OpenVPN Site2Site utilisant PFSense

Je crée actuellement un VPN s2s en utilisant 2 appareils pfsense (2.0.2). le tunnel est construit mais je ne peux pas apather le trafic d'un côté à l'autre, vérifiez mon testlab:


D'accord, je crée un nouveau testlab pour réduire l'erreur. Voici ce que je fais:

  • pour être sûr que ce n'est pas un problème de version, j'ai changé pour pfsense 2.0.1
  • Réseau A: 192.168.3.0/24
  • Réseau B: 192.168.2.0/24
  • "Réseau de simulation Internet": 10.10.10.0/24

Site PFSense A:

  • em0: WAN, 10.10.10.10
  • em1: LAN, 192.168.3.10

Site client A:

  • if0: LAN, 192.168.3.100, gw: 192.168.3.10
  • Pare-feu désactivé, ping gw fonctionne.

PFSense Site B:

  • em0: WAN, 10.10.10.20
  • em1: LAN, 192.168.2.20

Site client B:

  • if0: LAN, 192.168.2.100, gw: 192.168.2.20
  • Pare-feu désactivé, ping gw fonctionne.

Configuration PFSense Site B:

  • TOUTES les règles de pare-feu sur chaque set d'interface SINGLE permettent d'autoriser
  • pas de GW ni de routes ajoutés, donc seuls les réseaux d'interface par défaut sont connus de PFSense
  • Test CA créé à l'aide de pfsense gui
  • Le certificate de server (type: server) créé à l'aide du guif pfsense et le ca
  • certificate client (type: user) créé à l'aide du pfsense gui
  • key privée et publique exscope du cert client
  • key publique exscope du certificate CA
  • a créé un nouveau server Open VPN PAS à l'aide de l'assistant mais en cliquant sur "append" (puisque je veux un OVPN pair à pair que l'offre de déassembly du magicien)
  • configuré comme ceci: #Server Mode: Peer to Peer (SSL / TLS) #Protocol TCP #Device Mode: TUN #Interface: WAN #Port 443 #Disabled TLS Auth pour tester #Utilisation de l'autorité de certificateion créée et du cert créé. # crypto par défaut #Tunnel Network: 172.16.0.0/24

    Réseau local: 192.168.2.0/24 #Remote Network: 192.168.3.0/24 #Concurrent connections: 2 #rest par défaut / vide

  • Ajout d'une nouvelle interface OPT1 (ovpnc1)
  • a activé l'interface OTP1 (type: aucun)
  • oui: les règles FW sur les interfaces OVPN sont également configurées pour permettre TOUT À TOUT
  • désactivé et réactivé le server openvpn
  • Chemins vérifiés: des routes vers le réseau distant sont présents à l'aide de la NIC ovpnc1

Site PFSense Une configuration:

  • TOUTES les règles de pare-feu sur chaque set d'interface SINGLE permettent d'autoriser
  • pas de GW ni de routes ajoutés, donc seuls les réseaux d'interface par défaut sont connus de PFSense
  • a importé l'autorité de certificateion du site B à l'aide de sa key publique
  • a importé le Client cert vom Site B en utilisant sa key publique et privée
  • a créé un nouveau client Open VPN en cliquant sur l'icône "append" dans la section client vpn ouvert
  • configuré comme ceci:
  • Mode Serveur: Peer to Peer (SSL / TLS) #Protocol TCP #Device Mode: TUN #Interface: WAN #Port 443 #Serveur hôte ou adresse: 10.10.10.20

    Port du server: 443 # Autorisation TLS désactivée pour tester #Utilisation de l'autorité de certificateion imscope et du certificate de client importé. # crypto par défaut #Tunnel

    Réseau: 172.16.0.0/24 #Remote Network: 192.168.2.0/24 #rest par défaut / vide

  • Ajout d'une nouvelle interface OPT1 (ovpnc1)
  • a activé l'interface OTP1 (type: aucun)
  • oui: les règles FW sur les interfaces OVPN sont également configurées pour permettre TOUT À TOUT
  • désactivé et réactivé le server openvpn
  • Chemins vérifiés: des routes vers le réseau distant sont présents à l'aide de la NIC ovpnc1

-> Le tunnel VPN se lève et je vois l'état ascendant sur les deux extrémités de pfsense. RIEN ELS a été configuré en pfsense

Essai:

Le client sur le site A ne peut pas faire de ping sur le site B et vice versa. pathping montre que l'itinéraire se termine à la gw du client (port LAN PFSense).

