VPN remote acces et routage lan to vpn



  • Bonjour a tous,

    Je viens de configurer un VPN sur notre pfsense ( openVPN remote access ( user auth), grâce a ce tuto : https://bzhmarmit.wordpress.com/2012/09/11/pfsense-configuration-dun-acces-vpn-client-sous-pfsense-avec-openvpn-et-authentification-ad/

    les utilisateurs distant peuvent bien se connecter a notre bureau et accéder aux serveurs

    En revanche depuis mon poste impossible de me connecter / pinger les clients,  d'ailleurs depuis le pfsense impossible de pinger les clients, un traceroute depuis le pfsense ne donne rien non plus.

    Je suppose que c'est une question de route mais si mes clients arrivent a communiquer avec les serveurs la liaison se fait bien.

    Au niveau du firewall j'ai essayé d'ajouter deux regles : sur interface lan : ICMP  all et idem sur l'interface OpenVPN

    il y a quelque chose que j'ai loupé ?



  • il y a quelque chose que j'ai loupé ?

    Oui. Nous décrire l'architecture. Je comprend que les connexions vpn des clients fonctionnent. Bien. La suite, je ne comprend rien parce que je ne sais où est le poste qui ne ping pas, l'interface utilisée depuis Pfsense pour cette opération, les règles en place sur les différentes interfaces, …
    Bref il y a pour le moment des dizaines de raisons (des bonnes et des mauvaises)  pour que vous ne puissiez pas faire ce que vous souhaitez.



  • le pfsense est installé sur un bureau dont le LAN a pour réseau : 192.168.220.0/24
    et il a une interface WAN avec une IP publique

    Les laptop se connectent en VPN via l'interface WAN, OpenVPN leur distribue des IP dans le réseau 192.168.250.0/24,  une fois connecté ses clients peuvent accéder aux ressource du LAN ( 192.168.220.0/24 )

    En revanche les machines du LAN ( 192.168.220.0/24 ) ne peuvent pas initier une connexion vers les laptop connectées en VPN.

    Pour mes tests j'ai des règles qui autorise le PING depuis / vers tous les réseaux



  • Et la table de routage :

    Destination         Gateway           Flags   Use Mtu       Netif  Expire
    default                 217.108.154.30        UGS  6083 1500 em1
    127.0.0.1         link#5             UH 16       16384 lo0
    192.168.220.0/24 link#1             U 76207 1500 em0
    192.168.220.254 link#1             UHS 0         16384 lo0
    192.168.222.0/24 192.168.220.1    UGS  396  1500         em0
    192.168.250.0/24 192.168.250.2    UGS  13606 1500 ovpns1
    192.168.250.1 link#7             UHS 0       16384 lo0
    192.168.250.2 link#7             UH 0       1500 ovpns1
    IP publique link#2             U 13203 1500 em1
    IP publique link#2           UHS 0       16384 lo0



  • En revanche les machines du LAN ( 192.168.220.0/24 ) ne peuvent pas initier une connexion vers les laptop connectées en VPN.

    La description est maintenant compréhensible. Ce que vous constatez est normal. Il faut comprendre qu'il n'y a pas un "réseau openvpn" qui serait en 192.168.250.0/24. Chaque client vpn utilise en fait un réseau en /30. Du moins c'est ce qui se fait par défaut avec Openvpn 2.0.9 de mémoire.



  • Humm d'accord, c'est bien se qu'il me semblais a force a chercher

    Qu'elle solution de VPN me conseilles-tu pour mon besoin ? ipsec ?



  • C'est très bien OpenVPN. Un peu de lecture : https://community.openvpn.net/openvpn/wiki/Topology
    Je ne sais pas ce qui est livré avec la toute dernière version de Pfsense pour openvpn. Le fonctionnement en /30 est maintenu pour compatibilité.
    Avec IpSec va se poser la question du client Ipsec pour Windows …



  • merci de ton ccnet,

    je n'avais en effet pas remarqué que mes laptops on des masques en /30
    J'ai pas trouvé de solution pour arriver a mes fins
    même via l'option  " Allow communication between clients connected to this server "

    Surtout que je n'ai que des windows, le seul linux c'est le miens



  • @kiwoody:

    J'ai pas trouvé de solution pour arriver a mes fins
    même via l'option  " Allow communication between clients connected to this server "

    Et si tu décrivais ce que sont ces fins que tu n'arrives pas à atteindre, peut-être que quelqu'un aura une solution ou une piste à te proposer.

    Car le but ne peut pas être uniquement "faire un ping du client" n'est-ce pas  ???  ;)



  • Le but final est surtout pouvoir porter assistance aux  utilisateurs via VNC


Log in to reply