Problème OPENVPN [Résolu]

Avirex

Bonjour à tous,
Alors je vous explique mon soucis, voilà j'ai une machine physique Pfsense (version 2.1) avec deux cartes réseaux:
-> Interface WAN (192.168.1.254) Sur une Neufbox
-> Interface LAN (192.168.0.254)

J'ai donc suivi un tuto pour monter un VPN avec Openvpn, donc pour l'IPV4 du tunnel j'ai mis l'adresse 192.168.2.0/24 et pour l'IPV4 du lan et ben celle du LAN donc 192.168.0.0/24.

Mon problème est que je me connecte bien au VPN depuis un poste en XP (l'adresse attribuéé 192.168.2.5), je peux pinger le pfsense 192.168.0.254 et accéder à l'interface mais je ne peux pas pinger une machine du réseau locale (192.168.0.10) donc pas de partage, j'ai laissé la configuration Firewall par défaut puisque qu'avec le VPN wizard cela établit les règles automatiquement. Je ne vois pas d'ou cela peut venir.
Merci pour votre aide, j'espère avoir été clair dans mes explications.
Cordialement

ccnet

Les explicatioins sont claires. Il manque la descriptioin des conditions de test. Quelle est la topologie réseau pour le test, ou plus simplement où est située la machine xp par rapport à Pfsense lors du test ?

Avirex

En fait le firewall est chez moi perso et je me connecte depuis un poste à mon travail.
Je ne comprend vraiment pas pourquoi cela ne fonctionne pas.

jdh

On pourrait être (encore) plus précis :

Le schéma est

Internet <-> Neufbox <-> (WAN) pfsense (LAN) <-> réseau interne

Réseau WAN : 192.168.1.x/24 avec .254 pour WAN de pfSense et .1 pour Neufbox
Réseau LAN : 192.168.0.x/24 avec .254 pour LAN de pfSense

Il est nécessaire de configurer la neufbox avec le WAN de pfSense en tant que "DMZ" : tout le traffic réseau est transféré vers pfSense.

Le tuto OpenVPN parle-t-il des règles à créer dans l'onglet OpenVPn de Firewall > Rules ?
Car il est forcément nécessaire de créer quelques règles dans cet onglet …

Avirex

Le schéma du réseau c'est exactement ça, j'ai bien créé la DMZ dans la neufbox vers 192.168.1.254, pour les règles du parefeu voici ce que j'ai (configuration faite par openvpn wizard)

Onglet WAN:

Proto Source Port   Destination   Port Gateway   Queue Schedule
IPv4            *          *      WAN address    1194          *            none
UDP

Onglet LAN:

Proto Source Port   Destination   Port Gateway   Queue Schedule
  *                *          *      LAN adress      80            *              *
IPV4        LAN net      *            *                *              *            none
même chose pour IPV6

Onglet OpenVPN:

Proto Source Port   Destination   Port Gateway   Queue Schedule
IPV4            *            *        LAN Net            *              *          none
IPV4            *            *            *                  *              *          none

Voilà j'expère que cela est assez lisible.
Merci

Narcomed

Je ne sais pas si cela va régler ton problème.

Mais dans mon cas j'avais de la difficulté a rejoindre les devices sur mon réseau.  J'ai du ajouter les routes dans la configuration d'open vpn.

Dans advanced configuration ajoute les routes du genre

push "route 192.168.0.0 255.255.255.0";

Courage !

ccnet

La configuration de test est correcte.
Configurer le routage est bien sur indispensable. Avec un client XP cela fonctionnera. Avec un client SEven, dans le fichier de configuration Openvpn il faut prévoir ces deux lignes :

route-method exe
route-delay 2

Sinon la table de routage ne sera pas modifiée comme nécessaire.
On prendra soin de configurer les clients de telle façon qu'ils ne puissent pas accéder directement à internet lorsque le vpn est actif. Une fois validé il faut ajuster les règles dans l'onglet vpn. Tout cela pour que l'emploi du vpn reste sûr.

Avirex

@Narcomed:

Je ne sais pas si cela va régler ton problème.

Mais dans mon cas j'avais de la difficulté a rejoindre les devices sur mon réseau.  J'ai du ajouter les routes dans la configuration d'open vpn.

Dans advanced configuration ajoute les routes du genre

push "route 192.168.0.0 255.255.255.0";

Courage !

Ok donc dans la configuration du serveur openvpn, j'ajoute push "route 192.168.0.0 255.255.255.0"?

Avirex

J'ai testé avec cette route mais cela ne fonctionne toujours pas. Je comprends vraiment pas :(

jdh

(Je ne connaissais pas la méthode ccnet : intéressant et à investiguer …)
J'utilise la méthode "push route".