PFSense sur le site A ne peut pas faire de ping au client sur le site B à l'aide de l'interface LAN et WAN, mais réussit à utiliser l'interface OTP1. Cependant, le client sur le site B ne peut pas effectuer de ping sur PFSense sur le site A.

Ceci n'est cependant pas vrai pour le ping de PFSense sur le site B vers le client sur le site A: le ping ne fonctionne pas à partir de n'importe quelle interface. Ici encore: faire un ping sur PFSense sur le site B du client sur le site A échoue.

Aussi PFSense sur le site B est incapable de faire un ping au client sur le site A et vice versa. Testé en utilisant les interfaces WAN, LAN et OTP1 pour envoyer les pings.

Étrange: PFsense sur le site A est capable de faire un ping PFSense sur le site B mais pas vice versa!

Résultat:

Seul le client direct, qui est pfsense sur le site A, semble pouvoir parler à QUELQUE CHOSE sur le réseau distant (pfsense ou tout client). les clients qui essaient d'apather via pfsense échouent à communiquer, même s'ils pensent qu'ils se trouvent sur le même sous-réseau que Pfsense, de sorte que le réseau doit être utilisé sur le site distant. La communication COMMENT DÉMARRER sur le site du server (B) semble ne rien atteindre sur le site client (A).

Cela soulève deux questions: – Comment puis-je dire à PFsense / OpenVPN aussi le trafic de transport VPN à partir de n'importe quel client qui traverse via pfsense (du même sous-réseau) (je suppose que NAT fonctionnerait, mais n'y a-t-il vraiment aucun autre moyen?) – Comment J'autorise le trafic généré sur mon site server (B) pour passer via VPN vers le site client?

Modifier Nr. 2

Je l'ai ajouté à la configuration avancée du côté du server sans effet différent, puis décrit ci-dessus dans les tests:

route 192.168.2.0 255.255.255.0;push "route 192.168.3.0 255.255.255.0"; 

De plus, en utilisant pfsense 2.0.1, j'ai réalisé que lorsque la connection vpn est établie, j'ai maintenant une passerelle avec l'IP de l'interface ovpn ajoutée à mes passerelles, ce qui m'a permis d'append une route statique au réseau distant à l'aide de cette interface. Je l'ai fait sur les deux: le site A et le site B (ou le client et le server si vous l'aimez).

Modifier Nr. 3

ici les écrans montrant les routes: routes du site B (server): Chemin du site B (serveur)

Site A (client): Site A (client)

One Solution collect form web for “OpenVPN Site2Site utilisant PFSense”

J'utiliserais des routes statiques plutôt que des routes push dans une situation s2s. Ou selon la complexité du réseau, utilisez OSPF pour échanger des routes. Mais pour être honnête, je n'ai jamais essayé de pousser les routes dans une situation de s2s. Cela peut fonctionner très bien pour des configurations simples.

Pour configurer s2s avec openvpn sur pfsense, vous devez faire 2 choses une fois que vous avez configuré le server / client openvpn.

  1. Vous devez append le tunnel s2s en tant qu'interface dans Interfaces-> Affecter sur chaque routeur.
  2. Par défaut, le pare-feu va bloquer tout le trafic sur ces interfaces afin que vous ayez besoin d'append certaines autoriser toutes les règles à ces interfaces. Vous pouvez appliquer les règles si nécessaire une fois que vous avez des choses en service
  • Routeur pour créer un VPN de site sur site vers un fournisseur de servers utilisant Cisco ASA 5540
  • Windows Vpn Server & Client Solution (comme Kerio)
  • Distinction entre un extranet et une DMZ
  • OpenVPN sur AWS: Erreur inattendue: invalid_profile: Impossible de find un profil bloqué par le server ou autologin pour cet user
  • AWS VPC VPN bloqué par la connection par l'AWS VPC
  • Débogage: Cisco VPN Router exécute 100% de processeur
  • Configurez VPN sur ASA pour comptabiliser la comptabilité via NPS
  • Thérapie multiple de connection WAN mystérieuse
  • login via VPN
  • login de deux régions AWS VPC de la même gamme CIDR
  • Pourquoi le client VPN IPSec utilise-t-il UDP?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.