OpenVPN probleme ping vers LAN

pfmanfr

Merci pour la réponse rapide, je test sa et je reviens vers vous.

Cordialement, merci.

pfmanfr

La commande push "route 192.168.10.0 255.255.255.0" n'a rien changer.

Les commandes suivantes sont utiles?:

iroute 192.168.10.0 255.255.255.0
route 192.168.10.0 255.255.255.0
client-to-client

Merci.

pfmanfr

De quel LAN parlez vous? Coté pfsense ou coté client?

ccnet

Lan tel que vous l'avez employé au début, côté pfsense. Push route suffit et clients to client est dangereux.
Il faut maintenant vérifier que côté client la route est bien ajouté lors du montzge du tunnel. Pour cela route print, et consultez le fichiez de log du client lorsque le tunnel est actif. Quelle version du client openvpn ?
Et le filtrage sur l'interface openvpn de pfsense ?

pfmanfr

Bonjour,

Ok, donc la commande push route est bonne, je retire client-to-client.

Lors de la connection client, ROUTE: route addition failed using CreateIpForwardEntry: L’objet existe déjà.  [status=5010 if_index=19]

=>  192.168.10.0    255.255.255.0        10.0.8.5        10.0.8.6    30

Version client : OpenVPN GUI v3

Le filtrage sur l'interface VPN est d'autoriser toutes sources vers toutes destinations avec n'importe protocole.

Merci.

jdh

Les 2 premières réponses donnent TOUTES les bonnes instructions :

• la route (push route)
• le fait d'être administrateur

Maintenant, il faut aussi comprendre que l'on teste un VPN depuis l'extérieur seulement !

pfmanfr

J'ai activer la commande push route correspondant au LAN coté pfsense.

J"ai retiré la commande client-to-client.

OpenVPN client lancé en mode administrateur (voir même manip pour le lancer automatiquement en administrateur).

Toujours la même problèmatique, aucune réponse des hôtes du LAN…

jdh

Le basic est de vérifier si la route (ajoutée à la connexion OpenVPN) est bien ajoutée : route print (avant et après).
Bien évidemment, il est nécessaire aussi d'avoir des règles dans l'onglet OpenVPN de Firewall > Rules !

pfmanfr

Avant:

Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
         0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.86     20
       127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
       127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
 127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.0    255.255.255.0         On-link      192.168.1.86    276
    192.168.1.86  255.255.255.255         On-link      192.168.1.86    276
   192.168.1.255  255.255.255.255         On-link      192.168.1.86    276
       224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link      192.168.1.86    276
 255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 255.255.255.255  255.255.255.255         On-link      192.168.1.86    276

Itinéraires persistants :
 Aucun

Après:

Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
         0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.86     20
        10.0.8.1  255.255.255.255         10.0.8.5         10.0.8.6     30
        10.0.8.4  255.255.255.252         On-link          10.0.8.6    286
        10.0.8.6  255.255.255.255         On-link          10.0.8.6    286
        10.0.8.7  255.255.255.255         On-link          10.0.8.6    286
       127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
       127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
 127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.0    255.255.255.0         On-link      192.168.1.86    276
    192.168.1.86  255.255.255.255         On-link      192.168.1.86    276
   192.168.1.255  255.255.255.255         On-link      192.168.1.86    276
    192.168.10.0    255.255.255.0         10.0.8.5         10.0.8.6     30
       224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link      192.168.1.86    276
       224.0.0.0        240.0.0.0         On-link          10.0.8.6    286
 255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 255.255.255.255  255.255.255.255         On-link      192.168.1.86    276
 255.255.255.255  255.255.255.255         On-link          10.0.8.6    286

Itinéraires persistants :
 Aucun

J'ai réussi à me connecter à un partage de fichier et à pinguer un hote du LAN en me connectant sur l'interface WAN de pfsense en "local".
Depuis l'extérieur impossible… J"ai remarqué que un itinéraires persistants était créer quand je me connecte en local sur la WAN.
Depuis l'extérieur, aucun itinéraires persistants. Un avi?

Merci.

ccnet

Normal.

pfmanfr

Openvpn serveur confiuration:

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.0.65
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server1.php via-env
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
persist-remote-ip
float
push "route 192.168.10.0 255.255.255.0"

Toujours aucun ping à distance, ni de partage de fichier.

Une de solution?

pfmanfr

Openvpn client configuration:

dev tun
persist-tun
persist-key
cipher BF-CBC
tls-client
client
resolv-retry infinite
remote 82.xxx.xxx.xxx 1194 tcp
tls-remote OpenVPN Cert
auth-user-pass
pkcs12 pfsense-TCP-1194-vpnclient.p12
tls-auth pfsense-TCP-1194-vpnclient-tls.key 1
comp-lzo

Cordialement.

baalserv

Bonjour,

Si : 192.168.10.0    255.255.255.0        10.0.8.5        10.0.8.6    30 est bien le ''route print'' du client après établissement du tunnel alors tout à l'air en place cotê client; en supposant que 192.168.10.0/24 est bien le ''local network'' de pfsense correctement indiqué dans la configuration Ovpn Serveur ^^.

Reste à vérifier les règles de firewall sur pfsense.

Rappel : le client gére automatiquement l'ajout de la route vers le principal réseau de destination, push route est très utile pour accéder à un autre réseau ^^

pfmanfr

Donc tout est OK pour vous sauf au niveau des regles parfeu.

Le filtrage sur l'interface VPN est d'autoriser toutes sources vers toutes destinations avec n'importe protocole.

cordialement.

pfmanfr

Problème réglé, règles firewall logiciel sur l'hote incorrecte.

Vraiment bêtes…

Merci à tous pour votre aide.

Cordialement.

ccnet

Ajoutons que sur un client où l'utilisateur ne serait pas administrateur local (ou encore sur Windows7) ces deux lignes sont à ajouter dans la config client :

route-method exe
route-delay 2

A défaut les toutes pourraient ne pas être ajoutées.