OpenVPN probleme ping vers LAN

pfmanfr

Bonjour,

Je suis sur un projet de firewall sous pfsense avec connection à distance sécurisé via openvpn.
Le serveur openvpn est configuré, les certificats crées, l'utilisateur lié à son certificat, l'ouverture du port openvpn sur l'interface WAN….

Pfsense est derière un routeur/modem d'un FAI avec une redirections vers le port openvpn de l'interface WAN de pfsense.

La connection en TCP sur le VPN depuis l'internet est fonctionnel mais impossible de pinguer les hotes du LAN, seulement l'adresse ip de l'interface Openvpn et LAN.

Je pense à un probleme de routage, de NAT, peutètre de règles firewall....

Je suis un peu perdu, sa fait plusieurs jours que je li des forums et tutoriaux. Merci pour votre aide.

Cordialement.

baalserv

Bonjour,

Regardez les logs du client lors de la connexion, en fin de process il ajoute une route locale sur le poste client windows.

En fonction de la version du client utiliser vous avez peut être besoin d'executer le Gui en mode Administrateur afin que le client Ovpn ai les droits pour créer la route locale.

Cordialement

ccnet

Il faut bien sur gérer les ajouts de route comme indiqué plus haut. Pensez à ajouter la ou les routes dans la config OPenVPN (Push route)

pfmanfr

Bonjour,

Merci pour vos réponse rapide, jai ue quelques souci donc je revien plutard que prévu.

Pour la version du client C la dernière, elle est lancé en administrateur.

Pour l'option serveur OpenVPN, la commande push route est ajouté.
push route 10.0.8.0 255.255.255.0

serveur:
réseau virtuel 10.0.8.0/24
interface virtuel 10.0.8.1

client:
interface client n°1 10.0.8.6
passerelle client n°1 10.0.8.5

Jai lu un post qui fesai référence à une option à cocher dans la config du serveur vpn.

"All trafic client…" qui obligerai les clients à faire passer toutes leurs connections par le vpn.

Qu'en pensez vous? (à la base, le vpn à pour objectif de faire du partage de fichier sous windows)

Merci.

ccnet

Pour l'option serveur OpenVPN, la commande push route est ajouté.
push route 10.0.8.0 255.255.255.0

Ne convient pas. Le réseau qui doit être mentionné est le réseau à atteindre. C'est donc le numéro du réseau du lan qui doit être indiqué et non celui du vpn.
Ensuite le filtrage doit être correct sur l'interface vpn, c'est à dire autoriser icmp. Dans votre cas vous pouvez tester et autorisant tout.

"All trafic client…" qui obligerai les clients à faire passer toutes leurs connections par le vpn.

Pas d'interface sous la main, mais de mémoire il s'agit d'éviter le double attachement, ce que je vous conseille vivement.

pfmanfr

Merci pour la réponse rapide, je test sa et je reviens vers vous.

Cordialement, merci.

pfmanfr

La commande push "route 192.168.10.0 255.255.255.0" n'a rien changer.

Les commandes suivantes sont utiles?:

iroute 192.168.10.0 255.255.255.0
route 192.168.10.0 255.255.255.0
client-to-client

Merci.

pfmanfr

De quel LAN parlez vous? Coté pfsense ou coté client?

ccnet

Lan tel que vous l'avez employé au début, côté pfsense. Push route suffit et clients to client est dangereux.
Il faut maintenant vérifier que côté client la route est bien ajouté lors du montzge du tunnel. Pour cela route print, et consultez le fichiez de log du client lorsque le tunnel est actif. Quelle version du client openvpn ?
Et le filtrage sur l'interface openvpn de pfsense ?

pfmanfr

Bonjour,

Ok, donc la commande push route est bonne, je retire client-to-client.

Lors de la connection client, ROUTE: route addition failed using CreateIpForwardEntry: L’objet existe déjà.  [status=5010 if_index=19]

=>  192.168.10.0    255.255.255.0        10.0.8.5        10.0.8.6    30

Version client : OpenVPN GUI v3

Le filtrage sur l'interface VPN est d'autoriser toutes sources vers toutes destinations avec n'importe protocole.

