[Résolu]Tunnel VPN entre 2 PFSense distants

lg750

Bonjour à tous,

Je vous explique la situation.
Sur un premier site (réseau 192.168.11.0/24) protégé par un PFSense, nous souhaiterions pouvoir administrer à distance le réseau 192.168.10.0/23 d'un second site lui même protégé par un PFSense.

J'ai suivi les procédures trouvée sur internet et établi les paramétrage dont je mets les screenshot en PJ.

Pourriez-vous m'en dire plus quant au fonctionnement et à la logique de ces derniers car à priori ça ne fonctionne pas pour l'instant. J'ai un collègue qui travaille sur l'autre site et qui a mis en place le paramétrage client mais je ne peux pas en savoir plus pour l'instant.

Merci d'avance pour votre soutien

ccnet

Si vous utilisiez me formulaire nous aurions peut être toutes les informations nécessaires. En l'état je ne sais pas répondre, il manque trop d'informations.

lg750

Bonjour,

Merci pour votre réponse.
Quelles informations vous manque-t-il ? J'ai vu le formulaire, mais en l'état je ne vois pas trop quelles informations supplémentaires pourraient vous être utiles ?

baalserv

Votre chois est de ne pas utiliser le formulaire en vigueur ! Le notre est de ne pas vous répondre !

La raison : On en a plus que marre de pleurer les informations qui devrais nous être fournis dès le début !

lg750

Je relance ma question en suivant votre formulaire ;)

Contexte : En alternance en BTS SIO, je dois mettre en place au sein de mon entreprise, un tunnel VPN reliant mon site "local" et un autre site distant situé dans une autre ville. Sur mon site local, je suis équipé de PFsense version 2.1.5 et sur mon site distant de PFSense 2.1.4

Besoin : Afin de relié nos deux réseaux, j'aurais besoin de mettre en place un tunnel VPN permanent via OpenVPN qui me permettrait d'accéder depuis mon poste (ou mon serveur 192.168.11.12) au serveur du site distant 192.168.8.1 (et donc à tous le réseau distant).

Schéma : veuillez trouver en pièce jointe les deux schémas réseau auxquels volontairement enlevé les informations inutiles.

WAN (modem/routeur/box) : Un seul WAN, une ligne ADSL 18 mégas passant par un modem Zyxel P600 series branché en mode "pont" et rélié ensuite au PFSense.

LAN : un seul LAN de chaque côté, 192.168.11.0/24 sur mon réseau local et 192.168.8.0/23 sur mon réseau distant.

WIFI : Le contrôleur Wi-Fi Cisco n'est pas relié au PFSense.

Autres interfaces : Plus aucune autre interface n'est active sur les réseaux.

Règles NAT : Aucun des onglets ne me donne d'information à ce sujet ??

Règles Firewall : cf. pièces jointes

Autres fonctions assignées au pfSense : Open VPN en train d'être mis en place

Question : Bien que j'ai suivi des procédures d'installation trouvées sur le net, je ne parviens pas à émettre de ping ou à me connecter à mon réseau distant. J'ai pensé à un problème de règle mais même en réduisant ma sécurité je ne parviens pas au résultat voulu. Les émissions de ping ou les traceroute retournent des erreurs.

Recherches : actuellement il semble que le service openVPn ne daigne même plus se lancer alors que la semaine dernière il se lançait (mais pour autant je n'arrivais pas à atteindre mon réseau distant).

Logs et tests : cf. pièces jointes

lg750

Après avoir redémarré mon PFSense, je parviens à lancer mon service OpenVPN et j'obtiens le log suivant (cf. P-J)

EDIT : Je suppose que le tunnel qui se créé met l'IP 10.0.8.1 sur mon site local et 10.0.8.2 sur mon site distant. En local quand je ping 10.0.8.1, j'ai un retour positif, mais lorsque je ping 10.0.8.2 ça me met "délais d'attente de la demande dépassée". Et inversement sur mon site distant, je peux envoyer un ping vers 10.0.8.2 mais pas vers 10.0.8.1.

baalserv

Bonjour,

Tout cela est confus et manque de clarté !

Si j'ai bien compris, le pf qui à le rôle de serveur Ovpn est celui du site distant ?
En partant de là comme point de départ, plusieurs choses sont incorrecte :

1/ vous avez inverssé le local et le remote network (cf vos screenshots) dans la configuration serveur Ovpn

2/ dans la configuration client Ovpn le champ ''Server Host or address" doit être une ip publique et ne peut donc pas être une ip locale

3/ pour les firewall rule onglet Ovpn :
2 lignes strictement identique sur l'un des screen -> une est en trop
pas de règles du tout sur l'autre screen -> ne peut donc pas "discuter"

Mon conseil :
Supprimez toutes vos configurations serveur et client Ovpn ainsi que toutes les règles de leur interface respective
Refaite l'intégralité des configuration en utilisant le wizard, ajouter y une pincer de rigueur et abstenez-vous de tout "tripotage" à la main des règles de fw

Cordialement

lg750

Bonjour Baalserv, merci pour votre réponse.

