Discussion :

[djinlemage]

Bonjour,

Je rencontre un souci de configuration ou paramétrage.

Je vous explique le cas :

J’ai un réseau LAN sur une plage d’adresse 192.168.1.0/24
1 routeur opérateur en 192.168.1.3
1 serveur FTP en 192.168.1.200
1 Firewall PfSense en IP WAN 192.168.1.28 et en IP LAN 192.168.1.13

Ce Firewall me sert pour les connexions VPN des clients externes via OpenVPN.
Le VPN est paramétré avec un tunnel 10.0.8.0/24 avec un port spécifique, disons 4040 en UDP.

La connexion VPN marche à merveille, mes clients se connectent pour les bureaux à distance, accès fichier et messagerie sans souci.

Par contre, j’ai un applicatif tiers qui transfert des fichiers via FTP. Mon souci, c’est que via le VPN, le serveur FTP me donne le message d’erreur (pour les tests, j’ai monté un serveur Filezilla) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

421 Rejected command, requested IP address does not match control connection IP.

J’imagine qu’il y a un problème de route ou de NAT mais je ne vois pas quel paramétrage je pourrais faire pour résoudre ce problème (je parle de configuration réseau pas spécifiquement de PfSense)

En local, tout fonctionne bien.

Ce que j’ai testé :

Passer le serveur en passif
Faire du NAT mais là je suis pas sur des paramètre que j’ai dû mettre (quelle IP NATé vers laquelle)

Un tracert me donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
C:\Windows\System32>tracert 192.168.1.200

  1    40 ms    39 ms    40 ms  10.0.8.1
  2    40 ms    39 ms    39 ms  192.168.1.200

En gros pas grand chose.

Merci d’avance de votre aide

[shinmaki]

Bonsoir,

J'ai du mal à comprendre. L'IP WAN et l'IP LAN du pfSense sont dans le même LAN 192.168.1.0/24 ?

Peux-tu fournir un schéma, un debug FTP, un traceroute dans l'autre sens et une capture de paquets ?

A vu de nez, je sens un trafic asymétrique... En VPN, il ne devrait pas y avoir de problème de NAT.

[djinlemage]

Bonjour,

Merci de ton retour.
J'ai un peu avancé et en effet, j'ai modifié la configuration.

J'ai en effet fait un schéma et des Screenshot de mon paramétrage (voir plus bas !

Avec ces modifications, je n'arrive plus à accéder au LAN (sauf l'interface de PFSense ce qui est bizarre) depuis le poste connecté depuis le VPN...

Schéma



Config Firewall



Config LAN



Config WAN



Config OpenVPN

[becket]

Salut

Bon on a perdu le serveur ftp mais il y a pas mal de choses à dire .
Mais je m’arrêterais à la première, c'est de te dire que tu vas avoir des soucis puisque tu utilises la même range sur tes deux sites distants.

Il est évidemment possible de contourner ce problème.

• La solution la plus propre consiste évidemment à changer le range local d'un des deux sites.
• Si Tu n'as pas d'overlaps au niveau ip utilisées, tu pourrais configurer le tout en bridge mode bridge ( tap )
• Après Il te reste les solution bien spaghetti de proxy-arp/nat/ routage ... mais franchement, je déconseille

[djinlemage]

Salut

Merci du retour !!!
Oui pour l'instant on a perdu le FTP.

Je vais déjà tenter de faire fonctionner les clients dans entre les 2 LAN perso/entreprise

a solution la plus propre consiste évidemment à changer le range local d'un des deux sites.

Ça va être très compliqué car le réseau entreprise contient un grand nombre de machine avec IP fixe (imprimantes, serveur, centrales video surveillance etc) et l'autre partie, c'est la partie privée des utilisateurs (range IP en fonction des box Free, Orange, Bbox etc ...)

Si Tu n'as pas d'overlaps au niveau ip utilisées, tu pourrais configurer le tout en bridge mode bridge ( tap )

Je peux très bien dédier une plage d'IP dédiée au VPN dans le réseau entreprise mais est ce que ça va suffire.
Dans le sens ou si je réserve une plage de 10 adresses, par exemple de 192.168.1.80 à 192.168.1.99 cela peut convenir.
Sachant que les client risque d'avoir une adresse entre 192.168.1.1 et 192.168.1.20 (c'est un exemple) et que sur le réseau entreprise, j'ai déjà cette plage d'attribuée.

