Problème OPENVPN [Résolu]



  • Bonjour à tous,
    Alors je vous explique mon soucis, voilà j'ai une machine physique Pfsense (version 2.1) avec deux cartes réseaux:
    -> Interface WAN (192.168.1.254) Sur une Neufbox
    -> Interface LAN (192.168.0.254)

    J'ai donc suivi un tuto pour monter un VPN avec Openvpn, donc pour l'IPV4 du tunnel j'ai mis l'adresse 192.168.2.0/24 et pour l'IPV4 du lan et ben celle du LAN donc 192.168.0.0/24.

    Mon problème est que je me connecte bien au VPN depuis un poste en XP (l'adresse attribuéé 192.168.2.5), je peux pinger le pfsense 192.168.0.254 et accéder à l'interface mais je ne peux pas pinger une machine du réseau locale (192.168.0.10) donc pas de partage, j'ai laissé la configuration Firewall par défaut puisque qu'avec le VPN wizard cela établit les règles automatiquement. Je ne vois pas d'ou cela peut venir.
    Merci pour votre aide, j'espère avoir été clair dans mes explications.
    Cordialement



  • Les explicatioins sont claires. Il manque la descriptioin des conditions de test. Quelle est la topologie réseau pour le test, ou plus simplement où est située la machine xp par rapport à Pfsense lors du test ?



  • En fait le firewall est chez moi perso et je me connecte depuis un poste à mon travail.
    Je ne comprend vraiment pas pourquoi cela ne fonctionne pas.



  • On pourrait être (encore) plus précis :

    Le schéma est

    Internet <-> Neufbox <-> (WAN) pfsense (LAN) <-> réseau interne

    Réseau WAN : 192.168.1.x/24 avec .254 pour WAN de pfSense et .1 pour Neufbox
    Réseau LAN : 192.168.0.x/24 avec .254 pour LAN de pfSense

    Il est nécessaire de configurer la neufbox avec le WAN de pfSense en tant que "DMZ" : tout le traffic réseau est transféré vers pfSense.

    Le tuto OpenVPN parle-t-il des règles à créer dans l'onglet OpenVPn de Firewall > Rules ?
    Car il est forcément nécessaire de créer quelques règles dans cet onglet …



  • Le schéma du réseau c'est exactement ça, j'ai bien créé la DMZ dans la neufbox vers 192.168.1.254, pour les règles du parefeu voici ce que j'ai (configuration faite par openvpn wizard)

    Onglet WAN:

    Proto Source Port   Destination   Port Gateway   Queue Schedule
    IPv4            *          *      WAN address    1194          *            none
    UDP

    Onglet LAN:

    Proto Source Port   Destination   Port Gateway   Queue Schedule
      *                *          *      LAN adress      80            *              *
    IPV4        LAN net      *            *                *              *            none
    même chose pour IPV6

    Onglet OpenVPN:

    Proto Source Port   Destination   Port Gateway   Queue Schedule
    IPV4            *            *        LAN Net            *              *          none
    IPV4            *            *            *                  *              *          none

    Voilà j'expère que cela est assez lisible.
    Merci



  • Je ne sais pas si cela va régler ton problème.

    Mais dans mon cas j'avais de la difficulté a rejoindre les devices sur mon réseau.  J'ai du ajouter les routes dans la configuration d'open vpn.

    Dans advanced configuration ajoute les routes du genre

    push "route 192.168.0.0 255.255.255.0";

    Courage !



  • La configuration de test est correcte.
    Configurer le routage est bien sur indispensable. Avec un client XP cela fonctionnera. Avec un client SEven, dans le fichier de configuration Openvpn il faut prévoir ces deux lignes :

    route-method exe
    route-delay 2
    

    Sinon la table de routage ne sera pas modifiée comme nécessaire.
    On prendra soin de configurer les clients de telle façon qu'ils ne puissent pas accéder directement à internet lorsque le vpn est actif. Une fois validé il faut ajuster les règles dans l'onglet vpn. Tout cela pour que l'emploi du vpn reste sûr.



  • @Narcomed:

    Je ne sais pas si cela va régler ton problème.

    Mais dans mon cas j'avais de la difficulté a rejoindre les devices sur mon réseau.  J'ai du ajouter les routes dans la configuration d'open vpn.

    Dans advanced configuration ajoute les routes du genre

    push "route 192.168.0.0 255.255.255.0";

    Courage !

    Ok donc dans la configuration du serveur openvpn, j'ajoute push "route 192.168.0.0 255.255.255.0"?



