Multi-VPN Site-client Site-Site



  • Bonjour à tous,

    J’espère que vous pourrez m'apporter un peu d'aide sur mon problème, si cela est possible bien sûr.

    Nous avons actuellement deux sites (Lille-Paris) reliés par un VPN grâce à PFsense d'un côté (Lille) et Fortigat de l'autre (Paris).
    Donc un VPN Site to Site, jusque là c'est ok.

    Ensuite nous avons un VPN site to Client (Lille), grâce à notre PFsense et OpenVPN.

    Le problème est le suivant :

    Lorsque une personne externe se connecte au VPN Openvpn de "Lille" elle a accès au réseaux LAN de Lille, mais nous voudrions qu'elle puisse aussi accéder au réseau LAN de Paris (par l’intermédiaire de la deuxième liaison VPN Site to Site).

    Qu'elle est la solution ? (si il y'a)

    Merci pour votre aide.



  • Hello,

    Il faut rajouter des routes sur les sites pour faire communiquer les réseaux vpn entre eux.

    Avec openvpn c'est l'option  push route.

    https://doc.pfsense.org/index.php/VPN_Capability_OpenVPN

    If you have other subnets that vpn users will need to access we will have to push routes via custom options, push "route n.n.n.n 255.255.255.0";, where n.n.n.n is the subnet address of another interface on your pfSense.

    Après à toi de voir avec ton réseau.



  • Dans les grandes lignes il y a des questions de routage à gérer. Lorsque l'utilisateur Nomade arrive sur le site de Lille et souhaite accéder au site de Paris (c'est bien cela ?) il faut qu'il existe une route à Lille permettant d'identifier la gateway à emprunter pour se connecter au réseau de Paris. A Paris il faut une route retour pour retrouver le chemin du client nomade, c'est dire passer par Lille.
    Ensuite il y a probablement des règles de filtrage à modifier sur les différents firewalls traversés.
    Il fait que toutes las plages d'adresses soient compatibles, c'est à dire que les réseaux soient tous différents donc ne se recouvrent pas.
    Dans le détail je ne sais en dire plus puisque je ne connais pas la topologie précise des réseaux.



  • @PARN:

    Hello,

    Il faut rajouter des routes sur les sites pour faire communiquer les réseaux vpn entre eux.

    Avec openvpn c'est l'option  push route.

    Après à toi de voir avec ton réseau.

    Oui pour le premier élément de la réponse. Pas seulement ou pas nécessairement pour le deuxième élément de réponse pour les raisons que j'explique plus haut.



  • Merci pour vos réponses.

    Pour être plus précis nous avons la topologie réseaux suivante :

    Réseau vpn client (10.0.8.x) –----> réseau interne (10.1.201.x) ----> Firewall/passerelle PFSense (10.1.201.x)  --------Liaison VPN vers Paris------- (192.168.0.x)

    Pour ce qui est de la liaison VPN entre Lille et Paris, c'est paramétré et fonctionnel à 100%

    Il me suffit donc d'ajouter une route pour la liaison OpenVPN (Lille) indiquant le réseau LAN de paris ? Ou s'ajoute cette route dans PFsense (je débute désolé).

    Mais vue que Pfsense gère la liaison VPN Paris est qu'il est la passerelle, dans ma configuration OpenVPN, ma Firewall Rules, si j'indique en destination LAN --> l'adresse de mon PFsense    ça ne fonctionne pas ?



  • Quelle version de Pfsense est utilisée ? Lire la doc pourrait aider !



  • Il s'agit de la version 2.0.1

    J'ai trouvé pour l'ajout de la route Static, mais vue que le VPN entre les deux sites fonctionne, n'y a t-il pas une configuration à appliquer sur la firewall rules OpenVPN comme citer dans mon précédent message ?



  • Sans doute mais comme j'ignore vos règles en place et vos besoins de communication pour un client vpn vers le  réseau de Paris je ne sais pas répondre. Il y a sans doute des flux à autoriser mais il n'y a que vous qui sachiez lesquels.



  • Merci pour votre aide.

    Je vais voir pour la suite.



  • Bonjour,

    J'ai une architecture similaire à la tienne sauf que j'ai 2 pfsense aux extrémité, le lien inter-site en openvpn et le road warrior en ipsec.

    Pour atteindre l'autre coté du tunnel j'ai du ajouter une interface (OPT1) et choisir ovpns1() dans la liste des assign des deux coté et configurer l'adressage en DHCP.
    Ensuite j'ai rajouter une route static de chaque coté qui pointe vers le LAN de l'autre routeur et cela fonctionne.

    Cordialement



  • Quel version de Pfsense utilisez vous ?


Log in to reply