OPNsense Forum

International Forums => French - Français => Topic started by: Marc-Henri on September 27, 2016, 09:01:10 pm

Title: Export configuration OpenVPN avec OPNSense derrière un NAT
Post by: Marc-Henri on September 27, 2016, 09:01:10 pm

Bonjour la communauté Française de OpnSense.

Nouveau venu dans cette communauté, je tiens à vous remercier pour votre engagement et la formidable perçée de OPNSense.
J'ai installé un boitier avec OPNSense derrière une Box et ajouté un service OpenVPN.
La box a une adresse IP publique fixe.
J'ai configuré la box pour effectuer un NAT de tout ce qui arrive en TCP sur le port 443 de son interface publique vers le port 1194 de l'adresse IP du boitier OPNSense.
Le boitier OPNSense est donc sur le réseau LAN de la box ADSL.
Cette interface correspond à l'interface WAN de mon boitier OPNSense.
Mon réseau local LAN est relié à l'interface LAN de mon boitier OPNSense.

Tout fonctionne correctement, j'ai configuré les règles de pare-feu et j'ai même connecté le boitier OPNSense à un annuaire Active Directory (Enfin, un Samba-4 AD).

Mon souci, c'est pour générer les configurations des clients OpenVPN.
Lorsque je vais sur le menu "Client Export", je sélectionne pour un utilisateur donné une configuration de type "Inline".
Je peux télécharger la configuration mais lorsque j'édite cette dernière, je me rends compte que la directive "remote" fait référence à l'adresse IP LAN de la box ADSL et non pas à l'adresse IP WAN de cette dernière.

Comment faire pour que l'adresse ip publique (ou bien le hostname public) soit générée dans le fichier de configuration en lieu et place de l'ip privée de la box ?

Pour tracer un peu, j'ai été voir sur le serveur OPNSense la page /usr/local/www/vpn_openvpn_export.php et trouvé le template /usr/local/etc/inc/openvpn-client-export.inc; a l'intérieur, je lis une variable nommée "servermagichost".

=> Où peut-on renseigner cette variable dans l'interface OPNSense ?

A vous lire,
Marc-Henri

Title: Re: Export configuration OpenVPN avec OPNSense derrière un NAT
Post by: baalserv on September 30, 2016, 01:03:20 pm

Bonjour,

Je n'ai pas encore utiliser Ovpn sous Opnsense mais une chose me chagrine et je voulais vous en informer ;)

D'autre que vous ont eut l'idée d'utiliser Ovpn en Tcp/443 afin de passer outre les restrictions du site distant  :o
C'est une mauvaise idée et cela marchera mal car Ovpn n'est pas fait pour fonctionner comme cela ; votre montage fonctionnera mais mal et sera lent ; Ovpn est fait pour du Udp  ::)

Je vous laisse faire quelques recherche sur le sujet  ;)

P.S: le fichier de conf client est un simple fichier texte, vous pouvez le modifier facilement pour mettre la bonne IP ^^

Title: Re: Export configuration OpenVPN avec OPNSense derrière un NAT
Post by: RiMaK on October 07, 2016, 08:33:33 pm

Bonjour Marc-Henri,

Je pense que c'est parce que ton interfaceface WAN à l'IP de ton lan de box, et OpenVPN récupère l'IP de cette interface pour son serveur.

Dans ton cas je vois 2 solutions :
1- Faire un Bridge, mais tu pers les avantages de ta box, mais tu récupères ton IP public (pas possible sur les livebox)
2- Tu modifies à la mimine ton fichier de conf .ovpn avec la bonne IP public.

Et comme dis baalserv utilise plutot UDP.

@+