  • J'ai testé avec cette route mais cela ne fonctionne toujours pas. Je comprends vraiment pas :(



  • (Je ne connaissais pas la méthode ccnet : intéressant et à investiguer …)
    J'utilise la méthode "push route".

    Sur Seven, (et sur XP,) il est absolument nécessaire de lancer OpenVPN-gui en tant qu'administrateur.
    Sinon il ne peut pas ajouter la route … qu'on lui indique d'ajouter !



  • Indispensable et que j'ai oublié de préciser !



  • Bonjour

    le poste xp du bureau ne serai pas par le plus grand des hasard 192.168.0.0/24 soit le même que l'autre extrémité du Vpn ?

    depuis la V2.1 2.0.3 le packet ''CLientExportUtilities'' prend en compte le problème de création des route sous W7 et permet d'utiliser le client founis dans le .exe dans un environement user sans exécuter le GUI en administrateur ^^



  • @baalserv:

    Bonjour

    le poste xp du bureau ne serai pas par le plus grand des hasard 192.168.0.0/24 soit le même que l'autre extrémité du Vpn ?

    depuis la V2.1 2.0.3 le packet ''CLientExportUtilities'' prend en compte le problème de création des route sous W7 et permet d'utiliser le client founis dans le .exe dans un environement user sans exécuter le GUI en administrateur ^^

    Bonsoir,
    Non le poste en XP est en 200.0.0.0/24 donc rien à voir, même en admin cela ne fonctionne pas, je ne vois pas d'où cela peut venir, là je suis en train de me prendre la tête en plus c'est une install toute neuve, la mise en place du vpn est la première chose que j'ai fait, ce que je remarque c'est que lorsque je suis connecté en VPN je n'ai pas de passerelle pour la connexion, est-ce normal?



  • Bonjour,

    donnez nous TOUTES les règles et dans l'ordre configurer Lan car avec la seule que vous nous donnez plus haut alors tout est normal dans le fonctionnement décris comme étant un problème ^^

    cordialement

    EDIT : je suppose que les pc situer dans le lan on l'adresse lan de pf comme passerelle ?



  • @baalserv:

    Bonjour,

    donnez nous TOUTES les règles et dans l'ordre configurer Lan car avec la seule que vous nous donnez plus haut alors tout est normal dans le fonctionnement décris comme étant un problème ^^

    cordialement

    EDIT : je suppose que les pc situer dans le lan on l'adresse lan de pf comme passerelle ?

    Je vous ai donné toutes les règles que j'ai, oui le pfsense est bien la passerelle, j'ai même essayé sur mon MAC c'est pareil, je ping le firewall mais pas les PC du lan. En tout cas merci pour vos réponses, je désespère!



  • dev tun
    persist-tun
    persist-key
    cipher BF-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote "mon no-ip" 1194 udp
    verify-x509-name Benoit name
    auth-user-pass
    pkcs12 FIREWALL-udp-1194-Benoit.p12
    tls-auth FIREWALL-udp-1194-Benoit-tls.key 1

    Voici mon fichier de config



  • une fois le tunnel monter, faire en CMD sur le poste xp du bureau un route print et donnez nous le résultat svp



  • Voici le route print:

    C:\Documents and Settings\PC 09.RECYNER>route print

    Liste d'Interfaces
    0x1 …........................ MS TCP Loopback interface
    0x2 ...d4 3d 7e 3f c4 c2 ...... Realtek PCIe GBE Family Controller - Teefer2 Min
    iport
    0x3 ...00 ff b2 6a 78 02 ...... TAP-Windows Adapter V9 - Teefer2 Miniport

    ===========================================================================
    Itinéraires actifs :
    Destination réseau    Masque réseau  Adr. passerelle  Adr. interface Métrique
              0.0.0.0          0.0.0.0      200.0.0.20      200.0.0.9      20
        65.55.184.151  255.255.255.255      200.0.0.20      200.0.0.9      20
      109.232.195.149  255.255.255.255      200.0.0.20      200.0.0.9      20
            127.0.0.0        255.0.0.0        127.0.0.1      127.0.0.1      1
          192.168.0.0    255.255.255.0      192.168.2.5    192.168.2.6      1
          192.168.2.0    255.255.255.0      192.168.2.5    192.168.2.6      1
          192.168.2.4  255.255.255.252      192.168.2.6    192.168.2.6      30
          192.168.2.6  255.255.255.255        127.0.0.1      127.0.0.1      30
        192.168.2.255  255.255.255.255      192.168.2.6    192.168.2.6      30
            200.0.0.0    255.255.255.0        200.0.0.9      200.0.0.9      20
            200.0.0.9  255.255.255.255        127.0.0.1      127.0.0.1      20
          200.0.0.255  255.255.255.255        200.0.0.9      200.0.0.9      20
            224.0.0.0        240.0.0.0      192.168.2.6    192.168.2.6      30
            224.0.0.0        240.0.0.0        200.0.0.9      200.0.0.9      20
      255.255.255.255  255.255.255.255      192.168.2.6    192.168.2.6      1
      255.255.255.255  255.255.255.255        200.0.0.9      200.0.0.9      1
    Passerelle par défaut :        200.0.0.20

    Itinéraires persistants :
      Aucun

    Y'a t-il quelque chose qui cloche?



