Problème d'accès depuis le VPN sur le réseau interne.



  • Bonjour,
    J'ai un cas de figure un peu bizarre, quelqu'un pourait m'éclairer?

    Depuis le VPN, j'arrive à accéder au NAS que si il est en DHCP.
    Dès que je le passe en IP fixe, je n'arrive plus à y accéder.

    Quelqu'un à une idée?
    @#



  • Votre question ressemble un peu à celle d'un humoriste qui demandait : Quel âge avait Henri IV ?
    Quel vpn, quel dhcp, quel adressage, quel nas, quelle configuration ? Il manquerait peut être quelque informations pour vous aider !



  • On m'a souvent dit que j'aurais dû faire l'école du rire.
    Tient, maintenant que j'y pense, à Niels Bohr aussi…

    VPN : celui de pfsense
    dev tun
    persist-tun
    persist-key
    proto udp
    cipher AES-128-CBC
    tls-client
    client
    remote XXX XX
    tls-remote BGGCA3_CertServ01
    ca [inline]
    cert [inline]
    key [inline]
    tls-auth [inline] 1
    comp-lzo

    <ca>–---BEGIN CERTIFICATE-----
    XXX
    -----END CERTIFICATE-----</ca>
    <cert>-----BEGIN CERTIFICATE-----
    XXX
    -----END CERTIFICATE-----</cert>
    <key>-----BEGIN RSA PRIVATE KEY-----
    XXX
    -----END RSA PRIVATE KEY-----</key>
    <tls-auth>#

    2048 bit OpenVPN static key

    -----BEGIN OpenVPN Static key V1-----
    XXX
    -----END OpenVPN Static key V1-----</tls-auth>
    key-direction 1

    le DHCP
    C'est celui de PFSense en standard

    Adressage
    Pouvez-vous reformuler la question

    NAS
    Le NAS, c'est du freenas 8.3 X64
    Qui à un LAG sur 4 x gigabit connecté sur SG300-10 Cisco

    Si il faut plus de clarification, je suis là.
    @#



  • Je ne suis pas sûr que vous comprenez les mécanismes en jeu.

    1er point : accès VPN
    Le VPN permet à un PC distant d'accéder "en ip" à un réseau

    2ème point : accès à un NAS
    Le micro accède à un NAS en utilisant un protocole SMB/CIFS

    Pour le 2ième point : si on veut y accéder par un nom de machine, il faut que le pc client trouve la correspondance nom <-> adresse ip.
    Il est évident qu'en configurant un NAS avec une adresse statique, il faut DE PLUS renseigner quelque part l'association nom <-> adresse ip
    D'autant plus que le micro n'est pas dans le même réseau et ne peut, d'un coup de broadcast, trouver le nom  !

    Donc, rien que de très normal (pour un monde Windows) !!

    En fait un serveur Windows "traditionnel" (W2008, …) s'enregistre sur le dns de façon transparente.
    Ce n'est pas le cas pour un NAS qui est en réalité un serveur Samba (car le NAS tourne sur Linux), qui lui ne s'enregistre pas forcément automatiquement (voire se désenregistre !).
    Un administrateur, avisé et qui connait cela, ajoute préventivement l'enregistrement dans le dns, et roule !



  • Tu as mal lu

    Quand le NAS est en IP dynamique, c'est ok.
    Quand le NAS est en IP Statique, c'est kaput.

    Donc le VPN n'est pas en cause.

    pour y accéder, je tape l'adresse IP et pas un nom machine.

    C'est bien, c'est bien on se rapproche.

    Au passage merci pour l'explication d'un serveur DNS qui n'est absolument pas en cause dans ce cas de figure vu que j'utilise seulement leur adresse IP pour y accéder.

    Allez CCNET, je suis sur que tu vas me sortir quelque chose de pertinent.



  • Je ne sais pas (précisément) comment un PC Windows trouve le nom de machines : sous Seven, Explorateur > Réseau.
    Je présume qu'il trouve le nom soit par broadcast soit par reverse dns.

    Si une machine est cliente DHCP, elle reçoit adresse ip, masque, gateway et dns, forcément.
    Le serveur DHCP peut aussi l'enregistrer dans le dns (ainsi que dans le reverse dns) (par exemple si c'est un DHCP sous Windows).

    Si une machine est en adressage statique, il faut lui indiquer les 4 éléments : adresse ip, masque, gateway et serveur dns.
    J'ai des NAS en adressage statique mais je les ai défini manuellement dans le DNS.

    Avec un PC connecté via VPN, il est forcément nécessaire qu'un ping fonctionne quel que soit le choix d'adressage du NAS.
    Est ce le cas ?



  • Pfou, on peut mettre de côté ce nom de machine.
    Quand j'accède à quelque chose, je le fais par l'ip pas par le nom.
    ex : \192.168.0.12\c$
    il n'y a pas de résolution de nom par un serveur dns.

    Donc on arrête de parler de résolution de nom, DNS, FQDN.
    Sinon moi je vous parle de mon chat ?
    Il autant sa place dans ce post que votre serveur DNS.
    OK?

    Dans ton explication succinte, tu as oublié le "wins" si tu as des vieux serveur crocrosoft.

    J'ai buché de mon côté, entre le LAGG freenas/cisco et le DHCP de pfsense, il n'y a pas eu déjà des couilles recencées?
    Car depuis que j'ai le LAGG sur le freenas, l'attribution d'adresse IP automatique à quelque peu merdoyé.
    Il y a une histoire de MAC adresse dupliquée sur les cartes membres du LAG, faut que je confirme.



  • Peut-être qu'en fournissant, dès le départ, plus d'informations, vos lecteurs seraient moins perdus. Un peu ?

    Le problème devient :

    • un PC en VPN (openVPN) sur pfSense,
    • un NAS (FreeNAS) connecté en LAGG sur le switch
    • un accès via l'ip (et non le nom dns)

    Objectivement, il y a lieu de regarder d'abord les paquets IP.
    Par exemple, que se passe-t-il sans LAGG ?



  • Me revoilou

    Tu as très juste, pour mieux comprendre ce qui se passe il faudrait sniffer les paquets.

    Mais…

    Certaine machine, je voudrais les garder en IP Fixe.
    Donc voir du côté freenas pourquoi il ne veut pas prendre d'ip dynamique, n'est pas utile.
    Car lui, je veux le garder en IP fixe.

    Hors depuis les tests que j'ai fait, j'ai constaté :
    1)Depuis le VPN, je peux accéder aux machines qui sont servi par le DHCP et ont le status online. je peux y accéder.
    2)Si une machine à une réservation dans le DHCP mais sur la machine, j'ai un IP fixe sur la machine(la même que celle réservée). Son status est offline dans pfsense. je ne peux pas y accéder.
    3)Si une machine à une IP fixe. Pas de réservation dans le DHCP. je ne peux pas y accéder.

    Déduction :
    Est-ce que PFSense refuse l'accès à une IP depuis le VPN au réseau si elle n'est pas active(Status online dans son dhcp) pour lui ?



  • Déjà trouvé un truc.
    Il questionne séquentiellement sur les membres du LAG.
    Et seulement la dernières carte acceptait la demande.

    Donc je me suis tourné sur les définitions de priorité des membres du LAG.
    Et là j'ai vu, que ce n'était pas très correcte.  :o L'ordre définit sur le switch, n'est pas le même que l'ordre définit sur le NAS.

    Bon pour le moment, plus de pépin d'attribution d'adresse IP.
    Mais il va falloir du temps, pour voir si c'est stable.


Log in to reply