Merci.

jdh

Les 2 premières réponses donnent TOUTES les bonnes instructions :

• la route (push route)
• le fait d'être administrateur

Maintenant, il faut aussi comprendre que l'on teste un VPN depuis l'extérieur seulement !

pfmanfr

J'ai activer la commande push route correspondant au LAN coté pfsense.

J"ai retiré la commande client-to-client.

OpenVPN client lancé en mode administrateur (voir même manip pour le lancer automatiquement en administrateur).

Toujours la même problèmatique, aucune réponse des hôtes du LAN…

jdh

Le basic est de vérifier si la route (ajoutée à la connexion OpenVPN) est bien ajoutée : route print (avant et après).
Bien évidemment, il est nécessaire aussi d'avoir des règles dans l'onglet OpenVPN de Firewall > Rules !

pfmanfr

Avant:

Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
         0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.86     20
       127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
       127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
 127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.0    255.255.255.0         On-link      192.168.1.86    276
    192.168.1.86  255.255.255.255         On-link      192.168.1.86    276
   192.168.1.255  255.255.255.255         On-link      192.168.1.86    276
       224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link      192.168.1.86    276
 255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 255.255.255.255  255.255.255.255         On-link      192.168.1.86    276

Itinéraires persistants :
 Aucun

Après:

Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
         0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.86     20
        10.0.8.1  255.255.255.255         10.0.8.5         10.0.8.6     30
        10.0.8.4  255.255.255.252         On-link          10.0.8.6    286
        10.0.8.6  255.255.255.255         On-link          10.0.8.6    286
        10.0.8.7  255.255.255.255         On-link          10.0.8.6    286
       127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
       127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
 127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.0    255.255.255.0         On-link      192.168.1.86    276
    192.168.1.86  255.255.255.255         On-link      192.168.1.86    276
   192.168.1.255  255.255.255.255         On-link      192.168.1.86    276
    192.168.10.0    255.255.255.0         10.0.8.5         10.0.8.6     30
       224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link      192.168.1.86    276
       224.0.0.0        240.0.0.0         On-link          10.0.8.6    286
 255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 255.255.255.255  255.255.255.255         On-link      192.168.1.86    276
 255.255.255.255  255.255.255.255         On-link          10.0.8.6    286

Itinéraires persistants :
 Aucun

J'ai réussi à me connecter à un partage de fichier et à pinguer un hote du LAN en me connectant sur l'interface WAN de pfsense en "local".
Depuis l'extérieur impossible… J"ai remarqué que un itinéraires persistants était créer quand je me connecte en local sur la WAN.
Depuis l'extérieur, aucun itinéraires persistants. Un avi?

Merci.

ccnet

Normal.

pfmanfr

Openvpn serveur confiuration:

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.0.65
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server1.php via-env
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
persist-remote-ip
float
push "route 192.168.10.0 255.255.255.0"

Toujours aucun ping à distance, ni de partage de fichier.

Une de solution?

pfmanfr

Openvpn client configuration:

dev tun
persist-tun
persist-key
cipher BF-CBC
tls-client
client
resolv-retry infinite
remote 82.xxx.xxx.xxx 1194 tcp
tls-remote OpenVPN Cert
auth-user-pass
pkcs12 pfsense-TCP-1194-vpnclient.p12
tls-auth pfsense-TCP-1194-vpnclient-tls.key 1
comp-lzo

Cordialement.

baalserv

Bonjour,

Si : 192.168.10.0    255.255.255.0        10.0.8.5        10.0.8.6    30 est bien le ''route print'' du client après établissement du tunnel alors tout à l'air en place cotê client; en supposant que 192.168.10.0/24 est bien le ''local network'' de pfsense correctement indiqué dans la configuration Ovpn Serveur ^^.

Reste à vérifier les règles de firewall sur pfsense.

Rappel : le client gére automatiquement l'ajout de la route vers le principal réseau de destination, push route est très utile pour accéder à un autre réseau ^^

pfmanfr

Donc tout est OK pour vous sauf au niveau des regles parfeu.

Le filtrage sur l'interface VPN est d'autoriser toutes sources vers toutes destinations avec n'importe protocole.

cordialement.

pfmanfr

Problème réglé, règles firewall logiciel sur l'hote incorrecte.

Vraiment bêtes…

Merci à tous pour votre aide.

Cordialement.