  • cite : ce que je remarque c'est que lorsque je suis connecté en VPN je n'ai pas de passerelle pour la connexion, est-ce normal?

    vous avez bien les routes et la passerelle pour le VPN !

    cite :

    192.168.0.0    255.255.255.0      192.168.2.5    192.168.2.6      1
    192.168.2.0    255.255.255.0      192.168.2.5    192.168.2.6      1

    a priori vous avez bien les routes et gateway de configurer une fois le tunnel monter !

    EDIT :
    cite : Y'a t-il quelque chose qui cloche?
    => peut être un firewall logiciel sur le poste de la maison ?



  • 65.55.184.151  255.255.255.255      200.0.0.20      200.0.0.9      20
      109.232.195.149  255.255.255.255      200.0.0.20      200.0.0.9      20

    Je m'interroge sur la présence de 2 routes vers des si qui ne sont pas concernés a priori. C'est peut être souhaité mais c'est basiquement dangereux. Ensuite il faut voir la situation spécifique. Donc dangereux d'une façon général mais peut être spécifiquement acceptable. Je n'ai pas les éléments pour l'apprécier.



  • Je plussoie ccnet qui fait une observation intéressante …
    D'autant plus qu'est mentionné dans ces routes la même passerelle = le pfsense.
    Un route delete me parait nécessaire.

    Etes vous sur qu'il n'y a rien d'autre dans la config côté serveur ?
    Qui vous a fourni la config côté client ? (parce que plusieurs lignes me sont inhabituelles ...)



  • j'avais fait abstraction de ces lignes inabituelle ….

    mais la question est d'autant plus pertinante que ces routes sont ajouter de façon dynamique car il n'existe aucun itinéraire persistant déclarer sur le poste en question.



  • Oui j'aurai été moins surpris de les voir listées persistantes. Donc une application monte ces routes probablement. 65.55.184.151 c'est Microsoft en Inde.



  • Le poste d'où j'essaye de me connecter se trouve dans un domaine et je joint le vpn via un no-ip, mon antivirus ne peut pas bloquer le ping?
    Merci



  • @baalserv:

    EDIT :
    cite : Y'a t-il quelque chose qui cloche?
    => peut être un firewall logiciel sur le poste de la maison ?



  • C'est assez bizarre, je n'ai jamais vu un antivirus bloquer le ping, j'utilise trendmicro, sinon voici le tuto que j'ai suivi à la lettre, peut-être est-il erroné?
    http://www.youtube.com/watch?v=02vlrVNbe70
    Merci pour votre aide ;)



  • @Avirex:

    C'est assez bizarre, je n'ai jamais vu un antivirus bloquer le ping

    et bien moi oui :)

    "The ping of death" autrement dis le ping de la mort une des plus ancienne methode d'attaque en force brute pour faire "tomber" un serveur ^^

    c'est pour cela que aucun de mes pf ne répond à une requette ping sur Wan !



  • arretons un peut le fload !

    pour faire du road-warrior Ovpn avec Pf il faut :

    1/ créer le CA puis le certificat serveur dans le gestionnaire de certificat
    2/ créer un user avec son certificat dans le gestinnaire des utilisateurs
    3/ installer "ClientExportUtilities" comme montrée dans votre tuto youtube
    4/ configurer le serveur Ovpn via le Wizard ou en manuel
    5/ depuis l'onglet ClientExport Utilitie exporter l'installeur windaube pour le user précédament créer
    6/ exécuter le .exe exporter sur le poste client distant
    7/ monter le tunnel
    8/ enjoy :)

    cordialement !



  • Bonjour,
    Je viens de trouver! En fait ce n'est pas mon antivirus qui bloquait mais le parefeu Windows 8! En tout cas merci pour votre aide et votre réactivité!
    Cordialement



  • @baalserv:

    @baalserv:

    EDIT :
    cite : Y'a t-il quelque chose qui cloche?
    => peut être un firewall logiciel sur le poste de la maison ?

    ;)