IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> pfsense derriere un routeur, pfsense derriere un routeur
Options
CaptPicard
posté 3 Jul 2020, 10:56
Message #1


Nouveau Membre


Groupe : Membres
Messages : 5
Inscrit : 3 Jul 2020
Membre no 211 999



Bonjour,
Voila des semaines que je cherche une solution en vain, mon niveau n'est pas exemplaire en réseau.

Coté Serveur :
J'ai un serveur openvpn sur windows serveur (Dédié OVH) 145.239.xxx.xxx
une carte réseau local pour le 145.239.xxx.xxx

Carte Ethernet Ethernet 2 :

Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::7017:20a0:xxxx
Adresse IPv4. . . . . . . . . . . . . .: 145.239.xxx.xxx
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : 145.239.xxx.254


une carte TAP qui indique :

Carte inconnue TAP :

Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::ad12:ca37xxxx
Adresse IPv4. . . . . . . . . . . . . .: 10.8.0.1
Masque de sous-réseau. . . . . . . . . : 255.255.255.252
Passerelle par défaut. . . . . . . . . : vide

et une carte supplémentaire :
Carte Ethernet Ethernet :

Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::6555:adf6xxx4
Adresse IPv4. . . . . . . . . . . . . .: 192.168.6.1
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : vide

server.ovpn

port 1194
proto udp4
dev tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\XXX.crt"
key "C:\\Program Files\\OpenVPN\\config\\XXX.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"
#tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 0
#remote-cert-tls client
mode server
#tls-server
auth SHA256
server 10.8.0.0 255.255.255.0
#user nobody
#user nobody
#group nogroup
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-7option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
key-direction 0
client-to-client
push "route 192.168.6.0 255.255.255.0"



Coté client :

un pfsense chez nous sur notre ip fixe public 213.215.xx.xxx lui même connecté sur un routeur asus AC68 (plage 192.168.5.10 - 200 pour les PC)

DHCP fixe du pfsense 192.168.5.2
2em cable tiré du pfsense (au cas où en 192.168.5.3 dhcp asus)


Connexion VPN ok ça c'est bon, ETAT VPN :
Client UDP4:11628 up 192.168.5.2:11628 10.8.0.6 145.239.xxx.xx:1194

depuis les outils du pfsense, ça ping 192.168.6.1 / 10.8.0.1 / 10.8.0.6 / 192.168.5.1 et je vois le port RDP 3389 à travers 192.168.6.1 / 10.8.0.1 seulement

depuis les outils du routeur, ça ping seulement les machines en 192.168.5.X

Interface :
igb0 branché au routeur asus (attribution en 192.168.5.3 interface graphique du pfsense accessible en supplément de 5.2)
igb1 que j'ai nommé WAN (attribution en 192.168.5.2 interface graphique principal et arrivé du VPN si je comprend bien/
ovpnc2 nommé automatiquement OPT1

Passerelles :
WAN 192.168.5.1
OPT1 10.8.0.5


Ce que je n'arrive pas à faire :

C'est rendre accessible au pc de la plage routeur asus 192.168.5.10 - 200 la connexion VPN qui arrive sur le pfsense.

J'ai tenté des routages en tout genre, ouverture pare feu etc ... je ne comprend pas comment procéder et comment vérifier que cette liaison fonctionne, rejoindre le tunnel.


Merci d'avance de votre aide

Ce message a été modifié par CaptPicard - 3 Jul 2020, 13:02.
Go to the top of the page
 
+Quote Post
radioman
posté 3 Jul 2020, 12:58
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 984
Inscrit : 30 Sep 2002
Lieu : Limoges
Membre no 3 870



pas certain que dévoiler en clair toutes ces adresses IPV6 soit une bonne idée:

autant en IPV4 avec le NAT/PAT ça brouille les pistes, autant là tu donnes direct la clé de la porte …


