The pfSense Store

Author Topic: Client VPN ne communique pas avec le LAN  (Read 239 times)

0 Members and 1 Guest are viewing this topic.

Offline pornicFR

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Client VPN ne communique pas avec le LAN
« on: August 09, 2017, 05:20:32 am »
Bonjour à tous,

Je vous explique ma situation :
Je voudrais connecter mon pfsense en client d'un réseau openVPN de sorte que tous les périphériques du LAN derrière puissent accéder aux périphériques sur le réseau VPN.

Mon LAN est en : 192.168.0.0/24
Mon VPN est en : 10.43.0.0/24
Ma version : 2.3.3-RELEASE-p1 (amd64)
built on Thu Mar 09 07:17:41 CST 2017
FreeBSD 10.3-RELEASE-p17

- Le tunnel VPN se monte sans problèmes
- JE PINGUE MEME ! depuis le pfsense sur le VPN
- mais je ne pingue pas du lan vers le VPN...

J'ai essayé :
- d'ajouter dans les custom option de mon client pfsense : route 192.168.0.0 255.255.255.0 IPPUBLIQUEDISTANTE
- D'ajouter différentes rules dans la section "openvpn" du pare-feu, dans la dernière je laissait tout passer !

Puisque le pfsense pingue, c'est que le vpn est fonctionnel, mais pfsense refuse de donner accès à mon Lan apparemment.

Un petit coup de pouce ? ::)

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #1 on: August 09, 2017, 07:51:35 am »
Pouvez vous décrire la configuration dans laquelle vous testez ?
Notamment la configuration réseau et l'emplacement de la machine depuis laquelle le test d'accès au lan échoue ?

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1719
  • Karma: +85/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #2 on: August 09, 2017, 11:47:49 pm »
Puisque le pfsense pingue, c'est que le vpn est fonctionnel, mais pfsense refuse de donner accès à mon Lan apparemment.

Je pense que ta conclusion est un peu hâtive  ;) et ta méthode un peu "tronquée"

1 - A mon avis, faire un ping "du tunnel" ne présente pas d'intérêt. Qui va essayer d'accéder au tunnel, à part le client et le serveur VPN eux-même ?
2 - Si ton client OpenVPN (ici pfSense) se connecte au serveur et que le tunnel est établi, il faut ensuite, et tu t'en doutes puisque tu as commencé à chercher dans cette direction, que les firewall de part et d'autre, autorisent les flux
3 - et pour que des équipements de part et d'autre arrivent à communiquer, il faut que, de part et d'autre, les routes vers les réseaux distants soient connues, soit au niveau des machines qui veulent échanger soit au niveau des passerelles par défaut.

Une description un peu plus globale de ton environnement est en effet nécessaire pour se faire une idée de quel est le problème.

Offline Censor

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #3 on: August 10, 2017, 04:44:20 am »
Salut,
Ce ne serait pas plutôt un problème d'IP Public communiqué? Je parle côté sécurité de paquets de données 

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #4 on: August 10, 2017, 05:04:50 am »
Si le tunnel est monté, la question ne se pose pas. Je ne comprend rien à la seconde phrase.

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1719
  • Karma: +85/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #5 on: August 10, 2017, 05:07:14 am »
Moi non plus mais au moins je suis rassuré de ne pas être le seul 😁

Offline pornicFR

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #6 on: August 10, 2017, 08:16:33 am »
Merci à tous pour vos réponses :

Chris : En fait, quand je dis que je pingue sur le réseau, c'est que depuis le pfsense dans l'UI "Diagnostics", je pingue l'adresse IP VPN du périphérique qui m'intéresse sur ce VPN ainsi que la passerelle distante bien sûr. Je ne sais pas si ma méthode est "tronquée", mais si je pingue un périphérique bien précis dans le réseau distant, j'ai tendance à penser que le tunnel est bien établis, non ?
Par ailleurs, côté firewall distant, c'est un fournisseur de service qui me fournit ce service VPN, donc rien à chercher de ce côté là, le flux est forcément ouvert (c'est leur spécialité)

J'essaie de schématiser :
Mon LAN-----------------------------PFsense------------------------------------------------Fournisseur VPN-------------------------------------Mon périphérique

PC1--
        ---
PC2 -----------(192.168.0.0/24)MonPfsense(10.43.0.0/24)-----------(10.43.0.0/24)Gateway du fournisseur VPN--------------------10.43.0.10 Mon périphérique VPN distant que je pingue avec le Pfse.
        ---
PC3--

J'espère que je suis clair :o
C'est ce qui m'amène à penser que le VPN est bien monté sur le pfsense (puisque je pingue le périphérique qui m'intéresse derrière la gateway du fournisseur VPN), mais que le Pfsense n'établit pas de routes pour permettre à mon Lan d'accéder aux périphériques de ce VPN.

