Discussion :

[cuyenboy34]

bonjour,

je souhaiterai me connecter de chez moi à un réseau d'entreprise à travers un vpn avec openvpn, et accéder à l'ensemble des sous réseaux disponible via ce réseau d'entreprise.
je sors de chez moi via une box orange pour arriver sur une box orange puis un pfsense.
sur ce réseau d'entreprise, le pfsense est connecté à d'autres sous réseaux via des tunnels ipsec qui passent aux à travers une freebox vers d'autres pfsense.
A partir de l'entreprise directement, l'ensemble du réseau est disponible. Le problème n'est présent que quand je suis de chez moi et que je passe par openvpn.

J'arrive à me connecter au réseau de l'entreprise via openvpn, mais impossible de pinger le reste de l'infra.

je n'arrive pas à comprendre pourquoi, j'arrive à la limite de mes compétences n'étant pas un expert réseau (je suis dev dsl )

un tracert ne me mène null part car vpn...

j'aimerai déjà savoir ou se site le souci. Est ce que c'est sur mon poste? sur un des pfsense de l'infra?
quels sont les outils que je peux utiliser? ou les méthodes?

Microsoft Windows [version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tous droits réservés.

C:\Users\Cuyen>netsh int ipv4 show interfaces

Idx Mét MTU État Nom
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
11 10 1500 connected Connexion au réseau local
13 20 1500 connected Connexion au réseau local 2
14 10 1500 connected VirtualBox Host-Only Network


C:\Users\Cuyen>

Microsoft Windows [version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tous droits réservés.

C:\Users\Cuyen>route print -4
===========================================================================
Liste d'Interfaces
13...TAP-Windows Adapter V9
11...Intel(R) 82579V Gigabit Network Connection
14...VirtualBox Host-Only Ethernet Adapter
1.....Software Loopback Interface 1
18...Carte Microsoft ISATAP
12...Teredo Tunneling Pseudo-Interface
19...Carte Microsoft ISATAP #2
17...Carte Microsoft ISATAP #3
===========================================================================

IPv4 Table de routage
===========================================================================
Itinéraires actifs*:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.13 10
10.0.0.0 255.192.0.0 10.250.0.5 10.250.0.6 20
10.64.0.0 255.192.0.0 10.250.0.5 10.250.0.6 20
10.128.0.0 255.192.0.0 10.250.0.5 10.250.0.6 20
10.250.0.1 255.255.255.255 10.250.0.5 10.250.0.6 20
10.250.0.4 255.255.255.252 On-link 10.250.0.6 276
10.250.0.6 255.255.255.255 On-link 10.250.0.6 276
10.250.0.7 255.255.255.255 On-link 10.250.0.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
178.XX.XX.XX 255.255.255.255 10.250.0.5 10.250.0.6 20
192.168.1.0 255.255.255.0 On-link 192.168.1.13 266
192.168.1.13 255.255.255.255 On-link 192.168.1.13 266
192.168.1.255 255.255.255.255 On-link 192.168.1.13 266
192.168.56.0 255.255.255.0 On-link 192.168.56.1 266
192.168.56.1 255.255.255.255 On-link 192.168.56.1 266
192.168.56.255 255.255.255.255 On-link 192.168.56.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.13 266
224.0.0.0 240.0.0.0 On-link 10.250.0.6 276
224.0.0.0 240.0.0.0 On-link 192.168.56.1 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.13 266
255.255.255.255 255.255.255.255 On-link 10.250.0.6 276
255.255.255.255 255.255.255.255 On-link 192.168.56.1 266
===========================================================================
Itinéraires persistants*:
Aucun

C:\Users\Cuyen>

Microsoft Windows [version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tous droits réservés.

C:\Users\Cuyen>ping 10.99.0.11

Envoi d'une requête 'Ping' 10.99.0.11 avec 32 octets de données*:
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.

Statistiques Ping pour 10.99.0.11:
Paquets*: envoyés = 2, reçus = 0, perdus = 2 (perte 100%),
Ctrl+C
^C
C:\Users\Cuyen>

je vous remercie d'avance pour votre aide.

[JML19]

Bonjour

L'adresse IP que tu utilises pour te connecter avec OpenVPN traverse les pares feux et elle est routable sur ton réseau protégé ?

Je pense qu'il faudra prévoir le passage et les routes pour cette adresse IP.

[cuyenboy34]

bonjour,

quand tu parles de l'adresse utilisée pour me connecter, tu parles de l'adresse publique source c'est ça?

[JML19]

bonjour,

quand tu parles de l'adresse utilisée pour me connecter, tu parles de l'adresse publique source c'est ça?

Bonjour

Oui je parle de l'adresse IP fournie par ton FAI pour accéder à Internet.

