VPN Ipsec multipoint + routage



  • Bonjour à tous

    Un dessin vaut mieux qu'un grand discoure :)

    • Tous les firewalls sont sur pfsense 2.0.1
    • Les tunnels IPSEC sont tous UP
    • Le VPN Road Warior OPENVPN fonctionne aussi
    • Chaque sites (B,C,D,E,F) peux accéder au site central (A)
    • Le site central peux accéder au sites distants (B,C,D,E,F)
    • Les Roads Wariors ont accès au site central

    ce que j'aimerai mnt,

    • c'est depuis le vpn road warior me connecter au site distants (B,C,D,E,F)
    • depuis les sites distants accéder à la DMZ

    Est-il possible de mettre en place un protocole de routage qui se chargerai d'annoncer à tous les firewall les route dispo sur les autre ?

    d'avance un grand merci pour tout ceux qui prendront la peine de répondre



  • (Bravo pour un premier post avec un schéma clair et simple qui pose correctement le problème !)

    Il faut lire la doc d'OpenVPN et notamment la section concernant "push route" :
    lien : http://openvpn.net/index.php/open-source/documentation/howto.html
    section :

    Push routes to the client to allow it

    to reach other private subnets behind

    the server.  Remember that these

    private subnets will also need

    to know to route the OpenVPN client

    address pool (10.8.0.0/255.255.255.0)

    back to the OpenVPN server.

    ;push "route 192.168.10.0 255.255.255.0"
    ;push "route 192.168.20.0 255.255.255.0"

    (On insère cela au niveau du serveur c'est à dire de pfSense ! NB : il est impératif que le client tourne sous les droits administrateur sous Windows)

    Pour la 2ième question, il me semble qu'il faut créer un 2ième lien IPSEC puisque un tel lien associe un réseau avec un autre réseau donné.
    A vérifier …



  • le push route est déjà fait, avec un route print je les vois bien sur le client.

    mais les packets ne savent évidement pas revenir, sur les sites (B,C,D,E,F) il n'y a aucune route vers le range d'openvpn

    en cherchant sur le net j'ai vu que l'on pouvait faire du GRE over IPSEC, ce qui permet d'utiliser un protocole de routage tel que OSPF ou BGP



  • Il est probable qu'il faille, pour chaque pfSense B, C, D, E, F,

    • soit 3 tunnels ipsec
    • soit 1 tunnel ipsec + 2 routes.

    En effet chacun des pfSense doit accéder au réseau local A, à la DMZ et au réseau des client OpenVPN.



  • Hello,

    J'ai justement créé un sujet pour ce besoin hier :
    http://forum.pfsense.org/index.php/topic,44695.0.html
    :)



  • hum je pense avoir trouvé :)

    http://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F

    en gros

    il faut créer une gateway sur l'interface LAN avec comme ip elle même

    en suite il faut ajouter une route static pour le subnet distant via cette GW

    ++



  • je viens de tester ça fonctionne :)



  • Donc la solution était

    • un tunnel IPSEC
    • des routes utilisant comme gateway l'ip LAN du pfSense.

    C'est bon à savoir (en outre d'avoir une explication technique).
    Merci du retour -> peut-être le drapeau [RESOLU]



  • @jdh:

    Donc la solution était

    • un tunnel IPSEC
    • des routes utilisant comme gateway l'ip LAN du pfSense.

    C'est bon à savoir (en outre d'avoir une explication technique).
    Merci du retour -> peut-être le drapeau [RESOLU]

    je ne sais plus l’éditer =(



  • @majorxtrem:

    hum je pense avoir trouvé :)

    http://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F

    en gros

    il faut créer une gateway sur l'interface LAN avec comme ip elle même

    en suite il faut ajouter une route static pour le subnet distant via cette GW

    ++

    zut, marche pas chez moi.
    J'ai désactivé les Phases2 IPsec, j'ai ajouté la nouvelle GW, la route, et ça ne passe pas, le VPN ne monte pas pour se connecter à l'autre site.


Locked