Vous me suivez ? ;D

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1719
  • Karma: +85/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #7 on: August 10, 2017, 08:31:34 am »
J'avoue ne pas comprendre comment tes périphériques distants "derrière" le serveur VPN distant peuvent avoir une IP dans le même range que le tunnel lui même.

Normalement, le serveur VPN auquel tu te connectes annonce la route du réseau que ce serveur sert. Et donc ton client VPN (ici pfSense) connait cette route.
Tu peux d'ailleurs le vérifier sur le serveur pfSense.
Ensuite, comme pfSense est probablement ta gateway par défaut, il suffit que lui connaisse la route. Mais est-ce bien le cas ?
Et si c'est le cas, est-ce que du point de vue du réseau distant, la route vers ton LAN est connue ?

Offline jdh

  • Hero Member
  • *****
  • Posts: 1638
  • Karma: +43/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #8 on: August 10, 2017, 09:42:27 am »
(Quand on dit et répète qu'il y a un formulaire A LIRE EN PREMIER ...)

Dans le cas d'un réseau site à site avec client OpenVPN et serveur OpenVPN, le bon schéma est :


réseau 1 <-> pfSense (client) <-> Serveur OpenVPN <-> réseau 2

Il y a donc 3 réseaux distincts (et avec adressages différents) :

réseau 1 : les PC et l'interface LAN du pfSense Client
réseau 3 : pfsense (interface TUN ou ovpn?) et le serveur OpenVpn
réseau 2 : l'interface lan du serveur OpenVPN et les PC côté Serveur

Il est bien évident que les 3 réseaux doivent être bien distincts.
Donc vos tests sont nuls et sans significations ...


Au lieu de faire faire des suppositions à vos lecteurs, donnez des détails LARGEMENT plus complets.
(Et arrêtez d'utiliser des expressions ambigües comme 'périphériques' !)
Vous êtes débutant, alors n'hésitez pas à décrire votre situation sans 'filtrer' les infos ...

Comme on suppose que vous n'êtes pas l'administrateur du serveur VPN, l'avez vous au moins contacté ?
« Last Edit: August 10, 2017, 10:32:18 am by jdh »
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #9 on: August 10, 2017, 10:17:34 am »
Quote
PC2 -----------(192.168.0.0/24)MonPfsense(10.43.0.0/24)-----------(10.43.0.0/24)Gateway du fournisseur VPN--------------------10.43.0.10 Mon périphérique VPN distant que je pingue avec le Pfse.
Je ne vois pas bien comment cela peut fonctionner. Il y a un problème soir d'adressage réseau, soit de description. Ou les deux.
Quote
périphérique VPN distant
Nommez tout simplement cette machine PC1 plutôt que ce vocabulaire ésotérique.
10.43.0.10 est probablement l'extrémité distante du tunnel vpn et probablement pas l'ip de PC1.
On nage dans le bonheur ...

Offline pornicFR

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #10 on: August 14, 2017, 04:03:30 am »
Ok, je la refait en copiant directement les champs de la charte, en espérant que ce sera plus clair :

Contexte : Le Pfsense est la passerelle principale dans une PME donc à usage Pro, pour ma part je suis administrateur système et la solution a 1an environ.


Besoin : Faire communiquer les ordinateurs du LAN avec des périphériques (qui sont des routeurs 4G) situés sur un réseau OpenVPN dont le Pfsense est client.


Schéma :

WAN (modem/routeur/box) : 1 seul WAN sur mon pfsense avec une IP publique Fixe, le lien est une fibre dédiée 50Mbps

LAN : 1 seul LAN en 192.168.0.0/24 avec 25 ordinateurs environs et à peu près autant de téléphones en VoIP ainsi que quelques serveurs dans ce même LAN.

DMZ : Pas de DMZ

WIFI : 1 émetteurs wifi sur le LAN, pas de cloisonnement.

Autres interfaces : Aucune

Règles NAT : Forward en PJ, Rien dans 1:1 et Outbound en PJ. Je précise, que ce serveur dispose de 2 serveurs OVPN qui fonctionnent très bien et qui ne concernent pas ma problématique actuelle, je le porte simplement à votre connaissance.

Règles Firewall : En PJ

Packages ajoutés : J'ai ajouté simplement le package NtopNG et OpenVPN export client, pas plus à ma connaissance

Autres fonctions assignées au pfSense : Portail captif désactivé, et comme expliqué plus haut serveurs OVPN fonctionnels mais à dissocier du client VPN qui me préoccupe actuellement


Question : Comment faire pour parvenir à pinguer les routeurs connectés à mon VPN dont Pfsense est client avec un ordinateur de mon LAN

Pistes imaginées

Recherches : Tentative d'ajout de quelques règles dans le pare-feu que vous pouvez voir dans mes screens. Autant dans les règles WAN, LAN que OVPN. Je parviens à Pinguer l'addresse d'un de mes routeur VPN depuis le Pfsense, mais je n'arrive pas à pinguer ce même routeur depuis le LAN.


