Problème de communication dans un VPN SSL Site-to-Site

Started by Willow9, August 08, 2024, 09:37:29 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 08, 2024, 09:37:29 PM Last Edit: August 08, 2024, 09:43:30 PM by Willow9
Bonjour,

Je rencontre un problème de communication dans un VPN SSL Site-to-Site.
Le routeur OPNsense Client ping un poste côté serveur
Le PC côté client ne ping pas un poste côté serveur
Le routeur OPNsense Serveur ne ping pas un poste côté client
Le PC côté serveur ne ping pas un poste côté client

Ma configuration est la suivante

Réseau côté serveur :  192.168.101.0/24
Réseau côté client :  192.168.198.0/24

Serveur
General information
Disabled : Unchek
Description : S2S
Server Mode : Peer to peer (SSL/TLS)
Protocol : TCP4
Device Mode : tun
Interface : WAN
Local port : 49152

Cryptographic Settings
TLS Authentication : Disabled
TLS Shared Key    Automatically generate a shared TLS authentication key.
Peer Certificate Authority : OPNsense-CA   
Peer Certificate Revocation List : None
Server Certificate : OPNsense-VPN-Cert (OPNsense-CA) *In Use
Encryption algorithm (deprecated) : AES-256-CBC (256 bit key, 128 bit block)
Auth Digest Algorithm : SHA1 (160-bit)
Certificate Depth : Do Not Check

Tunnel Settings
IPv4 Tunnel Network : 192.168.253.0/24
IPv6 Tunnel Network :   
Redirect Gateway : Unchek   
IPv4 Local Network : 192.168.101.0/24
IPv6 Local Network :   
IPv4 Remote Network : 192.168.198.0/24
IPv6 Remote Network :   
Concurrent connections :
Compression : Enabled - LZO algorithm (--compress lzo)
Type-of-Service   : Unchek
Duplicate Connections : Unchek   

Client Settings
Dynamic IP : Unchek    
Topology : Unchek   
Client Management Port : Unchek
   
Advanced configuration
Advanced :   
Verbosity level : 3
Force CSO Login Matching : Unchek

Firewall: Rules: WAN
Protocol   Source Port Destination Port Gateway Schedule
IPv4 TCP/UDP * * This Firewall 49152 * *

---

Firewall: Rules: OpenVPN
Protocol   Source Port Destination Port Gateway Schedule
IPv4+6* * * * * *

Client
General information   
Disabled : Unchek   
Description : client
Server Mode : Peer to Peer ( SSL/TLS )
Protocol : TCP4
Device mode : tun
Interface : WAN
Remote server   
Host or address   Port
81.50.50.50 49152

Retry DNS resolution : Unchek
Proxy host or address   
Proxy port   
Proxy authentication extra options   Authentication method : none
Local port :
   
User Authentication Settings
User name/pass :   
Username :
Password :
Renegotiate time   

Cryptographic Settings   
TLS Authentication : Disabled
TLS Shared Key    Automatically generate a shared TLS authentication key.
Peer Certificate Authority : OPNsense-CA
Client Certificate : altobog (CA: OPNsense-CA) *In Use
Encryption algorithm : AES-256-CBC (256 bit key, 128 bit block)
Auth Digest Algorithm : SHA1 (160-bit)

Tunnel Settings
IPv4 Tunnel Network : 192.168.253.0/24
IPv6 Tunnel Network :   
IPv4 Remote Network : 192.168.101.0/24
IPv6 Remote Network :   
Limit outgoing bandwidth :   
Compression : Enabled - LZO algorithm (--compress lzo)
Type-of-Service   : Unchek
Don't pull routes : Unchek   
Don't add/remove routes   : Unchek

Advanced configuration
Advanced :   
Verbosity level : 3


Firewall: Rules: OpenVPN
Protocol   Source Port Destination Port Gateway Schedule
IPv4+6* * * * * *

Statut des connexions
VPN: OpenVPN: Connection Status

S2S TCP4:49152 Client connections
Common Name   Real Address   Virtual Address   Connected Since   Bytes Sent   Bytes Received   Status
client   81.30.30.30:43580   192.168.253.6   2024-08-08 15:17:52   4 KB   3 KB   