Après Il te reste les solution bien spaghetti de proxy-arp/nat/ routage ... mais franchement, je déconseille

La dernière solution peut poser des soucis donc on va pas se tirer une balle dans le pied.

Merci en tous cas

[becket]

Si tu n'as qu'un site principal et des "tele-travailleurs", tu n'as pas besoin de te caser la tête, tu dois configurer une session openvpn par device.
Si tu n'as qu'un site principal et quelques petits réseaux locaux, tu peux natter sur base de l'adresse openvpn du site ( même si les doubles nat, c'est pas jojo ... )

[shinmaki]

Bonsoir,

Plus on avance, plus je m'y perds...

Déjà, je suis entièrement d'accord avec becket.

Ensuite, peux-tu préciser si le VPN est monté entre les routeurs distants et le pfSense ou s'il s'agit de postes utilsateurs avec un client VPN installé dessus ? La partie de droite représente un site distant réel ou un site-type d'un utilisateur qui se connecte de chez lui ? Le nuage, c'est Internet ?

Si comme je le pense, il s'agit d'un site entreprise avec une sortie Internet et des PC distants derrière des boxes Internet (pas un VPN de site à site, comme a l'air d'indiquer le schéma), il n'y a plus de problème d'adressage des sites distants. Les postes nomades sont vus par leur IP dans le VPN. Il faudrait vérifier que pfSense sait bien router entre 192.168.1.0/24 et les /32 issus du 10.0.8.0/24 et que le firewall autorise bien le trafic lorsqu'au moins un VPN est monté. Ping, traceroute, route print, route -n, iptables -v -L...

S'il s'agit de VPN de site à site, ça ne peut pas marcher d'après ton schéma à cause de l'adressage et je ne vois pas ce que vient faire le 10.0.8.0/24. Dans ce cas, il vaux mieux éviter le VPN et de mettre en place du NAT vers les serveurs qui t'intéressent.

[shinmaki]

Oops ! Le temps de rédiger mon message, becket avait répondu ! En somme, on est d'accord.

[djinlemage]

Salut salut,

Déjà merci à vous 2 !

Perso je m'y retrouve mais je dois mal m'exprimer. Toutes mes excuses.

Il s'agit bien de poste de travailleurs a distance. (je dois peut être revoir mon schéma )
Et c'est la que je m'y perds...

Si tu n'as qu'un site principal et des "tele-travailleurs", tu n'as pas besoin de te caser la tête, tu dois configurer une session openvpn par device.

Que veux tu dire par config par device ?
Dans ma config, j'ai un user par accès OpenVPN avec des login et mots de passe distincts et sur chaque postes la configuration personnel de l'utilisateur.

Si tu n'as qu'un site principal et quelques petits réseaux locaux, tu peux natter sur base de l'adresse openvpn du site ( même si les doubles nat, c'est pas jojo ... )

Non ce n'est pas du site à site (il est vraiment si moche mon schéma )

Il faudrait vérifier que pfSense sait bien router entre 192.168.1.0/24 et les /32 issus du 10.0.8.0/24 et que le firewall autorise bien le trafic lorsqu'au moins un VPN est monté.

Je pense que c'est la que ça bloque.
La config du Wizard de la création du VPN à fait les règles. Elles ne sont pas bonnes ?

Les réglés en place laissent tout passer, que ce soit sur le LAN ou sur le WAN de PFSense non ?

Merci encore à vous 2 !

[shinmaki]

Bonjour,

Il va falloir aller plus loin que juste regarder la configuration et commencer à troubleshooter...

Je ne connais pas pfSense ni OpenVPN. Je ne peux donc pas te dire où regarder. En revanche, je t'ai donné des indications concernant des points à vérifier et notamment des commandes à taper :
- Sous Windows : ping, tracert, route print
- Sous Linux (pfSense est basé sur BSD et ça doit ressembler) : ping, traceroute, iptables -v -L, route -n

Il doit y avoir possibilité de logguer les connexions réussies et bloquées sur pfSense et des logs sur le client VPN, voire des debugs.

