[Résolu] pfSense échange entre clients OpenVPN



  • Bonjour,

    J'ai installé un serveur OpenVPN sur mon pfSense et j'ai plusieurs clients connectés dessus.

    Si je suis dans le réseau en interne et que je ping les clients OpenVPN, ils répondent. Si je suis un client OpenVPN et que je ping les machines sur mes réseaux connectés à pfSense, ça fonctionne.

    Mais si je veux faire un ping entre deux clients OpenVPN, la ça ne passe pas.
    Dans les règles du Firewall onglets "OpenVPN" j'autorise pourtant tout vers tout.

    Une idée de pourquoi les clients OpenVPN entre eux ne savent pas dialoguer ?

    Merci pour votre aide :)

    Fabien



  • Ok problème résolu.. J'ai rajouté une route static dans mon fichier OpenVPN.
    Merci :)



  • Une idée de pourquoi les clients OpenVPN entre eux ne savent pas dialoguer ?

    La résolution proposée est curieuse. Il y spécifiquement une option pour cela dans la configuration d'OPenvpn :
    "Inter-client communication" ( Allow communication between clients connected to this server), option qui est désactivée par défaut, et c'est heureux.



  • @ccnet:

    Une idée de pourquoi les clients OpenVPN entre eux ne savent pas dialoguer ?

    La résolution proposée est curieuse. Il y spécifiquement une option pour cela dans la configuration d'OPenvpn :
    "Inter-client communication" ( Allow communication between clients connected to this server), option qui est désactivée par défaut, et c'est heureux.

    Hello, c'est étrange oui car dans la config du serveur cette option est décochée. Pourtant ça fonctionne !



  • Non, ce qui est étrange c'est votre solution. L'option Pfsense ne fait que, probablement, ajouter le routage nécessaire. Ce qui est étrange c'est de faire manuellement cette modification, qui sera difficilement maintenable, alors que l'option est disponible dans l'interface.



  • Je vais enlever les routes statics et essayer avec cette option :)



  • Le paramètre "client-to-client" est généralement considéré comme peu sûr et à ne pas utiliser, et il est, d'ailleurs, inactif par défaut.
    En outre, l'échange passant via le serveur est lent.



  • @jdh:

    Le paramètre "client-to-client" est généralement considéré comme peu sûr et à ne pas utiliser, et il est, d'ailleurs, inactif par défaut.
    En outre, l'échange passant via le serveur est lent.

    Peu sur pourquoi ?
    Le VPN ici ne sert qu'à moi, c'est pour faire parler mes machines ensemble donc je ne vois pas de risque



  • Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
    Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

    En entreprise, le VPN est généralement conçu en mode road-warrior, et il y a peu de raison qu'il y ait 2 connexions simultanées et nécessitant un accès d'un client vers l'autre.
    Certains paramètres existent mais ont une utilité discutable : p.e. "duplicate-cn" : le même certificat peut être utilisé simultanément ou "client-cert-not-required" qui permet d'utiliser un user/mdp alors qu'il est facile d'utiliser des certificats. Ou encore "no-replay" qui enlève la sécurité contre un "replay" !



  • @jdh:

    Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
    Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

    […]

    Les seules fois où j'ai dû configurer quelque chose de similaire, c'est pour de la VoIP: les clients distants ayant un softphone et devant s'appeler l'un l'autre.



  • @psylo:

    @jdh:

    Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
    Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

    […]

    Les seules fois où j'ai dû configurer quelque chose de similaire, c'est pour de la VoIP: les clients distants ayant un softphone et devant s'appeler l'un l'autre.

    Donc aucun filtrage entre les clients tout était ouvert ?



  • Aucun filtrage (contre mon avis)…



  • Il est bien ce Psylo : il donne un exemple d'utilisation et il confirme une limitation plutôt "unsecure".

    Bravo !

    Néanmoins, on peut trouver des scripts de filtrage (en iptables) pour filtrer ces flux.
    p.e. cf http://john.de-graaff.net/wiki/doku.php/links/openvpn (exemples fournis et complet)



  • @jdh:

    Il est bien ce Psylo : il donne un exemple d'utilisation et il confirme une limitation plutôt "unsecure".

    Bravo !
    […]

    La prochaine fois, je me tairai…

    Juste une remarque: la théorie des labos et la pratique des clients est parfois bien bien différente (je me suis sûrement mal exprimé mais c'est ce que je voulais dire avec mon exemple).