 255.255.255.255 up
      May 3 11:10:35 openvpn[25654]: /etc/rc.filter_configure tun1 1500 1547 10.0.16.1 10.0.16.2 init
      May 3 11:10:35 openvpn[25667]: Listening for incoming TCP connection on [undef]:1193

      Et pourtant, dès que j'applique la configuration, ma pfsense sur site distant ne répond plus (ping ne répond pas, interface web inaccessible).

      J'ai comme l'impression que le problème vient du proxy configuré sur la pfsense distante (squid+havp).
      Quels sont les logs qui peuvent m'en dire plus ?
      Pour info, j'ai suivi en parti ce tuto : http://www.osnet.eu/sites/www.osnet.eu/files/appliances/pfsense_VPN_site_a_site.pdf

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        J'ai comme l'impression que le problème vient du proxy configuré sur la pfsense distante (squid+havp).

        Le proxy ne concerne que les flux TCP/80 et éventuellement 443. Or le vpn SSL est en principe en UDP/1194 bien que dans votre cas il semble que ce soit le port 1193.

        Pouvons nous déjà confirmer les éléments de base de la configuration de part et d'autre ?
        En particulier les valeurs, dans les champs "Remote network" et "Local network" de la configuration du serveur vpn. Ces valeurs permettent de mettre en place les bonnes informations de routage.

        1 Reply Last reply Reply Quote 0
        • B
          bezourox
          last edited by

          Côté serveur:

          Protocole : TCP
          Port : 1193 (le port 1194 étant utilisé pour les connexions roadwarriors)
          Pool d'adresses : 10.0.16.0/24
          Remote network : 10.145.7.0/24
          DNS-Domainname : mondomaine.local
          DNS-Server : 10.163.135.14
          NTP- Server : 10.163.135.14

          Je ne peux pas renseigner le "Local Network" car il est grisé…
          Côté client, plus accès à l'interface graphique... je restaure ma pfsense et te basarde ça.

          1 Reply Last reply Reply Quote 0
          • B
            bezourox
            last edited by

            Bonjour,

            La suite de la configuration ci dessous.
            Coté client :

            Côté serveur:

            Protocole : TCP
            Port : 1193 (le port 1194 étant utilisé pour les connexions roadwarriors)
            Adresse IP : IP publique pfsense réseau central
            Interface IP : 10.145.7.0/24
            Remote network : 10.163.135.0/24
            Proxy Host : -
            Proxy port : 3128

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Tout cela me semble correct. Il va falloir commencer à faire des captures de trames pour voir ce qui se passe vraiment sur les interfaces des différents Pfsense.
              Qu'en est il du filtrage sur les interfaces VPN ? Sont elles visibles ?

              1 Reply Last reply Reply Quote 0
              • B
                bezourox
                last edited by

                Bonjour,

                Côté filtrage, rien de configuré.
                Sur la pfsense serveur, j'ai autorisé any vers any sur le port 1193.
                Sur la pfsense client, pas de règle de filtrage.

                Dès que j'applique la configuration sur la pfsense cliente indiquée ci-dessus, cette dernière n'est plus accéssible via le réseau (ssh/http).
                Comment puis je faire un des captures de trames intéressantes ? J'ai un hub à disposition, celà peut sans doute m'aider.

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet
                  last edited by

                  Sur la pfsense serveur, j'ai autorisé any vers any sur le port 1193.

                  Sur l'interface wan et bien sur TCP dans votre cas ?

                  Comment puis je faire un des captures de trames intéressantes ?

                  Pfsense comporte l'utilitaire qui va bien : Diagnostics: Packet Capture. Le résultat peut être ensuite exploité avec Wireshark. Une fois le tunnel monté il faut voir sur chaque interface impliquée ce qui se passe avec un simple ping.

                  1 Reply Last reply Reply Quote 0
                  • B
                    bezourox
                    last edited by

                    Pour la pfsense serveur, Oui, TCP sur interface WAN.
                    De toute façon les logs de la pfsense serveur montrent bien que le tunel se monte correctement.

                    C'est au niveau de la pfsense cliente que ça coince, et mon problème c'est que n'ayant plus l'accès à l'interface web après activation du tunel, je ne peux pas faire de diagnostic :s

                    1 Reply Last reply Reply Quote 0
                    • B
                      bezourox
                      last edited by

                      Sur la pfsense cliente, voici ce que je vois avec pftop :

                      Je vois bien une connexion sur le port 1193 en TCP avec l'adresse IP publique de ma pfsense serveur.
                      alors pourquoi se retrouve t'elle en rideau et ne veut même plus répondre sur le réseau…

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Je vois bien une connexion sur le port 1193 en TCP avec l'adresse IP publique de ma pfsense serveur.

                        Il est normal qu'elle s'arrête ici puisque c'est l'extrémité de votre tunnel.

