Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Routage VPN Site distant

    Français
    4
    6
    1.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      KARMAZ
      last edited by

      Bonjour,

      Contexte:
      PME multisite reliés entre eux par un VPN MPLS, pfsense 2.2.x sur chaques sites WAN + LAN. (après ipcop…)

      Besoin:
      Etablir un routage fiable pour les communications intersite.

      Interface WAN: Sortie ADSL locale sur chaques sites, pfsense défini en passerelle par défaut sur les postes.

      Interface LAN: adressage site A 10.10.0.0/24  site B 10.20.0.0/24 site C 10.30.0.0/24 chaque routeur VPN est adressé dans le même range en 10.x.0.2  et branché sur le switch ou se trouve la patte LAN du pfsense.

      J'ai mis sur chaque pfsense dans system>routing une gateway sur l'interface LAN avec l'adresse du routeur VPN local puis la route associé à cette gateway vers le réseau à atteindre.

      Cette config fonctionnait avec des postes sous XP, plus avec W7.
      J'arrive à joindre le site distant mais pas de manière fiable, pertes de connexions..., le seul moyen provisoire étant de mettre une route persistante sur chaque poste vers le réseau de destination.

      Questions:

      -Ai je fait une erreur dans mon routage ou même dans la logique, manque t'il des règles sur l'interface LAN de et vers les réseaux distants (il n'y en a pas, en faut t'il ?)

      -Devrais je avoir une autre interface ou VLAN  sur pfsense avec ce routeur VPN dessus et changer l'adresse de mon LAN ?

      -Ce routage devrait t'il se faire avant pfsense par mes switchs niveau 3 via des VLAN et désigner le switch local en passerelle par défaut sur les postes ?

      Merci!

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Enfin un poste initial avec de l'information pour comprendre le problème !
        Confirmez moi que le routeur vpn et Pfsense sont bien deux équipements différents et dans ce cas une petite copie d'écran de la configuration ajouté dans system -> routing.
        Sur le principe ça me semble bien.
        J'ai une config en prod chez un client avec quelque chose d'un peu similaire, les postes Win 7 ne posent pas de problème pour utiliser le routage. C'est similaire pas identique, donc méfiance.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          (On voit qu'un nouveau est tout à fait capable de lire les fils étiquetés en haut du forum et donc il utilise le formulaire : c'est bien, continuez …)

          D'après ce que je comprends

          • il y a 3 sites : A avec un lan en 10.0.0.0/24, B avec 10.20.0.0/24, et C avec 10.30.0.0/24
          • sur chaque site, il y a un pfsense (LAN/WAN avec WAN de type ADSL), et un routeur fourni par opérateur faisant VPN en intersite avec MPLS.
          • chaque pfSense dispose d'une route vers les autres sites via le routeur opérateur

          Un PC a une passerelle par défaut, qui est naturellement le pfsense du site.
          Et il n'accède pas, de façon fiable, aux autres sites ainsi.
          Il accède de façon fiable aux autres sites si on ajoute les 2 routes statiques logiques via le routeur opérateur.

          J'ai bien compris ?

          Vous utilisez la façon logique de faire, à mon avis. Mais elle fonctionne mal !

          Un façon sûre d'y arriver est de brancher différemment les routeurs opérateur :
          je connecterai le routeur opérateur directement au pfsense via une interface propre, et je demanderais des modifs à l'opérateur.

          pfsense A :

          • 3 interfaces : LAN + WAN + RPV (Reseau Privé Virtuel)
          • LAN : 10.0.0.0/24
          • WAN : idem actuel
          • RPV : 10.0.1.1/24 + câble vers routeur opérateur 10.0.1.2/24
          • route vers B et C via routeur opérateur 10.0.1.2

          Idem pour site B et C

          Demande à l'opérateur :

          • changement ip interne : 10.0.0.2 vers 10.0.1.2
          • ajout route : 10.0.0.0/24 via 10.0.1.1
          • idem site B et C

          C'est un peu de boulot, et l'opérateur n'aimera pas ça mais cela sur de fonctionner ...

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            @KARMAZ:

            -Ai je fait une erreur dans mon routage ou même dans la logique, manque t'il des règles sur l'interface LAN de et vers les réseaux distants (il n'y en a pas, en faut t'il ?)