[djinlemage]

Voici les informations (merci encore )

Depuis le PC user qui pour l'exemple récupérer l'IP pour e tunnel 10.8.0.2:

info du client OpenVPN après connexion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Thu Jan 12 15:16:15 2017 OpenVPN 2.3.13 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Nov  3 2016
Thu Jan 12 15:16:15 2017 Windows version 6.1 (Windows 7) 64bit
Thu Jan 12 15:16:15 2017 library versions: OpenSSL 1.0.1u  22 Sep 2016, LZO 2.09
Thu Jan 12 15:16:20 2017 UDPv4 link local (bound): [undef]
Thu Jan 12 15:16:20 2017 UDPv4 link remote: [AF_INET]IpPUBLIC:PORT
Thu Jan 12 15:16:20 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jan 12 15:16:21 2017 [Certificat Serveur] Peer Connection Initiated with [AF_INET]IpPUBLIC:PORT
Thu Jan 12 15:16:23 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Jan 12 15:16:23 2017 open_tun, tt->ipv6=0
Thu Jan 12 15:16:23 2017 TAP-WIN32 device [Connexion au réseau local 3] opened: \\.\Global\{498EE9D8-5B10-44A7-B926-20AF5BE310D6}.tap
Thu Jan 12 15:16:23 2017 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.8.0/10.0.8.2/255.255.255.0 [SUCCEEDED]
Thu Jan 12 15:16:23 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.2/255.255.255.0 on interface {498EE9D8-5B10-44A7-B926-20AF5BE310D6} [DHCP-serv: 10.0.8.254, lease-time: 31536000]
Thu Jan 12 15:16:23 2017 Successful ARP Flush on interface [20] {498EE9D8-5B10-44A7-B926-20AF5BE310D6}
Thu Jan 12 15:16:28 2017 Initialization Sequence Completed

Ping IP LAN PFSense

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
C:\Windows\System32>ping 192.168.1.13

Envoi d'une requête 'Ping'  192.168.1.13 avec 32 octets de données*:
Réponse de 192.168.1.13*: octets=32 temps=40 ms TTL=64
Réponse de 192.168.1.13*: octets=32 temps=40 ms TTL=64
Réponse de 192.168.1.13*: octets=32 temps=40 ms TTL=64
Réponse de 192.168.1.13*: octets=32 temps=40 ms TTL=64

Statistiques Ping pour 192.168.1.13:
    Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 40ms, Maximum = 40ms, Moyenne = 40ms

Ping d'un serveur derrière le LAN PFSense

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
C:\Windows\System32>ping 192.168.1.200

Envoi d'une requête 'Ping'  192.168.1.200 avec 32 octets de données*:
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.

Statistiques Ping pour 192.168.1.200:
    Paquets*: envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

Un tracert vers le LAN PFSense

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
C:\Windows\System32>tracert 192.168.1.13

Détermination de l'itinéraire vers 192.168.1.13 avec un maximum de 30 sauts.

  1    39 ms    39 ms    40 ms  192.168.1.13

Itinéraire déterminé.

Un tracert vers le serveur derrière PFSense

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
C:\Windows\System32>tracert 192.168.1.200

Détermination de l'itinéraire vers 192.168.1.200 avec un maximum de 30 sauts.

  1    39 ms    42 ms    41 ms  10.0.8.1
  2     *        *        *     Délai d'attente de la demande dépassé.
  3     *        *        *     Délai d'attente de la demande dépassé.

Un route print VPN activé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
C:\Windows\System32>route print
===========================================================================
Liste d'Interfaces
 20...00 ff 49 8e e9 d8 ......TAP-Windows Adapter V9
 11...8c 89 a5 c1 4d ae ......Intel(R) 82579V Gigabit Network Connection
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 19...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2
===========================================================================

IPv4 Table de routage
===========================================================================
Itinéraires actifs*:
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.10    266
         10.0.8.0    255.255.255.0         On-link          10.0.8.2    276
         10.0.8.2  255.255.255.255         On-link          10.0.8.2    276
       10.0.8.255  255.255.255.255         On-link          10.0.8.2    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.10    266
      192.168.1.0    255.255.255.0         10.0.8.1         10.0.8.2     20
     192.168.1.10  255.255.255.255         On-link      192.168.1.10    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.10    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.10    266
        224.0.0.0        240.0.0.0         On-link          10.0.8.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.10    266
  255.255.255.255  255.255.255.255         On-link          10.0.8.2    276
===========================================================================
Itinéraires persistants*:
  Adresse réseau    Masque réseau  Adresse passerelle Métrique
          0.0.0.0          0.0.0.0    192.168.1.254  Par défaut
===========================================================================