Logs et tests : complément de "Recherches" : J'aimerai bien, mais je ne vois pas quels logs je pourrais extraire ? J'ai regardé les logs du pare-feu, et à aucun moment je ne vois passer de lignes qui correspondrait à un ping initié depuis le LAN vers le VPN. Par ailleurs, j'ai fait des telnet depuis mon pc sur le LAN vers le périphérique VPN et les traceroute s'arrête au pfsense.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #11 on: August 14, 2017, 06:42:48 am »
C'est beaucoup mieux pour comprendre quelque chose.
Quote
Je parviens à Pinguer l'addresse d'un de mes routeur VPN depuis le Pfsense, mais je n'arrive pas à pinguer ce même routeur depuis le LAN.
Les machines du lan disposent elles des informations de routage correctes ? Le problème n'est pas tant de joindre le routeur distant mais les machines qui se trouvent derrière (quel adressage) ...
Quote
Autres interfaces : Aucune
Je vois des règles mentionnant OPT1.

Quote
mais je ne vois pas quels logs je pourrais extraire
Les logs sont activés sur les règles ?

Par ailleurs des règles en double, en triple exemplaires.
Des règles de type "suicidaire" : RDP accessible depuis internet directement !
Un plan d'adressage clair serait bienvenu.

Offline pornicFR

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #12 on: August 14, 2017, 07:11:16 am »
Salut CCNET,

Quote
Les machines du lan disposent elles des informations de routage correctes ? Le problème n'est pas tant de joindre le routeur distant mais les machines qui se trouvent derrière (quel adressage) ...
C'est à dire ?... Le réseau local est en 192.168.0.0/24, le système de VPN de notre fournisseur est un peu particulier, les routeurs VPN distants attribuent une adresse IP fixe sur le réseau VPN à tous les périphériques qui se trouvent derrière. Donc le routeur distant a l'adresse 10.43.0.254 et le périphérique qui est derrière (carte électronique) a l'adresse IP 10.43.0.10

Quote
Je vois des règles mentionnant OPT1.
Il y a effectivement une troisième interface OPT1 physique sur le serveur mais celle-ci n'est raccordée à rien.

Quote
Les logs sont activés sur les règles ?

Par ailleurs des règles en double, en triple exemplaires.
Des règles de type "suicidaire" : RDP accessible depuis internet directement !
Un plan d'adressage clair serait bienvenu.

Non, je n'ai pas activé les logs sur les règles, car je ne sais pas ce que je dois loguer (le Wan ? le Lan ? OpenVPN ? Je filtre sur ICMP pour identifier mes pings ?...)

Pour les règles en double ou en triple, j'essaie de faire le ménage, pfsense crée automatiquement des règles quand on utilise les wizards et j'ai fait beaucoup d'essais, mais je ne veux pas faire d'erreur en supprimant de bonnes règles...
Qu'entends-tu par "plan d'adressage" ?


Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #13 on: August 14, 2017, 07:55:00 am »
1. Faites le ménage. Supprimez OPT1 et toutes les règles qui s"y rapportent.
2.
Quote
C'est à dire ?
Le routage mis en place permet il à une machine du Lan de joindre une ip derrière le routeur VPN de votre fournisseur.
3.
Quote
Qu'entends-tu par "plan d'adressage" ?
Difficile de vous aider efficacement vu les trous dans la raquette ... Comment est géré l'adressage des différents réseaux qui doivent communiquer, quelles règles (je ne parle pas de filtrage), quelles conventions sont utilisées pour attribuer aux équipement une configuration réseau.
Quote
Non, je n'ai pas activé les logs sur les règles, car je ne sais pas ce que je dois loguer (le Wan ? le Lan ? OpenVPN ? Je filtre sur ICMP pour identifier mes pings ?...)
Vous pouvez toujours voir à la volé ce qui se passe avec : Diagnostics / Packet Capture. En filtrant judicieusement pour ne pas être noyé par le trafic qui ne vous intéresse pas.

Offline pornicFR

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Client VPN ne communique pas avec le LAN
« Reply #14 on: August 15, 2017, 03:12:22 am »
1. Hmm.. L'interface OPT1 n'est même pas activée, puis-je serainement supprimer ces règles automatiques sans risque si je souhaite par la suite utiliser OPT1 ? Si oui, je vais les supprimer tout de suite.
2. Alors, ce que je peux dire c'est que ce n'est pas côté fournisseur. Celui-ci m'a indiqué que lorsque l'on se connectait à son service, leur serveur poussait automatiquement les routes nécessaires. Quand je me connecte directement avec OpenVPN sur windows, je pingue immédiatement les adresses 10.43.0.254 et 10.43.0.10
3. Je ne comprend pas bien votre question, les règles en place sont celles dans mes captures d'écran. Une convention pour attribuer une configuration réseau aux équipements ? Je suis désolé, je ne vous suis pas complètement...

Je vais réessayer Packet Capture, mais sur les essais que j'ai fait je n'ai pas réussi à voir mes pings...