Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [Résolu] pfSense échange entre clients OpenVPN

    Français
    4
    14
    4223
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fabienfs last edited by

      Bonjour,

      J'ai installé un serveur OpenVPN sur mon pfSense et j'ai plusieurs clients connectés dessus.

      Si je suis dans le réseau en interne et que je ping les clients OpenVPN, ils répondent. Si je suis un client OpenVPN et que je ping les machines sur mes réseaux connectés à pfSense, ça fonctionne.

      Mais si je veux faire un ping entre deux clients OpenVPN, la ça ne passe pas.
      Dans les règles du Firewall onglets "OpenVPN" j'autorise pourtant tout vers tout.

      Une idée de pourquoi les clients OpenVPN entre eux ne savent pas dialoguer ?

      Merci pour votre aide :)

      Fabien

      1 Reply Last reply Reply Quote 0
      • F
        fabienfs last edited by

        Ok problème résolu.. J'ai rajouté une route static dans mon fichier OpenVPN.
        Merci :)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet last edited by

          Une idée de pourquoi les clients OpenVPN entre eux ne savent pas dialoguer ?

          La résolution proposée est curieuse. Il y spécifiquement une option pour cela dans la configuration d'OPenvpn :
          "Inter-client communication" ( Allow communication between clients connected to this server), option qui est désactivée par défaut, et c'est heureux.

          1 Reply Last reply Reply Quote 0
          • F
            fabienfs last edited by

            @ccnet:

            Une idée de pourquoi les clients OpenVPN entre eux ne savent pas dialoguer ?

            La résolution proposée est curieuse. Il y spécifiquement une option pour cela dans la configuration d'OPenvpn :
            "Inter-client communication" ( Allow communication between clients connected to this server), option qui est désactivée par défaut, et c'est heureux.

            Hello, c'est étrange oui car dans la config du serveur cette option est décochée. Pourtant ça fonctionne !

            1 Reply Last reply Reply Quote 0
            • C
              ccnet last edited by

              Non, ce qui est étrange c'est votre solution. L'option Pfsense ne fait que, probablement, ajouter le routage nécessaire. Ce qui est étrange c'est de faire manuellement cette modification, qui sera difficilement maintenable, alors que l'option est disponible dans l'interface.

              1 Reply Last reply Reply Quote 0
              • F
                fabienfs last edited by

                Je vais enlever les routes statics et essayer avec cette option :)

                1 Reply Last reply Reply Quote 0
                • J
                  jdh last edited by

                  Le paramètre "client-to-client" est généralement considéré comme peu sûr et à ne pas utiliser, et il est, d'ailleurs, inactif par défaut.
                  En outre, l'échange passant via le serveur est lent.

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • F
                    fabienfs last edited by

                    @jdh:

                    Le paramètre "client-to-client" est généralement considéré comme peu sûr et à ne pas utiliser, et il est, d'ailleurs, inactif par défaut.
                    En outre, l'échange passant via le serveur est lent.

                    Peu sur pourquoi ?
                    Le VPN ici ne sert qu'à moi, c'est pour faire parler mes machines ensemble donc je ne vois pas de risque

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh last edited by

                      Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
                      Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

                      En entreprise, le VPN est généralement conçu en mode road-warrior, et il y a peu de raison qu'il y ait 2 connexions simultanées et nécessitant un accès d'un client vers l'autre.
                      Certains paramètres existent mais ont une utilité discutable : p.e. "duplicate-cn" : le même certificat peut être utilisé simultanément ou "client-cert-not-required" qui permet d'utiliser un user/mdp alors qu'il est facile d'utiliser des certificats. Ou encore "no-replay" qui enlève la sécurité contre un "replay" !

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • P
                        psylo last edited by

                        @jdh:

                        Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
                        Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

                        […]

                        Les seules fois où j'ai dû configurer quelque chose de similaire, c'est pour de la VoIP: les clients distants ayant un softphone et devant s'appeler l'un l'autre.

                        1 Reply Last reply Reply Quote 0
                        • F
                          fabienfs last edited by

                          @psylo:

                          @jdh:

                          Outre le problème de lenteur, il est difficile de filtrer le flux inter-client (même si on peut aisément trouver des script iptables).
                          Le terme "peu sûr" n'est pas bon ou adapté, j'aurais dû écrire que cela peut diminuer la sécurité ou qu'il s'agit d'une option à utiliser après réflexion attentive.

                          […]

                          Les seules fois où j'ai dû configurer quelque chose de similaire, c'est pour de la VoIP: les clients distants ayant un softphone et devant s'appeler l'un l'autre.

                          Donc aucun filtrage entre les clients tout était ouvert ?

                          1 Reply Last reply Reply Quote 0
                          • P
                            psylo last edited by

                            Aucun filtrage (contre mon avis)…

                            1 Reply Last reply Reply Quote 0
                            • J
                              jdh last edited by

                              Il est bien ce Psylo : il donne un exemple d'utilisation et il confirme une limitation plutôt "unsecure".

                              Bravo !

                              Néanmoins, on peut trouver des scripts de filtrage (en iptables) pour filtrer ces flux.
                              p.e. cf http://john.de-graaff.net/wiki/doku.php/links/openvpn (exemples fournis et complet)

                              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                              1 Reply Last reply Reply Quote 0
                              • P
                                psylo last edited by

                                @jdh:

                                Il est bien ce Psylo : il donne un exemple d'utilisation et il confirme une limitation plutôt "unsecure".

                                Bravo !
                                […]

                                La prochaine fois, je me tairai…

                                Juste une remarque: la théorie des labos et la pratique des clients est parfois bien bien différente (je me suis sûrement mal exprimé mais c'est ce que je voulais dire avec mon exemple).

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post