OpenVPN RoadWarrior - Meme adressage des deux cotés du VPN



  • Bonsoir à tous,

    J'ai un petit soucis, je suis en train de mettre en place un serveur VPN pour mes utilisateurs nomades.

    Je rencontre un problème car l'adressage de notre reseau est en 192.168.1.0/24, mes utilisateurs nomades ont donc très souvent le même adressage (chez eux ou chez nos clients) et ne peuvent pas accéder à notre réseau par le VPN. Pour information, les deux autres sous réseaux 10.0.4.0/24 et 10.0.3.0/24 eux sont bien accessible. Je ne souhaite bien sur pas que mon client nomade est encore accès a son reseau local apres la connexion au VPN mais seulement accès à notre reseau d'entreprise.

    Je souhaiterais savoir s'il existe une autre solution que de changer l'adressage de notre réseau (j'aimerais éviter de me lancer la dedans…). Je croyais que l'option "Force all client generated traffic through the tunnel" pourrait résoudre mon problème mais ce ne semble pas être le cas.

    Merci d'avance pour vos réponses

    Richard



  • Pour cette raison et d'autres, j'ai proscris l'usage les réseaux 192.168.0.0/24 et 192.168.1.0/24. Dans plusieurs cas j'ai changé l'adressage pour sortir de ces réseaux. Cela étant vous pouvez regarder la documentation open VPN https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage et le paramètre redirect-gateway qui pourrait résoudre votre problème.



  • J'ai trouvé ce document http://www.nimlabs.org/dirtynat.html. Je crois que je vais essayer la solution "Dirty NAT Trick" en créant un NAT 1:1. Mais il faut que je me plonge la dedans que je n'y connais pas grand chose.

    Qu'en pensez vous?



  • Inéluctablement, il faudra renuméroter le réseau entreprise … Faites en un projet

    En principe, on peut quand même communiquer, avec un push route, malgré le même n° sauf évidemment on a une machine locale avec laquelle on a, juste avant, communiqué (NAS, box, ...)



  • Que dire de plus … je pense aussi qu'il faudra renuméroter. Il n'y a que des inconvénients aujourd'hui à rester sur les réseaux 192.168.0.0/ 24  et 1.0/24. Citons par exemple les problèmes dhcp avec des machines nomades qui reviennent sur le réseau d'entreprise.
    Le lien proposé élimine des deux solutions qui sont à utiliser. Sa "solution" porte bien son nom : dirty. Je n'ai pas le temps de me pencher en détail sur l'impact sécurité et fonctionnelle de cette solution mais instinctivement elle ne me dit rien qui vaille simplement parce qu'elle laisse subsister ce qui est de toute façon, à mon sens, un problème de fond. C'est l'expérience qui m'a conduit à cette appréciation du problème.



  • Alors on est parti pour une renumerotation ….

    Je maudis le mec qui a fait l'installation du réseau.



  • Il a des circonstances atténuantes, du moins si il y a longtemps que ce réseau a été configuré. Il y a 15 ans il n'était pas évident de prévoir cette explosion du nomadisme et la prolifération des box, des points d'accès wifi avec des adressage internes sur les réseaux en question. Si l'installation remonte à 3 ou 4 ans alors oui c'est un mauvais choix, un manque de clairvoyance.



  • Il y a plus de 15 ans, je numérotai des réseaux avec des adresses non RFC 1918 compliantes … par ignorance.
    Maintenant et depuis quelques années, on doit savoir éviter ces numéros de réseaux ...

    Renuméroter un réseau se prépare ...
    Il est probable qu'il faille passer sur tous les postes (5' ou 10' multiplié par le nb de postes ...).
    Mais ce sera l'occasion de remettre à plat ...
    Pensez positif !

    Dans le même genre, passer d'une config de client Outlook qui ne se connecte qu'en local à une config qui "passe partout" (et sans vpn), ça vaut le coup.



  • Je ne vais pas continuer a râler sur l'installation initial du réseau…. mais bon.

