OpenVpn 2 site et clients mobiles



  • Bonjour a tous

    Je debute sur PfSense

    Je souhaite réaliser un OpenVPN avec plusieurs site et j'ai des difficultés pour raccorder tout le monde
    Voici ma config
    1 PfSense sur le site A
    1 PfSense sur le Site B
    x Clients OpenVPN mobile

    A et B son relier en OpenVPN Site-on-Site
    le client mobile se connecte au site B et on besoin d’accéder au site A et B

    Site A : LAN 192.168.1.0/24
                WAN PPOE
                OPENVPN Site-on-Site 192.168.200.0/24

    Site B : LAN 192.168.2.0/24
                WAN PPOE
                OPENVPN Site-on-Site 192.168.200.0/24
                OPENVPN clients Mobile 192.168.201.0/24

    ma liaison entre A et B est fonctionnel
    ma liaison entre mes clients mobile en B fonctionne.

    par contre mon Pb est pour que mes clients qui se connectent en mobile sur B, accède a A via le VPN Site-on-Site. et la je seche …

    J'ai configuré tout de base avec les rules pour les VPN par contre je ne sais pas comment configurer pour "l'interconnexion" du VPN Site-a-Site avec le VPN "Mobile"

    Merci par Avance pour votre aide



  • Vous ne dites rien de ce que vous avez mis en place en terme de routage. Il y a quand même  quelques points à traiter.



  • Merci pour votre réponse
    Justement c'est ma question, je comprend pas vraiment comment configurer les route dans Pfsense.
    j'ajoute une commande route dans le VPN ou il faut configurer dans le menu route de pfsense ?
    Merci pour votre aide.



  • Bonjour,

    Les routes statique dans pfsense ne concerne que les réseau qui ne sont PAS gérer par pf

    Pour OpenVpn, il faut indiquer au client ''l'existence'' d'un ou autre réseau ainsi que la gateway permettant d'y arriver; cela se fait avec la commande optionnelle : push route

    Cordialement



  • Merci pour la réponse

    Je test ça ce soir



  • Donc j'ai fait mon test
    j'ai ajouter la route de mon réseau A sur mon client mobile (avec push route)
    J'ai vérifier, la liaison entre A et B fonctionne dans les deux sens, la liaison du client mobile vers B fonctionne et par contre de mon client mobile vers A rien a faire.
    faut il que je déclare la route en manuel ?

    Merci pour votre aide



  • Bonjour,

    Il manque dans votre fil beaucoup d'informations (règles de fw des interfaces, configurations exactes d'Ovpn coté serveur ET clients, logs, …)

    Merci de faire l'effort d'utiliser le formulaire en vigueur, il est la pour faire gagner tu temps à tous et donc surtout à vous !

    Cordialement



  • Salut a tous, merci pour vos réponse et voici plus de détails.

    Donc voici ma config exacte (Sauf oublis de ma part… ;) )

    J'ai désactiver l'IPv6 sur tout mon réseau

    --- Site A ---
    LAN 192.168.100.1/24
    Open VPN Client Peer-to-Peer(SharedKey) UDP/tun Compression activé
    IPv4 Tunnel Network 192.168.248.0/30
    IPv4 Remote Network/s 10.1.1.0/24
    Advanced : Rien

    Rules WAN : de base Pfsense
    Rules LAN : de base Pfsense (Anti-Lockout Rule) +
    action:pass, Interface:LAN, TCP/IPv4, Protocol:any, Source:LANnet, Destination:any
    Rules OpenVPN
    action:pass, Interface:OpenVPN, TCP/IPv4, Protocol:TCP, Source:any, Destination:any, Destination port range:any

    Firewall: NAT: Outbound  : Manual
    Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:any, Translation: Interface address (Créé par mes soins)
    Interface:WAN, Protocol:any, Source:192.168.247.0/24, Destination:any, Translation: Interface address (Créé par mes soins)
    Interface:WAN, Protocol:any, Source:192.168.248.0/24, Destination:any, Translation: Interface address (Créé par mes soins)