Ensuite je ne sais pas s'il y a du NAT sur le réseau où tu accèdes ou si ton IP pénètre directement sur le réseau.

C'est une partie que je ne connais pas en ce qui concerne le fonctionnement des VPN.

[cuyenboy34]

l'ip de mon fai arrive sans souci à passer puisque le vpn de chez moi au réseau d'entreprise fonctionne. ce sont les autres parties du réseau qui ne fonctionnent pas (via d'autres tunnels).

je pense (mais je peux me tromper) que cette ip fai n'entre pas en jeu puis-quelle sert à faire un pont entre chez moi et le premier pfsense, via une ip d'un réseau local (10.0.0.0/10 sur la table de routage)
par contre, je ne peux pas joindre à partir de chez moi le sous réseau 10.64.0.0/10, qui lui est disponible via un autre pfsense connecté au pfsense de mon entreprise via ipsec.

Encore une fois je peux me tromper.



en gros depuis mon poste de travail je peux joindre 10.64.0.0/10
pas depuis mon pc.

[JML19]

C'est la Box qui fait le NAT c'est normalement elle qui transforme l'IP WAN fournie par ton FAI en IP LAN du réseau dont elle est la passerelle.

Donc tu arrives IP WAN (80.10..x.x) => Box => IP LAN (192.168.x.x) => pfsense IP LAN (10.1.x.x) => pfsense 2 IP LAN (10.64.x.x)

C'est compliqué au niveau des autorisations et des routes.
.

[cuyenboy34]

peut être que j'aurais du commencer par poser la question des bonnes pratiques? comment on fait ce genre de liaison?
est ce que je dois faire un pont direct sur 10.64? ça me parait dommage non?

[JML19]

peut être que j'aurais du commencer par poser la question des bonnes pratiques? comment on fait ce genre de liaison?
est ce que je dois faire un pont direct sur 10.64? ça me parait dommage non?

Je ne sais pas car il faudrait savoir quelle IP te donne la Box lorsque tu arrives et comment est paramétrée cette IP.

Par exemple s'il s'agit d'une IP 192.168.1.100 tu pourrais faire router cette IP sur tout ton réseau.

Mais cela me dépasse c'est dommage qu'IP_Steph ne fasse plus parti de ce forum, lui pourrait de donner des solutions.

[Invité]

Salut,

pfsense2 a besoin d'une route statique pour pouvoir joindre 10.250.0.4/30.

Target : 10.250.0.4
Netmask : 255.255.255.252
Gateway : @IP de l'extrémité du tunnel IPSec porté par pfsense1

-VX

[Invité]

peut être que j'aurais du commencer par poser la question des bonnes pratiques? comment on fait ce genre de liaison?
est ce que je dois faire un pont direct sur 10.64? ça me parait dommage non?

Ta façon de faire est propre, rien à dire, je pense que tu rencontres une "petit misère" de routage

-VX

[JML19]

Salut,

pfsense2 a besoin d'une route statique pour pouvoir joindre 10.250.0.4/30.

Target : 10.250.0.4
Netmask : 255.255.255.252
Gateway : @IP de l'extrémité du tunnel IPSec porté par pfsense1

-VX

Je pense que ton IP ne sort pas de pfsense1 ou si elle sort elle n'est pas routable vers pfsense2.

Essaies ce que te dit vxlan.is.top.

[cuyenboy34]

merci pour votre aide.
je teste ca dès demain et vous tiens au courant!

[cuyenboy34]

Salut,

pfsense2 a besoin d'une route statique pour pouvoir joindre 10.250.0.4/30.

Target : 10.250.0.4
Netmask : 255.255.255.252
Gateway : @IP de l'extrémité du tunnel IPSec porté par pfsense1

-VX

j'ai testé cette solution, sans succès.
J'ai ajouté une route sur pfsense2, en target j'ai mis 10.250.0.4/30
le soucis c'est la gateway. j'ai mis l'ip publique remote de pfsense 1 du tunnel ipsec pfsense1 vers 2

ce ne fonctionne pas.

A noter que cette gw n'existait pas sur pfsense2??
Je pense qu'il manque quelque chose ou que je n'ai pas compris quelque chose

Merci d'avance

[NVCfrm]

C'est juste un problème de routage à définir de part et d'autres.
La passerelle du vpn, doit être configuré pour autoriser le trafic entre l'adresse réseau du lien virtuel et les autres sous-réseaux que tu voudrais accessible.
Les périphériques situés sur les autres adresses LAN, qui ne sont pas gérés par la passerelle supportant le vpn, doivent avoir leur passerelle qui a une route définie manuellement pour accéder à l'adresse réseau du vpn. C'est à dire l'adresse par laquelle il communique avec la passerelle du vpn.