--------------------

 MacBook Pro 16" core I9 (2020) type 16.1 / 2,3 Ghz / 32 Go / 1To / Big Sur 11.6.1 (depuis la sortie de Monterey)
 Imac Alu 24" core 2 duo (mid 2007) type 7,1 / 2,4 Ghz / 4 Go / SSD Crucial C300 256 Go Samsung 840 EVO 512 Go / El Capitan 10.11.6
 Imac G4 800 15" (2002) type 4,2 60 Go 80Go 7200tr / 768 Mo / Pioneer DVR 104 111D / Tiger 10.4.11
 SSD externe M2 FireCuda 520 2To test Monterey / Time Machine MBP 16
 DD externe 4 To Time Machine MBP 16
 DD externe 2 To Big Sur Beta bidouilles
 DD externe AluICE 500 Go Time Machine iMac 24
 Dock "Freecom" + DD Bidouilles 10.4 / 10.5 / 10.6 / 10.7 / 10.8 / 10.9 / 10.10 / 10.11 / 10.12 / 10.13 / 10.14
 Dock double "Advance Dual Easy Docking" pour cloner les disques …
 imprimante-scanner A3 Epson Workforce 7620 / iPad 2 32 Go / iPhone 8+ Red 256 Go
Go to the top of the page
 
+Quote Post
CaptPicard
posté 3 Jul 2020, 13:01
Message #3


Nouveau Membre


Groupe : Membres
Messages : 5
Inscrit : 3 Jul 2020
Membre no 211 999



Citation (radioman @ 3 Jul 2020, 12:58) *
pas certain que dévoiler en clair toutes ces adresses IPV6 soit une bonne idée:

autant en IPV4 avec le NAT/PAT ça brouille les pistes, autant là tu donnes direct la clé de la porte …


elles sont inactives, mais tu as raison autant les supprimer
Go to the top of the page
 
+Quote Post
Polo35230
posté 3 Jul 2020, 14:29
Message #4


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 530
Inscrit : 2 Feb 2011
Membre no 164 276



Salut,
J’ai du mal à comprendre comment tout ça s’articule chez toi entre tes différents équipements…
Tu as une Box?
C’est comme ça?:
Internet------Box-ifLAN——-ifWAN (igb0)-pfSense-ifLAN(igb1)——-ifWAN-Routeur-ifLAN———PCs
L’adresse IP locale du serveur OVH est 10.8.0.1 ?

Si c’est ça, il y a un pb.
Les interfaces igb0, igb1 et ifLAN du Routeur sont toutes en 192.168.5.xxx C’est tout juste pas possible.
Le principe:
Tu dois avoir 3 plans IP différents sur ton réseau local:
Un plan IP entre la Box et le WAN du pfSense (par exemple 192.168.1.0/24)
Un plan IP entre le LAN du pfSense et le port WAN du routeur (par exemple 192.168.10.0/24)
Un plan IP entre le Port LAN du routeur et tes PCs (par exemple 192.168.5.0/24)

Supposons que la ifLAN de la Box soit en 192.168.1.1/24 et quelle soit serveur DHCP
IfWAN (igb0) de PFsens aura alors (si il est en DHCP auto) une adresse en 192.168.1.xxx/24 (mais tu peux la mettre en fixe, si tu veux)

Tu peux configurer l’interface igb1 du PFsense en 192.168.10.1/24 et serveur DHCP. ifWAN du routeur aura alors (si il est en DHCP auto) une adresse en 192.168.10.xxx/24 (mais tu peux la mettre en fixe, si tu veux)

Tu peux configurer le port ifLAN du routeur en 192.168.5.1 et serveur DHCP (plage 192.168.5.10 à 200)
Les PCs, si ils sont en DHCP auto récupéreont alors des adresses en 192.168.5xxx/24

Ensuite, Pour le VPN, (OPT1), si les machines chez OVH sont sont en 10.8.xxx.yyy, il faut bien sûr que OPT1 soit également en 10.8.xxx.yyy
Il faudra également rajouter une route dans le routeur ASUS pour envoyer 10.8.0.0 vers l’interface du VPN OPT1, sinon, les PCs ne passeront pas le routeur…

Après, il y a les règles et le serveur VPN du Firewall de pfSense à mettre en oeuvre.
Pas simple, tout ça…
Go to the top of the page
 
+Quote Post
CaptPicard
posté 3 Jul 2020, 15:08
Message #5


Nouveau Membre


Groupe : Membres
Messages : 5
Inscrit : 3 Jul 2020
Membre no 211 999



Pas simple en effet schématiquement c'est plutôt ça :
Code
Serveur WIN OVH 1 -> VPN 10.8.0.1> IP PUB > INTERNET > RAD ADVA FIBRE > ROUTEUR ASUS 192.168.5.1 > PFSENSE 192.168.5.2  > VPN 10.8.0.6
                2 - >  192.168.6.1                                                               > PC1 192.168.5.10
                                                                                                 > PC2 192.168.5.11 etc...