    Certe nous sommes pas une multinationale (société de 14 personnes et 30 postes de travail + la VOIP et les équipements soit une 60 aine d'ip sur le réseau), mais le réseau date de 3 ans et à l'origine nous n'avions pas de domaine, le serveur DHCP géré par la livebox, pas de switch administrable (donc pas de VLAN), le réseau WIFI invité qui permet communiquer avec le réseau d'entreprise et j'en passe...

    Comme l'a bien dit JDH, on va profiter de l'occasion pour tout remettre à plat.

    Merci pour votre aide.



  • Là je pense que vous avez raison de râler. Mais c'est l'occasion d'un grand ménage nécessaire et salutaire. Bon courage.



  • Juste une question, sans aucune polémique.
    JDH dit plus haut : Il est probable qu'il faille passer sur tous les postes (5' ou 10' multiplié par le nb de postes …)
    Cela sa fait encore, les adresses IP en dur ? Le mapping adresses MAC / adresses IP (permis sur pfSense et les box), qui apporte même un plus en matière de sécurité, aurait donc des inconvénients (qui m'échappent) ?



  • L'adressage statique des PC, eh oui, ça se fait encore …

    Positivons :

    • on change l'adressage ip vers le dynamique
    • on ajoute quelques outils tel OCS Inventory, VNC voire WPKG
    • on repasse sur le serveur dhcp pour réserver une ip pour l'adresse MAC
      Et ça devient un peu mieux

    Sinon on peut regarder vers PSExec ...

    Le problème n'est pas de passer sur tout le parc, c'est de ne pas passer, repasser N fois sur tout le parc !



  • Cela sa fait encore, les adresses IP en dur ? Le mapping adresses MAC / adresses IP (permis sur pfSense et les box), qui apporte même un plus en matière de sécurité, aurait donc des inconvénients (qui m'échappent) ?

    Pour compléter ce qui précède, sur l'aspect purement sécurité :
    En effet l'adressage en dur ne se pratique plus beaucoup pour les postes de travail.
    La réservation d'adresse MAC lié à l'ip grâce au serveur DHCP est une bonne solution mais son apport en terme de sécurité reste très limité à mon sens. Ce qui n’empêche pas de le mettre en oeuvre car il y des aspects qui facilitent le quotidien de l'administrateur.
    Si l'on souhaite augmenter le niveau de sécurité pour ce qui est du contrôle d'accès au réseau, le NAC (Network Access Control) est la solution actuelle. C'est une solution à base de certificats qui demande une infrastructure adaptée, avec des switchs supportant le protocole 802.1x, EAP, etc …
    Avec ce type de solution aucune machine qui ne soit pas approuvée ne peut accéder au réseau, pas même à la couche liaison de données. Son trafic reste bloqué au port du switch auquel la machine est raccordée.



  • (Je voulais dire que je travaille depuis 1 an 1/2 dans une entreprise où les PC étaient en statique à mon arrivée. Ils ne le sont plus, bien évidemment …
    Et la config d'Outlook avec l'@ip du serveur 192.168.x.x c'est un peu fini aussi : "quand je suis chez moi, Outlook fonctionne maintenant, je savais pas", surprise !)

    Je ne peux que plussoyer ccnet (forcément et toujours) :

    • niveau 0 (à bannir) : adressage tout statique
    • niveau 1 : adressage statique des serveurs, routeurs, imprimantes réseau, ... + adressage dhcp des PC fixes, portables
    • niveau 1+ : réservation d'ip grace à l'@MAC dans le dhcp
    • niveau 2 : NAC = Network Access Control + switch adapté + toutim ...

    La différence entre 1 et 1+ est juste du confort ... et le signe que l'admin, il maitrise.
    On peut se poser la question de DHCPiser quelques serveurs et imprimantes avec la réservation d'IP par la MAC ...

    Pour le niveau 2, bien penser à TOUT repérer : les smartphones qui se connectent, ...
    C'est plus facile pour 10 PC + 3 serveurs + 2 imprimantes que pour 150 PC + 30 serveurs + ...