Non, le PFSense qui a le rôle d'OpenVPN est bien celui de mon site "local". Qu'est ce qui vous fait penser l'inverse ?

2/ Dans la configuration clien OpenVPN, dans le champs Server Host or Adress je dois donc mettre l'IP publique de ma ligne ADSL ? La même que l'on peut voir sur la 1ère page du PFSense ?

3/ Merci ;)

Dès que mon collègue m'aura mis en place un accès distant, je referai l'ensemble de l'installation en suivant vos conseils.

Merci encore :)

baalserv

@lg750:

2/ Dans la configuration clien OpenVPN, dans le champs Server Host or Adress je dois donc mettre l'IP publique de ma ligne ADSL ? La même que l'on peut voir sur la 1ère page du PFSense ?

OUi l'IP publique du site ou se trouve le Serveur Ovpn

lg750

Bonjour Baalserv,

J'ai donc modifié les points 2 et 3 du site distant et tout semble fonctionner ! Je ping le PFSense distant depuis mon réseau local, ainsi que les serveurs distants. Il ne me reste plus qu'à paramétrer mes autorisations d'accès et tout sera ok.

Un grand merci pour votre aide :)

lg750

Bonjour,

Depuis les derniers messages, j'ai finalement réussi à configurer mon VPN comme je vous l'avais dit.
Depuis, j'ai du créer un seconde tunnel VPN (avec le même serveur mais un autre client) et j'ai fait tout ça sur la même base (même tunnel privé en 10.0.8.0) et même configuration.

Cependant j'ai un ping instable entre mes réseaux et des coupures (délai d'attente de la demande dépassée) qui interviennent régulièrement et pendant plusieurs secondes.

Est ce que cela peut être lié ? Faut-il faire autrement que la méthode utilisée ?

En pièces-jointes, vous trouverez la configuration de mon serveur ainsi que celle de mes deux clients.

D'avance merci ;)

jdh

Depuis, j'ai du créer un seconde tunnel VPN (avec le même serveur mais un autre client) et j'ai fait tout ça sur la même base (même tunnel privé en 10.0.8.0) et même configuration.

Et ça vous parait normal d'utiliser le MEME réseau comme lien VPN (et avec le même port) ?

En étant juste un peu prudent, on peut aisément penser qu'il est possible de

• créer 2 serveurs OpenVPN sur le pfSense 1 du réseau 1, donc 2 ports distincts et 2 clés (shared key) distinctes ainsi que 2 réseaux distincts (10.0.8.0/24 et 10.0.9.0/24),
• créer 1 client sur le pfsense 2 du réseau 2 > attaque pfsense 1 sur port 1  (existant)
• créer 1 client sur le pfsense 3 du réseau 3 > attaque pfsense 1 sur port 2

On dirait qu'une logique pourtant très simple vous échappe !

lg750

Bonjour, merci pour votre réponse.

En effet, c'est probable qu'une logique que vous avez, puisse m'échapper. Peut-être est-ce dû à mon peu d'expérience dans le domaine et au fait que j'évolue au sein de mon entreprise en quasi autodidacte étant donné le peu de compétences de mon responsable concernant ces sujets-là.
Si j'avais la prétention de tout savoir, je n'en serais pas rendu à demander de l'aide sur les communautés concernées.

Bref, j'ai bien compris votre explication et je vais immédiatement corriger mon erreur en créant un deuxième tunnel allant vers mon nouveau client.

Merci ;)

lg750

J'ai mis en place la solution telle que vous me l'avez indiqué. Mes VPN fonctionnent par contre j'ai toujours ces coupures (si j'émets un ping permanent vers mon serveur distant, j'ai des "délais d'attente de la demande dépassée" dans les deux sens du (serveur distant vers serveur local et inversement).
J'ai un ping en moyenne de 75-80ms et avec quelques pics à plus de 100ms et jusqu'à 300ms de temps en temps.

Je ne sais pas si c'est une coïncidence mais j'ai l'impression que ça va quand même mieux depuis que j'ai créé un deuxième tunnel vpn, mais ce n'est pas encore optimal.

Si vous avez des pistes à explorer je suis preneur.

D'avance merci ;)