192.168.5.1 et 192.168.5.10 ne ping pas 10.8.0.6 ou 192.168.6.1
alors que 192.168.5.2 ping bien 10.8.0.1 + 10.8.0.6 + 192.168.5.1 + 192.168.6.1 (logique puisque c'est le VPN lui même)

Est ce que c'est plus clair ? Merci infiniment pour les informations déja données

Ce message a été modifié par CaptPicard - 3 Jul 2020, 15:11.
Go to the top of the page
 
+Quote Post
Polo35230
posté 3 Jul 2020, 17:20
Message #6


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 530
Inscrit : 2 Feb 2011
Membre no 164 276



Alors, oui, je comprends mieux...
Donc,le port WAN de ton routeur est connecté au boîtier Fibre et c'est le routeur qui fait office de BOX?
Si je regarde ton schéma, les PCs sont connectés à ton routeur, au MÊME niveau que le pfSense?
Si c'est ça, c'est pas bon, parce que l'intérêt, c'est de mettre le pfSense en coupure entre l'accès internet et le réseau local, parce que là, pour accéder au VPN, les PCs entrent par le port WAN du Pfsense pour passer par le VPN, et ressort par ce même port WAN pour aller chez OVH.
Ça ne peut pas marcher; Dans un firewall, on entre par une interface, et on sort par une autre.
Perso, je ferais plutôt ça:
Serveur WIN OVH 1 -> VPN 10.8.0.1> IP PUB > INTERNET > RAD ADVA FIBRE > ROUTEUR ASUS 192.168.5.1 > PFSENSE 192.168.5.2 > VPN 10.8.0.6------Switch----PCs 192.168.5.10 à 200
Et pour le WIFI, passer par celui du PFsense.
Là, ça marchera, parce que les PCs auront comme passerelle 192.168.5.2, et , sur un PC, une adresse en 10.8.x.y sera en envoyée dans le pfSense, et trouvera l'interface logique OPT1 du VPN (en 10.8)
Pour les adresses en 192.168.6..x, il faut voir si dans pfSense, tu peux associer à OPT1 , en plus de 10.8.0.6 une deuxième adresse, par exemple 192.168.6.6, de façon à ce que le VPN véhicule 2 plans IP distincts


Ce message a été modifié par Polo35230 - 3 Jul 2020, 17:51.
Go to the top of the page
 
+Quote Post
CaptPicard
posté 6 Jul 2020, 08:34
Message #7


Nouveau Membre


Groupe : Membres
Messages : 5
Inscrit : 3 Jul 2020
Membre no 211 999



Citation (Polo35230 @ 3 Jul 2020, 17:20) *
Alors, oui, je comprends mieux...
Donc,le port WAN de ton routeur est connecté au boîtier Fibre et c'est le routeur qui fait office de BOX?
Si je regarde ton schéma, les PCs sont connectés à ton routeur, au MÊME niveau que le pfSense?
Si c'est ça, c'est pas bon, parce que l'intérêt, c'est de mettre le pfSense en coupure entre l'accès internet et le réseau local, parce que là, pour accéder au VPN, les PCs entrent par le port WAN du Pfsense pour passer par le VPN, et ressort par ce même port WAN pour aller chez OVH.
Ça ne peut pas marcher; Dans un firewall, on entre par une interface, et on sort par une autre.
Perso, je ferais plutôt ça:
Serveur WIN OVH 1 -> VPN 10.8.0.1> IP PUB > INTERNET > RAD ADVA FIBRE > ROUTEUR ASUS 192.168.5.1 > PFSENSE 192.168.5.2 > VPN 10.8.0.6------Switch----PCs 192.168.5.10 à 200
Et pour le WIFI, passer par celui du PFsense.
Là, ça marchera, parce que les PCs auront comme passerelle 192.168.5.2, et , sur un PC, une adresse en 10.8.x.y sera en envoyée dans le pfSense, et trouvera l'interface logique OPT1 du VPN (en 10.8)
Pour les adresses en 192.168.6..x, il faut voir si dans pfSense, tu peux associer à OPT1 , en plus de 10.8.0.6 une deuxième adresse, par exemple 192.168.6.6, de façon à ce que le VPN véhicule 2 plans IP distincts


Niveau Architecture chez mon client je ne peu pas faire autrement malheureusement. Il faut que je trouve une astuce pour sortir du pfsense vers l'ensemble des machines du parc.
Niveau paramétrage je suis assez perdu et peut être comme tu dis que techniquement c'est tout juste impossible dans la configuration actuelle.