Sur Seven, (et sur XP,) il est absolument nécessaire de lancer OpenVPN-gui en tant qu'administrateur.
Sinon il ne peut pas ajouter la route … qu'on lui indique d'ajouter !

ccnet

Indispensable et que j'ai oublié de préciser !

baalserv

Bonjour

le poste xp du bureau ne serai pas par le plus grand des hasard 192.168.0.0/24 soit le même que l'autre extrémité du Vpn ?

depuis la V2.1 2.0.3 le packet ''CLientExportUtilities'' prend en compte le problème de création des route sous W7 et permet d'utiliser le client founis dans le .exe dans un environement user sans exécuter le GUI en administrateur ^^

Avirex

@baalserv:

Bonjour

le poste xp du bureau ne serai pas par le plus grand des hasard 192.168.0.0/24 soit le même que l'autre extrémité du Vpn ?

depuis la V2.1 2.0.3 le packet ''CLientExportUtilities'' prend en compte le problème de création des route sous W7 et permet d'utiliser le client founis dans le .exe dans un environement user sans exécuter le GUI en administrateur ^^

Bonsoir,
Non le poste en XP est en 200.0.0.0/24 donc rien à voir, même en admin cela ne fonctionne pas, je ne vois pas d'où cela peut venir, là je suis en train de me prendre la tête en plus c'est une install toute neuve, la mise en place du vpn est la première chose que j'ai fait, ce que je remarque c'est que lorsque je suis connecté en VPN je n'ai pas de passerelle pour la connexion, est-ce normal?

baalserv

Bonjour,

donnez nous TOUTES les règles et dans l'ordre configurer Lan car avec la seule que vous nous donnez plus haut alors tout est normal dans le fonctionnement décris comme étant un problème ^^

cordialement

EDIT : je suppose que les pc situer dans le lan on l'adresse lan de pf comme passerelle ?

Avirex

@baalserv:

Bonjour,

donnez nous TOUTES les règles et dans l'ordre configurer Lan car avec la seule que vous nous donnez plus haut alors tout est normal dans le fonctionnement décris comme étant un problème ^^

cordialement

EDIT : je suppose que les pc situer dans le lan on l'adresse lan de pf comme passerelle ?

Je vous ai donné toutes les règles que j'ai, oui le pfsense est bien la passerelle, j'ai même essayé sur mon MAC c'est pareil, je ping le firewall mais pas les PC du lan. En tout cas merci pour vos réponses, je désespère!

Avirex

dev tun
persist-tun
persist-key
cipher BF-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote "mon no-ip" 1194 udp
verify-x509-name Benoit name
auth-user-pass
pkcs12 FIREWALL-udp-1194-Benoit.p12
tls-auth FIREWALL-udp-1194-Benoit-tls.key 1

Voici mon fichier de config

baalserv

une fois le tunnel monter, faire en CMD sur le poste xp du bureau un route print et donnez nous le résultat svp

Avirex

Voici le route print:

C:\Documents and Settings\PC 09.RECYNER>route print

Liste d'Interfaces
0x1 …........................ MS TCP Loopback interface
0x2 ...d4 3d 7e 3f c4 c2 ...... Realtek PCIe GBE Family Controller - Teefer2 Min
iport
0x3 ...00 ff b2 6a 78 02 ...... TAP-Windows Adapter V9 - Teefer2 Miniport

===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle  Adr. interface Métrique
          0.0.0.0          0.0.0.0      200.0.0.20      200.0.0.9      20
    65.55.184.151  255.255.255.255      200.0.0.20      200.0.0.9      20
  109.232.195.149  255.255.255.255      200.0.0.20      200.0.0.9      20
        127.0.0.0        255.0.0.0        127.0.0.1      127.0.0.1      1
      192.168.0.0    255.255.255.0      192.168.2.5    192.168.2.6      1
      192.168.2.0    255.255.255.0      192.168.2.5    192.168.2.6      1
      192.168.2.4  255.255.255.252      192.168.2.6    192.168.2.6      30
      192.168.2.6  255.255.255.255        127.0.0.1      127.0.0.1      30
    192.168.2.255  255.255.255.255      192.168.2.6    192.168.2.6      30
        200.0.0.0    255.255.255.0        200.0.0.9      200.0.0.9      20
        200.0.0.9  255.255.255.255        127.0.0.1      127.0.0.1      20
      200.0.0.255  255.255.255.255        200.0.0.9      200.0.0.9      20
        224.0.0.0        240.0.0.0      192.168.2.6    192.168.2.6      30
        224.0.0.0        240.0.0.0        200.0.0.9      200.0.0.9      20
  255.255.255.255  255.255.255.255      192.168.2.6    192.168.2.6      1
  255.255.255.255  255.255.255.255        200.0.0.9      200.0.0.9      1
Passerelle par défaut :        200.0.0.20

Itinéraires persistants :
  Aucun

Y'a t-il quelque chose qui cloche?

baalserv

cite : ce que je remarque c'est que lorsque je suis connecté en VPN je n'ai pas de passerelle pour la connexion, est-ce normal?

vous avez bien les routes et la passerelle pour le VPN !

cite :

192.168.0.0    255.255.255.0      192.168.2.5    192.168.2.6      1
192.168.2.0    255.255.255.0      192.168.2.5    192.168.2.6      1

a priori vous avez bien les routes et gateway de configurer une fois le tunnel monter !

EDIT :
cite : Y'a t-il quelque chose qui cloche?
=> peut être un firewall logiciel sur le poste de la maison ?

ccnet

65.55.184.151  255.255.255.255      200.0.0.20      200.0.0.9      20
  109.232.195.149  255.255.255.255      200.0.0.20      200.0.0.9      20

Je m'interroge sur la présence de 2 routes vers des si qui ne sont pas concernés a priori. C'est peut être souhaité mais c'est basiquement dangereux. Ensuite il faut voir la situation spécifique. Donc dangereux d'une façon général mais peut être spécifiquement acceptable. Je n'ai pas les éléments pour l'apprécier.