Open VPN : pas tout le traffic…



  • Bonjour,

    J'ai mis en place Pfsense avec OpenVPN pour des clients nomades. J'arrive à partir de mes postes nomades à lancer une application qui se connecte sur un serveur sur le réseau distant avec un client lourd (OpenERP) mais par contre impossible d'accéder à mes partages réseaux. Je ping bien mon serveur mais impossible d'y accéder.
    Ce Pfsense arrive en remplacement d'un IPCOP, avec IPCOP non problem. Je pense que c'est au niveau du Pf que je dois déclarer quelque chose mais quoi….

    D'avance merci pour vos idées.

    Nusa



  • Il manque certaines précisions importantes :

    • version de pfSense : en v2, on peut filtrer les tunnels OpenVPN (VPN en général),
    • les renseignements fournis par OpenVPN sont-ils corrects ? dns, wins, ntp, …
    • accès à des serveurs Windows ? par \(nom) ou par \(adresse ip) ?


  • Effectivement :

    Pf 1.2.3
    accès au partage serveur Linux via Samba \IP du serveur.

    J'y accède en ssh ….

    Nusa



  • A partir du moment où on accède, depuis le client "road-warrior", via un tunnel (Open)VPN, à la machine interne en ssh, il n'y a guère de raison à ne pas y accéder par l'unc \(adresse ip)\partage.

    Si tu y accèdes avec ssh, c'est que c'est vraisemblablement un Linux qui présente des données avec Samba.

    Dans le smb.conf, on peut préciser les ip clientes autorisées : piste très loin d'être certaine : par défaut c'est toutes les ip !

    Je regarderai bien avec un tcpdump si les paquets CIFS arrivent bien (genre 445/tcp, 137-139/udp+tcp et autres …)



  • Bonjour,

    Tout est OK, c'était effectivement sur mon serveur de fichier sous Linux (SME), il fallait que je déclare le plan d'adressage IP de mes clients VPN.

    D'avance merci.

    Nusa



  • SME n'est pas un linux comme les autres : c'est une distribution "tout-en-un".
    Il est prévisible que la config de ses services soient ajustée "aux petits oignons".

    Attention à bien modifier le template et non simplement le fichier smb.conf : gare au reboot !

    (Il eut été mieux de l'exposer de suite : la piste aurait été plus vite vue.)

    Concernant pfSense 1.2.3, il est intéressant de migrer à 2.0 et cela se passe bien … sauf OpenVPN !?
    Enfin, je viens de faire une migration pour une 1.2.3 sans OpenVPN. Et j'ai ajouté OpenVPN juste après.
    Cela a suffisamment changé pour que je considère qu'il faut refaire sa config OpenVPN.
    Mais on y gagne sérieusement puisque la gestion des certificats est désormais intégré !



  • Bonjour, je suis plus ou moins dans le cas avec un problème similaire sauf que le PC qui partage les fichier et un windows XP pro je ping bien se serveur à travers le VPN mais impossible d’accédé à ses partage ni par \nom du serveur\ ni par \192.168.1.x\ y a t'il quelque chose à faire sur se windows pour qu'il accepte les connexion via le VPN



  • La similitude ? Non un XP n'a rien à voir avec une SME !

    Je ne vois aucun élément exposé permettant d'avoir une piste :

    • le serveur XP a-t-il un firewall ?
    • le serveur reçoit-il les paquets ?
    • le serveur répond-il à un ping ?

    Le débugage passe par des question de base !

    Là je ne vois pas de question sauf "ça marche pas" …

    (Inutile d'essayer \(nom srv)\partage, c'est sûr ...)



  • @jdh:

    SME n'est pas un linux comme les autres : c'est une distribution "tout-en-un".
    Il est prévisible que la config de ses services soient ajustée "aux petits oignons".

    Attention à bien modifier le template et non simplement le fichier smb.conf : gare au reboot !

    (Il eut été mieux de l'exposer de suite : la piste aurait été plus vite vue.)

    Concernant pfSense 1.2.3, il est intéressant de migrer à 2.0 et cela se passe bien … sauf OpenVPN !?
    Enfin, je viens de faire une migration pour une 1.2.3 sans OpenVPN. Et j'ai ajouté OpenVPN juste après.
    Cela a suffisamment changé pour que je considère qu'il faut refaire sa config OpenVPN.
    Mais on y gagne sérieusement puisque la gestion des certificats est désormais intégré !

    Pour la SME, il n'y a pas grand à faire, juste le plan d'adressage IP à définir mais ça c'est HS.

    En ce qui concerne la migration, c'est là où je suis c…. c'était une instalation toute neuve, j'ai donc hésité entre la 1.2.3 que je connais et la 2 que je n'ai pas encore testé... j'ai choisi la 1.2.3, erreur...

    Nusa


Log in to reply