Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN Ipsec multipoint + routage

    Scheduled Pinned Locked Moved Français
    10 Posts 3 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      majorxtrem
      last edited by

      Bonjour à tous

      Un dessin vaut mieux qu'un grand discoure :)

      • Tous les firewalls sont sur pfsense 2.0.1
      • Les tunnels IPSEC sont tous UP
      • Le VPN Road Warior OPENVPN fonctionne aussi
      • Chaque sites (B,C,D,E,F) peux accéder au site central (A)
      • Le site central peux accéder au sites distants (B,C,D,E,F)
      • Les Roads Wariors ont accès au site central

      ce que j'aimerai mnt,

      • c'est depuis le vpn road warior me connecter au site distants (B,C,D,E,F)
      • depuis les sites distants accéder à la DMZ

      Est-il possible de mettre en place un protocole de routage qui se chargerai d'annoncer à tous les firewall les route dispo sur les autre ?

      d'avance un grand merci pour tout ceux qui prendront la peine de répondre
      vpnipsec.png
      vpnipsec.png_thumb

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        (Bravo pour un premier post avec un schéma clair et simple qui pose correctement le problème !)

        Il faut lire la doc d'OpenVPN et notamment la section concernant "push route" :
        lien : http://openvpn.net/index.php/open-source/documentation/howto.html
        section :

        Push routes to the client to allow it

        to reach other private subnets behind

        the server.  Remember that these

        private subnets will also need

        to know to route the OpenVPN client

        address pool (10.8.0.0/255.255.255.0)

        back to the OpenVPN server.

        ;push "route 192.168.10.0 255.255.255.0"
        ;push "route 192.168.20.0 255.255.255.0"

        (On insère cela au niveau du serveur c'est à dire de pfSense ! NB : il est impératif que le client tourne sous les droits administrateur sous Windows)

        Pour la 2ième question, il me semble qu'il faut créer un 2ième lien IPSEC puisque un tel lien associe un réseau avec un autre réseau donné.
        A vérifier …

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • M
          majorxtrem
          last edited by

          le push route est déjà fait, avec un route print je les vois bien sur le client.

          mais les packets ne savent évidement pas revenir, sur les sites (B,C,D,E,F) il n'y a aucune route vers le range d'openvpn

          en cherchant sur le net j'ai vu que l'on pouvait faire du GRE over IPSEC, ce qui permet d'utiliser un protocole de routage tel que OSPF ou BGP

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Il est probable qu'il faille, pour chaque pfSense B, C, D, E, F,

            • soit 3 tunnels ipsec
            • soit 1 tunnel ipsec + 2 routes.

            En effet chacun des pfSense doit accéder au réseau local A, à la DMZ et au réseau des client OpenVPN.

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • J
              Jey-B
              last edited by

              Hello,

              J'ai justement créé un sujet pour ce besoin hier :
              http://forum.pfsense.org/index.php/topic,44695.0.html
              :)

              1 Reply Last reply Reply Quote 0
              • M
                majorxtrem
                last edited by

                hum je pense avoir trouvé :)

                http://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F

                en gros

                il faut créer une gateway sur l'interface LAN avec comme ip elle même

                en suite il faut ajouter une route static pour le subnet distant via cette GW

                ++

                1 Reply Last reply Reply Quote 0
                • M
                  majorxtrem
                  last edited by

                  je viens de tester ça fonctionne :)

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    Donc la solution était

                    • un tunnel IPSEC
                    • des routes utilisant comme gateway l'ip LAN du pfSense.

                    C'est bon à savoir (en outre d'avoir une explication technique).
                    Merci du retour -> peut-être le drapeau [RESOLU]

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • M
                      majorxtrem
                      last edited by

                      @jdh:

                      Donc la solution était

                      • un tunnel IPSEC
                      • des routes utilisant comme gateway l'ip LAN du pfSense.

                      C'est bon à savoir (en outre d'avoir une explication technique).
                      Merci du retour -> peut-être le drapeau [RESOLU]

                      je ne sais plus l’éditer =(

                      1 Reply Last reply Reply Quote 0
                      • J
                        Jey-B
                        last edited by

                        @majorxtrem:

                        hum je pense avoir trouvé :)

                        http://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F

                        en gros

                        il faut créer une gateway sur l'interface LAN avec comme ip elle même

                        en suite il faut ajouter une route static pour le subnet distant via cette GW

                        ++

                        zut, marche pas chez moi.
                        J'ai désactivé les Phases2 IPsec, j'ai ajouté la nouvelle GW, la route, et ça ne passe pas, le VPN ne monte pas pour se connecter à l'autre site.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.