                        Il faudrait maintenant voir (ping) ce qui se passe si l'on tente de joindre une machine du réseau 10.163.135.0/24.

                        1 Reply Last reply Reply Quote 0
                        • B
                          bezourox
                          last edited by

                          Tests effectués depuis la pfsense cliente :

                          ping sur sa propre interface LAN : OK
                          ping de son serveur DNS : OK
                          ping du serveur DNS distant : ping:sendto:No buffer space available

                          1 Reply Last reply Reply Quote 0
                          • C
                            ccnet
                            last edited by

                            De quelle ip vers quelle autre ? Vous avez l'adressage en tête moi pas, je préfère des données sans ambiguïté.

                            ping du serveur DNS distant : ping:sendto:No buffer space available

                            Plus ennuyeux.
                            http://forum.pfsense.org/index.php/topic,5975.0.html

                            1 Reply Last reply Reply Quote 0
                            • B
                              bezourox
                              last edited by

                              Adresse IP LAN pfsense cliente : 10.145.7.17
                              Adresse IP WAN pfsense cliente : 10.145.7.18
                              Adresse IP Routeur site client : 10.145.7.252

                              Adresse IP LAN pfsense serveur : 10.163.135.17
                              Adresse IP WAN pfsense serveur : x.x.x.x (ip fixe publique)

                              Ping de 10.145.7.17 vers 10.145.7.17 : OK
                              Ping de 10.145.7.17 vers 10.145.7.1 (DNS) : OK
                              Ping de 10.145.7.17 vers 10.145.7.252 (paserelle) : timeout
                              Ping de 10.145.7.17 vers 10.163.135.14 : ping:sendto:No buffer space available

                              Le fait de passer par un routeur entre le WAN de la pfsense et la porte internet, est je pense une source à problème, mais plutôt au niveau du VPN en lui même.
                              Je ne vois pas pourquoi côté LAN de l'affaire je n'accède plus à cette pfsense…

                              Pour le lien qui parle de "No buffer space available", j'ai du mal à cerner le problème.

                              1 Reply Last reply Reply Quote 0
                              • B
                                bezourox
                                last edited by

                                Bonjour,

                                Alors je reviens après quelques recherches et tests.
                                J'ai détecté une première erreur en me rendant sur le site distanten question :
                                La pfsense est derrière un routeur et non un modem, donc la configuration ci-dessus ne pouvait pas fonctionner.
                                Maintenant le schéma est le suivant :

                                Réseau local distant  –  Lan pfsense  --  Wan pfsense  --  Routeur Netgear  --  Wan pfsense principal
                                10.145.7.0/24            10.145.7.17/24  192.168.1.110/24    192.168.1.100/24      IP publique fixe

                                Test effectués depuis la pfsense :
                                ping 10.145.7.17 (lan pfsense) : OK
                                ping 192.168.1.110 (wan pfsense) : OK
                                ping 10.92.168.1.100 (routeur netgear) : OK
                                ping www.google.fr : OK

                                Enfin un comportement normal, donc je reprends la mise en place de mon tunel VPN.
                                Et suite à l'enregistrement de la conf VPN client, de nouveau plus accès à l'interface d'administration.

                                Côté pfsense du site central, voici mes 2 dernières lignes de log:
                                Jun 15 11:25:53 openvpn[384]: Initialization Sequence Completed
                                Jun 15 11:26:03 openvpn[384]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.16.1 10.0.16.2', remote='ifconfig 10.145.7.1 10.145.7.2'

                                Je pingue la pate Lan de la pfsense (10.145.7.17) depuis tous les postes, sauf depuis le PC depuis lequel j'ai validé la conf VPN cliente…
                                Mais impossible depuis n'importe quel poste d'accéder à l'interface d'administration...

                                Certaines choses m'échappent, tout celà ne me parait pas vraiment cohérent...

                                1 Reply Last reply Reply Quote 0
                                • B
                                  bezourox
                                  last edited by

                                  NB : 10.145.7.1 et 10.145.7.2 sont déja des adresses prises sur le réseau.
                                  Je viens de m'apercevoir que depuis la pate Lan de la pfsense (j'y accède encore via mon vSpere client), je pingue toutes les IP locales, sauf ces 2 IP… un conflit d'adresses ?

                                  1 Reply Last reply Reply Quote 0
                                  • B
                                    bezourox
                                    last edited by

                                    Bonjour,

                                    Problème résolu.
                                    Le problème vennait de ces adresses qui sont déjà prises sur le réseau.
                                    Il faut rajouter dans les options de openVPN:

                                    Coté openVPN serveur : –ifconfig 10.0.16.1 10.145.7.4;
                                    Coté openVPN client : --ifconfig 10.145.7.4 10.0.16.1;

                                    Cette option permet de définir les adresses IP des extrémités du tunel.

                                    Il me reste des problèmes de filtrage, mais ça sera l'objet d'un autre post.
                                    Merci encore ccnet

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.