    --- Site B ---
    LAN 10.1.1.1/24
    Open VPN server Peer-to-Peer(SharedKey) UDP/tun Compression activé (Site A)
    IPv4 Tunnel Network 192.168.248.0/30
    IPv4 Remote Network/s 10.1.1.0/24
    Advanced : Rien

    Open VPN server Remote Access SSL/TSL + User Auth UDP/tun Compression activé (Road Warrior)
    IPv4 Tunnel Network 192.168.247.0/24
    IPv4 Remote Network/s 10.1.1.0/24
    Dynamic IP : actif
    Address Pool : actif
    Advanced :  push "route 192.168.248.0 255.255.255.0";
      push "route 192.168.100.0 255.255.255.0 192.168.248.1";

    Rules WAN : de base Pfsense + Ouverture pour les port OpenVPN
    Rules LAN : de base Pfsense (Anti-Lockout Rule) +
    action:pass, Interface:LAN, TCP/IPv4, Protocol:any, Source:LANnet, Destination:any
    Rules OpenVPN
    action:pass, Interface:OpenVPN, TCP/IPv4, Protocol:TCP, Source:any, Destination:any, Destination port range:any

    Firewall: NAT: Outbound  : Manual
    Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:port-500, Translation: Interface address Static port (Auto created rule for ISAKMP - LAN to WAN)
    Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:any, Translation: Interface address (Auto created rule for LAN to WAN)
    Interface:WAN, Protocol:any, Source:127.0.0.0/8, Destination:any, Translation: Interface address port:1024:65535(Auto created rule for localhost to WAN)
    Interface:WAN, Protocol:any, Source:192.168.248.0/24, Destination:any, Translation: Interface address (Auto created rule for OpenVPN server)
    Interface:WAN, Protocol:any, Source:192.168.247.0/24, Destination:any, Translation: Interface address (Auto created rule for OpenVPN server)
    Interface:WAN, Protocol:any, Source:192.168.100.0/24, Destination:any, Translation: Interface address (Créé par mes soins)

    --- Road-Warrior vers Site B ---

    Config de base avec l'export-OpenVPN de Pfsense et client exécuté en administrateur

    Donc :
    la communication entre le Site A et le Site B fonctionne dans les deux sens.
    la communication entre le Road-Warrior et le site B Fonctionne comme voulu.
    par contre la communication du Road-Warrior et le site A (Via le site B) ne fonctionne pas.

    Merci par avance pour votre Aide en espérant que toutes ces informations seront claires



  • 1 . vérifier la table de routage du client lorsque le tunnel est actif. Cela permet de vérifier que les commandes push route sont effectives. Les clients VPN doivent contenir les instruction route-méthode exe et route-délayage 2. Important avec Windows Steven, lire la doc du client open vpn sur ce point.

    2. Sur Pfsense site B il faut une route active pour joindre le lan (ou tout autre réseau) de site A. Une route statique peut être configurée dans Pfsense.
    Et bien sur il faut une route retour sur Pfsense site À pour joindre le réseau VPN.

    3. Basiquement je ne vois pas de justification à ces règles outbound nat. Sous réserve d'informations complémentaires, elles ne servent à rien.

    4. Pourquoi un /30 sur 192.168.248.0 ? D'autant que plus loin il est utilisé en /24.

    push "route 192.168.100.0 255.255.255.0 192.168.248.1"

    Vous êtes sûr ?

    Interface:WAN, Protocol:any, Source:10.1.1.0/24, Destination:port-500, Translation: Interface address Static port (Auto created rule for ISAKMP - LAN to WAN)

    Vous faites de l'ipsec ?

    A mon avis on remet tout à plat et on réfléchi papier crayon avant de toucher à la configuration. La configuration actuelle donne une impression assez confuse. Et pas un mot sur l'adressage wan !