Salut,
J'ai pfSense en frontal sur 2 sites (ma maison et mon infra perso OVH), et j'ai un tunnel OpenVPN entre les deux. Je galère à faire communiquer entre eux les différents clients des réseaux locaux. Je veux que tout le monde puisse accéder à tout le monde (client VPN, LAN maison, LAN infra).
Alors j'ai déjà tout tenté, mis des règles full-open-bar des deux côtés, déclaré des GW, des routes statiques… j'y arrive pô. Le serveur OpenVPN est sur OVH, je peux depuis mon réseau local maison accéder aux machines distantes OVH, mais pas l'inverse. Idem depuis un client (smartphone) sur le VPN : je peux accéder aux machines de l'infra, mais pas du LAN maison.
Est-ce que quelqu'un pourrait me dire de manière générale qu'est-ce que je dois faire de chaque côté, entre déclarer une route statique via GW distante, mettre du NAT (mais de quel réseau vers quel réseau) ? Sur le serveur OpenVPN, sur le client OpenVPN etc.
Réseau local maison :
- 192.168.0.0/24
- pfSense 192.168.0.252
Réseau OVH :
- 192.168.50.0/24
- pfSense 192.168.50.254
OpenVPN :
- 192.168.5.0/24
- pfSense OVH (serveur) : 192.168.5.1
- pfSense Maison (client) : 192.168.5.2
Merci !
# Le routage...
Posté par FantastIX . Évalué à 4.
Je suis loin d'être un spécialiste et encore moins habitué de OpenVPN mais je crois me rappeler que le routage inter-VPN est contrôlé par OpenVPN (le serveur, du moins sa configuration). Il ne suffit pas de créer des règles de pare-feu (qui d'ailleurs sont inutiles, si j'ai bonne mémoire¹). Il faut dire au serveur OpenVPN quel est le mode de service: VPN isolé ou tout interconnecté.
Maintenant, je ne sais pas si c'est ce que tu entends par "j'ai […] mis des règles full-open-bar des deux côtés". Je te donne cette piste, juste au cas où. La configuration du serveur est en effet relativement complexe, exige du temps et de la concentration.
¹ La dernière fois que j'ai dû faire un truc pareil remonte à 2014 :-D .
[^] # Re: Le routage...
Posté par gUI (Mastodon) . Évalué à 4.
J'ai peut-être pas assez creusé cette piste. Si les membres du réseau voient le LAN du serveur, c'est sûrement grâce à ça. Peut-être que de la même manière je peux déclarer le LAN côté client (maison).
Je me disais que indépendamment de OpenVPN, je peux toujours rajouter des règles routage (et ouvrir le parefeu adéquat) pour déclarer les accès à l'autre réseau. Que ça passe par un VPN ou pas, c'est transparent.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Le routage...
Posté par FantastIX . Évalué à 4.
Tu peux toujours essayer, en effet. Je n'ai plus la moindre idée de comment réaliser ça par contre.
Bien que ça ne soit pas toujours faisable (ni à préconiser, ça dépend des cas), le mieux est de tester le routage sans pare-feu et ensuite d'activer ce dernier quand tout fonctionne. Ça évite de prendre un rejet de paquet pour un problème de routage.
# documentation OPNsense et alternative wiregard
Posté par Skilgannon . Évalué à 2. Dernière modification le 11 août 2022 à 22:03.
Bonjour,
Malheureusement mes connaissances réseaux commencent à se faire lointaine.
Cependant, personnellement j’utilise OPNsense et Wiregarde.
1) Je t'invite à regarder cette documentation OpenVPN: Setup SSL VPN site to site tunnel. C'est la documentation pour OPNsense, mais OPNsense étant un fork de pfSense tu devrais pourvoir t'y retrouver. Je trouve la documentation OPNsense assez bien faite.
2) Si tu n'y arrives toujours pas avec OpenVPN, je t'invite à essayer Wiregarde dont la configuration à l'avantage d'être moins compliqué que celle de OpenVPN.
Pour le coup, lis « WireGuard Road Warrior Setup » avant de lire « WireGuard Site-to-Site Setup ». La deuxième etant assez succincte.
WireGuard Road Warrior Setup
WireGuard Site-to-Site Setup
[^] # Re: documentation OPNsense et alternative wiregard
Posté par Skilgannon . Évalué à 2.
s/à se faire lointaine/à se faire lointaines/
:(
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.