[RESOLU] OpenVPN et accès au réseau local



  • Bonjour,

    J'ai un OpenVPN sur un pfsense 2.2.6 qui fournit une ip en 172.16.10.0/24 aux clients s'y connectant.

    Le LAN du pfSense est en 172.16.0.0/16 et plus précisément le pfSense est en 172.16.7.1/16.
    Son WAN possède une ip publique, par où je rentre.

    J'ai d'autres machines sur différents subnets de 172.16.0.0/16 (172.16.1.X, 172.16.2.X …).
    Via le VPN, je ping bien l'ip LAN du pfSense, mais pas les autres équipements en 172.16.0.0/16.

    Depuis le pfSense, je joins tout le monde sur 172.16.0.0/16.
    Le VPN n'est pas limité dans le firewall du pfSense, ni le LAN (règle * sur l'interface).

    Mon client VPN obtient donc l'ip 172.16.10.6.

    Il peut pinger l'ip de l'interface VPN qui est 172.16.10.1 et l'ip LAN du pfSense (172.16.7.1).
    Impossible de pinger une autre machine (test sur 172.16.1.1) et cette autre machine ne peut pas pinger mon client ni l'ip de l'interface VPN mais ping bien le LAN du pfSense.

    Je vois bien passer le ping sur l'interface lan et vpn du pfSense vers 172.16.1.1 (test) mais pas la réponse.
    Il n'y a pas de firewall sur 172.16.1.1.

    J'ai bien une route vers 172.16.0.0/16 sur mon poste client qui passe par le VPN.

    J'ai oublié quelque chose ?

    Merci.



  • @Shadow:

    J'ai un OpenVPN sur un pfsense 2.2.6 qui fournit une ip en 172.16.10.0/24 aux clients s'y connectant.

    Le LAN du pfSense est en 172.16.0.0/16 et plus précisément le pfSense est en 172.16.7.1/16.
    Son WAN possède une ip publique, par où je rentre.

    J'ai d'autres machines sur différents subnets de 172.16.0.0/16 (172.16.1.X, 172.16.2.X …).

    Je ne comprends pas comment ça peut fonctionner  :o
    le segment réseau dédié au VPN doit être différent du réseau interne mais ce n'est pas le cas chez toi puisque 172.16.0.0/16 recouvre 172.16.10.0/24

    Par ailleurs, quelle est l'utilité d'un tel netmask (/16) ?
    et enfin, avec ce netmask, tu n'as pas vraiment plusieurs subnets ou alors il y a un truc que je ne comprends absolument pas  8)



  • Non, je n'ai qu'un subnet étant en /16, mais c'était juste pour illustrer le fait que je joignais 172.16.7.1 mais pas une autre ip du même réseau.
    J'ai pensé au fait du segment réseau du vpn, je vais essayer sur un autre.



  • Bon, c'était bien ça, je pensais que ça passerait, mais c'est nickel si je me place sur un autre segment.
    Le netmask est large car, par praticité de lecture, j'ai voulu segmenter visuellement les types de machines par leur ip.



  • @Shadow:

    Le netmask est large car, par praticité de lecture, j'ai voulu segmenter visuellement les types de machines par leur ip.

    Le choix du netmask n'est pas complètement anodin.
    D'autan que si tu gères, comme je le pense, tes IP à la main, c'est que tu as peu de machines. Du peux donc maintenir un fichier avec des "zones" pour tes types de machines dans un /24, ce qui représente déjà 254 hosts  ;)
    Et dans ce cas, il convient, "normalement", d'utiliser une adresse dans le range 192.168.x.x, ce qui te permet un nombre de hosts déjà considérable.

    Ce point est à prendre en compte pour des aspects de "taille de réseau" en interne mais également pour des aspects justement liés au VPN:
    si tu choisis une classe A ou B sans considération, le rsique pour que le site distant soit dans un range qui se superpose (même partiellement) augment, ce qui nécessiterait de mettre en œuvre une couche de NAT supplémentaire alors que dans ton cas, ce n'est pas indispensable.

    Je te suggère donc d'une part de lire un peu de littérature sur l'usage des netmasks et de considérer, compte tenu de ta volonté de mettre en œuvre un serveur VPN, le problème potentiel que je décris.


Log in to reply