IPv6 Table de routage
===========================================================================
Itinéraires actifs*:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 20    276 fe80::/64                On-link
 20    276 fe80::b852:49c6:3abe:8c36/128
                                    On-link
  1    306 ff00::/8                 On-link
 20    276 ff00::/8                 On-link
===========================================================================
Itinéraires persistants*:
  Aucun

Depuis PFsense :

Ping vers le serveur local

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
[2.3.2-RELEASE][root@pfSense.localdomain]/root: ping 192.168.1.200
PING 192.168.1.200 (192.168.1.200): 56 data bytes
64 bytes from 192.168.1.200: icmp_seq=0 ttl=128 time=0.869 ms
64 bytes from 192.168.1.200: icmp_seq=1 ttl=128 time=0.918 ms
64 bytes from 192.168.1.200: icmp_seq=2 ttl=128 time=1.082 ms
64 bytes from 192.168.1.200: icmp_seq=3 ttl=128 time=0.907 ms
^C
--- 192.168.1.200 ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.869/0.944/1.082/0.082 ms

Les routes de PFSense :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
[2.3.2-RELEASE][root@pfSense.localdomain]/root: netstat -r
Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            172.16.0.1         UGS         em0
10.0.8.0           10.0.8.1           UGS      ovpns1
10.0.8.1           link#7             UHS         lo0
10.0.8.2           link#7             UH       ovpns1
localhost          link#6             UH          lo0
172.16.0.0         link#1             U           em0
172.16.0.10        link#1             UHS         lo0
192.168.1.0        link#2             U           em1
pfSense            link#2             UHS         lo0

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          link#6             UH          lo0
fe80::%em0         link#1             U           em0
fe80::250:56ff:fe8 link#1             UHS         lo0
fe80::%em1         link#2             U           em1
fe80::250:56ff:fe8 link#2             UHS         lo0
fe80::%lo0         link#6             U           lo0
fe80::1%lo0        link#6             UHS         lo0
fe80::250:56ff:fe8 link#7             UHS         lo0
ff01::%em0         fe80::250:56ff:fe8 U           em0
ff01::%em1         fe80::250:56ff:fe8 U           em1
ff01::%lo0         localhost          U           lo0
ff01::%ovpns1      fe80::250:56ff:fe8 U        ovpns1
ff02::%em0         fe80::250:56ff:fe8 U           em0
ff02::%em1         fe80::250:56ff:fe8 U           em1
ff02::%lo0         localhost          U           lo0
ff02::%ovpns1      fe80::250:56ff:fe8 U        ovpns1

Un ping vers l'adresse ip du tunnel du poste a distance

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
[2.3.2-RELEASE][root@pfSense.localdomain]/root: ping 10.8.0.2
PING 10.8.0.2 (10.8.0.2): 56 data bytes
^C
--- 10.8.0.2 ping statistics ---
30 packets transmitted, 0 packets received, 100.0% packet loss

Galère cette histoire !!!

Merci

[shinmaki]

Le routage m'a l'air correct sur pfSense et le client. As-tu moyen de logguer les connexions au niveau de pfSense pour voir si elle sont bloquées ?

[becket]

Maintenant, tu dois te demander comment est routé 192.168.1.200.
Quel est sa passerelle par défaut ? Comment réagis t'il lorsqu'il reçois un paquet d'un télétravailleur ( quel est son ip ? et quel est la route vers cette range ? )

[djinlemage]

Salut,

Désolé pour le délais !

Le routage m'a l'air correct sur pfSense et le client. As-tu moyen de logguer les connexions au niveau de pfSense pour voir si elle sont bloquées ?

Avec la config que j'ai, la partie parfeu est ignoré (enfin paramétrer pour tout laisser passer) du coup il ne bloque rien.

Maintenant, tu dois te demander comment est routé 192.168.1.200.
Quel est sa passerelle par défaut ? Comment réagis t'il lorsqu'il reçois un paquet d'un télétravailleur ( quel est son ip ? et quel est la route vers cette range ? )

La passerelle est 192.168.1.1 (le routeur qui nous permets de sortir sur le Net et qui à une seconde patte en 172.16.0.1)

Merci en tout cas

[shinmaki]

Avec la config que j'ai, la partie parfeu est ignoré (enfin paramétrer pour tout laisser passer) du coup il ne bloque rien.

Je reformule : arrête de ne regarder que la configuration. Ca a l'air bien configuré mais ça ne passe pas. Sans traces, logs ou debugs, je passe mon tour.