            Probablement pas sans quoi ça ne fonctionnerait pas du tout. Ce fonctionnement irrégulier mérite d'être approfondi. Mais je ne suis pas surpris que ça fonctionne mal car la route sur l'interface LAN de pfSense vers le réseau MPLS fait parcourir aux paquets un chemin asymétrique (sans doute la raison pour laquelle une route configurée sur le poste fonctionne).
            Il est possible de pousser, en utilisant l'option DHCP 121, une route statique pour les clients de ton LAN. Au moins en attendant de refaire le design de ton réseau.

            Parallèlement, il serait intéressant de voir si il y a des paquets perdus au niveau de pfSense ou des erreurs d'aiguillage.

            -Devrais je avoir une autre interface ou VLAN  sur pfsense avec ce routeur VPN dessus et changer l'adresse de mon LAN ?

            C'est effectivement une option qui consiste à faire passer tout le trafic via pfSense, lequel dispose d'une interface vers le réseau MPLS et une interface vers internet.

            -Ce routage devrait t'il se faire avant pfsense par mes switchs niveau 3 via des VLAN et désigner le switch local en passerelle par défaut sur les postes ?

            Je pense que cette solution fonctionne également: la route par défaut sur le LAN est le routeur qui dirige les paquets vers le réseau MPLS lorsque ceux-ci sont destinés aux sites distants et vers pfSense pour l'accès internet. Mais dans ce cas, pfSense ne contrôle que les flux de/vers internet.
            Si il n'y a pas de velléité de contrôler les flux entre les sites, c'est acceptable.

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • K
              KARMAZ
              last edited by

              Merci à tous pour vos réponses ! Le problème a été cerné du premier coup (pas toujours évident)

              Cela confirme mon intuition pour moi les paquets se perdent en route car le routeur opérateur s'attend à répondre au client et pas un intermédiaire (pfsense) c'est comme s'il y'avait trop de saut.

              Le fait de le mettre sur une patte VPN et surtout d'avoir une route explicite dans le routeur opérateur envoyant tout le trafic vers pfsense semble être LA solution.
              D'autre part cela me permettrait de faire du contrôle de flux, de superviser la charge et la disponibilité des liens…

              Oui mais, comme l'a pressenti jdh ... c'est une solution opérateur MPLS avec un plan d'adressage assez strict (contrat cadre national) et il semble improbable que l’opérateur (Agrume) veuille changer cela et encore moins ajouté une route vers un équipement inconnu sur une solution non gérée (vendue) par eux de bout en bout.
              Je tenterai néanmoins cette piste.

              Cela n'explique pas pourquoi cela fonctionne chez d'autres, fonctionnait sur xp, et de mémoire fonctionnait sur un site avec un switch principal non manageable ?

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                C'est facile pour moi de décrire ce qui se passe : c'était exactement la situation du réseau de mon entreprise actuelle quand je l'ai prise en main.
                C'est juste énervant de devoir ajouter une route statique sur chaque micro et cela est quasi impossible pour les portables des utilisateurs qui se déplace sur l'autre site !

                Je décrit une solution sûre et efficace, mais contraignante !

                En alternative, je connecterai le routeur à une interface réseau dédiée du pfSense et activerai le mode bridge entre interface LAN et interface RPV.
                Peut-être que cette solution simple fonctionne : elle est en tout cas assez facile à tester et sans modif ailleurs que pfSense.
                Il est possible que ce bridge remette les choses 'au carré' ?

                Le débit sera visible via les graphes RRD sur l'interface : bien vu !

                Concernant le nombre de saut, c'est possible mais assez usuellement on a 31 sauts possibles entre 2 machines (il me semble que c'est le défaut).
                On peut tester cela avec 'ping -t' (sous Linux) : -t = ttl = nb de routeurs traversés; en décrémentant le nombre, on finit par ne plus avoir de réponses au ping !

                Dans mon cas, j'ai renoncé au MPLS au profit de lignes SDSL plus importantes avec gestion IPSEC intégrée dans mes pfSense (dès la fin de contrat).
                J'y ai perdu du débit à cause du cryptage IPSEC , mais cela devrait changer vu que je devrais avoir des liaisons fibre (pro = non multiplexé) bientôt …

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.