S2S TCP4:49152 Routing Table
Common Name   Real Address   Target Network   Last Used   
client   81.30.30.30:43580   192.168.253.6   2024-08-08 15:17:53

Les routes

System: Routes: Status (SERVEUR)    
ipv4   192.168.198.0/24   192.168.253.2   UGS   NaN   1500   ovpns1   S2S       
ipv4   192.168.253.0/24   192.168.253.2   UGS   NaN   1500   ovpns1   S2S       
ipv4   192.168.253.1   link#8   UHS   NaN   16384   lo0   Loopback       
ipv4   192.168.253.2   link#8   UH   NaN   1500   ovpns1   S2S   

System: Routes: Status (CLIENT)
ipv4   192.168.101.0/24   192.168.253.5   UGS   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.1   192.168.253.5   UGHS   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.5   link#12   UH   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.6   link#12   UHS   NaN   16384   lo0   Loopback   

Test
Test de ping depuis l'Opnsense Client
Ping vers le : 192.168.101.11  OK

Test de ping depuis un poste coté Client
Ping vers le : 192.168.101.11  DOWN

Test de ping depuis l'Opnsense Serveur
Ping vers le : 192.168.198.6  DOWN

Test de ping depuis un poste coté Serveur
Ping vers le : 192.168.101.11  DOWN
August 09, 2024, 03:45:42 PM #1
L'ajout de la configuration suivante sur l'OPNsense Serveur :

Client Specific Overrides
General information   
Disabled : Unchek   

Servers : S2S (49152 / TCP4)
Common name : ClientB
Description :
Connection blocking  : Unchek   

Tunnel Settings
IPv4 Tunnel Network :
IPv6 Tunnel Network :   
IPv4 Local Network :   
IPv6 Local Network :
IPv4 Remote Network : 192.168.198.0/24
IPv6 Remote Network :

Test
Test de ping depuis l'Opnsense Client
Ping vers le : 192.168.101.11  OK

Test de ping depuis un poste coté Client
Ping vers le : 192.168.101.11  DOWN

Test de ping depuis l'Opnsense Serveur
Ping vers le : 192.168.198.6  OK

Test de ping depuis un poste coté Serveur
Ping vers le : 192.168.101.11  DOWN
August 21, 2024, 03:32:42 PM #2
Bonjour Willow9, pour résoudre votre problème de communication dans votre VPN SSL Site-to-Site, voici quelques suggestions :

1. Vérification des Règles de Pare-feu
Assurez-vous que les règles de pare-feu sur les interfaces OpenVPN de chaque côté (client et serveur) autorisent le trafic entre les réseaux locaux.
Serveur : Allez dans Firewall > Rules > OpenVPN et ajoutez une règle pour autoriser le trafic depuis 192.168.101.0/24 vers 192.168.198.0/24.
Client : Faites la même chose mais en autorisant le trafic depuis 192.168.198.0/24 vers 192.168.101.0/24.
2. Routes Correctes
Assurez-vous que les routes pour les sous-réseaux distants sont bien établies.
Vérifiez que les routes affichées dans System > Routes > Status correspondent bien aux sous-réseaux locaux et distants.
3. Configuration des Overrides Spécifiques au Client
Vous avez ajouté un Client Specific Override sur le serveur. Assurez-vous que :
Le Common Name (Nom commun) correspond bien à celui du certificat du client.
Le Réseau distant IPv4 est correctement configuré (192.168.198.0/24 pour le réseau client).
4. Vérification du Ping et de la Connexion
Testez les pings depuis l'interface de chaque OPNsense et depuis les postes côté client et serveur après avoir appliqué les changements.
Utilisez l'outil de diagnostic Traceroute pour identifier où le trafic se bloque.
5. Désactiver la Compression (Optionnel)
Si vous avez activé la compression LZO, essayez de la désactiver pour voir si cela améliore la communication.
En suivant ces étapes, vous devriez pouvoir résoudre les problèmes de connectivité dans votre configuration VPN Site-to-Site.
En espérant t'avoir aider,
Cordialement Rhin0
Print
Go Up Pages1
User actions