Ce message a été modifié par CaptPicard - 6 Jul 2020, 08:34.
Go to the top of the page
 
+Quote Post
Polo35230
posté 6 Jul 2020, 09:48
Message #8


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 530
Inscrit : 2 Feb 2011
Membre no 164 276



Si j’ai bien compris, tu subis l’architecture réseau de ton client, sans pouvoir la modifier. Tu as récupéré uns conf où le Firewall n’est pas en coupure entre internet et le LAN. Pas bon tout ça…
Dans la conf actuelle, les pings qui marchent, et ceux qui marchent pas, c’est tout a fait logique.

Pour moi, sans changer l’architecture réseau, la seule solution, c’est de mettre des clients VPN dans tous les PC, mais là, le pfSense ne servira plus à rien. C’est pas le but, j’imagine?

En regardant la solution que j’avais proposée plus haut, mais que tu ne peux pas mettre en oeuvre chez ton client, je m’aperçois qu’il y a une erreur.
Pour le fun, je la corrige:
Serveur WIN OVH 1 -> VPN 10.8.0.1> IP PUB > INTERNET > RAD ADVA FIBRE > ROUTEUR ASUS 192.168.5.1 > 192.168.5.2 PFSENSE (serveur DHCP)192.168.6.1/24 > VPN 10.8.0.6------Switch----PCs 192.168.6.10 à 200

Ce message a été modifié par Polo35230 - 6 Jul 2020, 10:11.
Go to the top of the page
 
+Quote Post
CaptPicard
posté 6 Jul 2020, 10:24
Message #9


Nouveau Membre


Groupe : Membres
Messages : 5
Inscrit : 3 Jul 2020
Membre no 211 999



Citation (Polo35230 @ 6 Jul 2020, 09:48) *
Si j’ai bien compris, tu subis l’architecture réseau de ton client, sans pouvoir le modifier. Tu as récupéré uns conf où le Firewall n’est pas en coupure entre internet et le LAN. Pas bon tout ça…
Dans la conf actuelle, les pings qui marchent, et ceux qui marchent pas, c’est tout a fait logique.

Pour moi, sans changer l’architecture réseau, la seule solution, c’est de mettre des clients VPN dans tous les PC, mais là, le pfSense ne servira plus à rien. C’est pas le but, j’imagine?

En regardant la solution que j’avais proposée plus haut, mais que tu ne peux pas mettre en oeuvre chez ton client, je m’aperçois qu’il y a une erreur.
Pour le fun, je la corrige:
Serveur WIN OVH 1 -> VPN 10.8.0.1> IP PUB > INTERNET > RAD ADVA FIBRE > ROUTEUR ASUS 192.168.5.1 > 192.168.5.2 PFSENSE (serveur DHCP)192.168.6.1/24 > VPN 10.8.0.6------Switch----PCs 192.168.6.10 à 200


Je vois que tu as tout compris à ma problématique. y compris sur l’alternative que j'avais envisagé qui n'est pas réalisable sur les poste client.
ça fait tellement longtemps que je suis sur le sujet que je perd carrément pied et dans le brouillard.

Pour rien te caché la finalité était de rendre fonctionnel Solidnet (distributeur de licence de solidworks) a distance, pour un parc de pc d'une entreprise qui a déjà une grosse infra déjà bien établie.
Comme j'ai crus comprendre que Solidnet ne fonctionnait qu'en réseau local, j'ai alors choisi cette possibilité de VPN pour éliminer ce pré requis. et choisi d'installer un boitier pfsense qui aurait servit de client et de diffusion sur le routeur du client (et des machines qui y sont raccordées).
Je me rend compte que c'est peu réaliste au final . Et que les réglages du pfsense me sont obscurs à part pour rendre le VPN fonctionnel, mon niveau technique réseau faible n'aide pas.

Merci pour tes précieux retours en tout cas Polo ça permet de comprendre ce qui pêche.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 28th March 2024 - 13:29