ADSL-BC

Bonjour à tous,

J'en appelle à la communauté et aux plus expert d'entre-vous en VPN afin de voir si une configuration est possible.

J'ai actuellement un OpenVPN server sur un NAS synology. Cela fonctionne parfaitement, au travail je peux me connecter et j'ai accès a mon réseau, ainsi que internet (redirect gateway).

Mais, j'aimerais partir sur une configuration plus poussé.

En effet, j'aimerais que tout mon traffic réseau (local + WAN) soit redirigé vers le VPN comme actuellement, à l'exception de un et/ou plusieurs subnet. Est-ce que cela est possible en OpenVPN ?

Exemple : Une fois connecté au VPN depuis le travail, j'accède à mon réseau et internet. Mais j'ai également la possibilité de me connecté sur mes serveurs du travail qui se situe sur le range 192.168.1.X.

Donc en gros, avoir des exceptions de subnet pour continuer a accéder au PC/Serveur du travail tout en redirigeant le reste du traffic sur le VPN

J'ai essayé de faire des recherches mais pas trouvé malheureusement.

Des idées ?

Par défaut la config du serveur ne renvoi que le subnet du vpn, tu dois ajouté (push route) les autres subnet manuellement et il est logique que le lan que tu utilises pour te connecter soit accessible.

En fait si je comprends bien, tu ne veux accéder qu'à ton lan distant et pas celui à partir duquel, le client se connecte ?

Les deux en fait.

Je veux pouvoir accéder a mon LAN domicile distant (10.1.1.X ou se situe le VPN server) --> çà c'est par défaut ET mon/mes LAN du taff (192.168.1.X / 192.168.2.X) locaux --> ca ca marche pas

Donc je dois réaliser des push pour avoir des subnet supplémentaire ? (ceux du taff, ceux a partir duquel je me connecte)

Still a écrit :Les deux en fait.

Je veux pouvoir accéder a mon LAN domicile distant (10.1.1.X ou se situe le VPN server) --> çà c'est par défaut ET mon/mes LAN du taff (192.168.1.X / 192.168.2.X) locaux --> ca ca marche pas

Donc je dois réaliser des push pour avoir des subnet supplémentaire ? (ceux du taff, ceux a partir duquel je me connecte)

Tu ne peux faire un push que des subnets qui sont présents sur le serveur (logique).

Tu as l'air d'avoir un problème de subnets identiques sur les 2 sites ce qui met le bazar, pour tester, change le subnet de ton home et push la route de ce nouveau subnet qui doit être différente des subnets utiliser au boulot.

Edit: option client to client à activer

Donc si je comprend bien. De base, si les subnet sont différents, je dois pouvoir accéder a mes subnet locaux et distant lorsque je suis sous VPN ?

Traceroute (tracert windows) quand tu es connecté sur le client en vpn et tu auras "l'état des routes"

De base le serveur donne accès à la route utilisée par le vpn, si tu veux avoir accès à d'autre(s) subnet(s) de ton lan (présent sur le serveur) tu dois les pusher.

Arrives tu as te connecter via le vpn ?

Avec le tracert, on voit bien tout passe par chez moi car je passe par mon subnet VPN distant (10.1.2.1) puis ma gateway distante (10.1.1.254)


Le truc c'est que je ne veux pas accéder a d'autre subnet distant (de mon LAN VPN) mais a des subnets du travail ou je me trouve quand je me connecte au VPN (disponible quand je ne suis pas connecté au VPN)

(ma demande est peut-être impossible )

Si c'est pas clair, je peux essayer de faire un dessin (

Tes subnets boulots, ils passent par un gateway interne ou tu es dans le même range ?

Les range du travail sont complétement différent de mon range domicile donc il ne peux pas y avoir de duplicate subnet

Voici un exemple :

BOULOT:
PC du Boulot (192.168.1.5) ---------------------- VPN---------(10.1.2.0)------- VPN ------------------ Réseau Domicile (10.1.1.0) / Gateway domicile (10.1.1.254)
Réseau serveurs du Boulot (192.168.2.0)
Gateway du boulot (192.168.1.254)

Donc pour résumé :

En me connectant au VPN depuis le boulot je dois pouvoir :

[*]Accéder à mon réseau du domicile en 10.1.1.0 (C'est déjà le cas avec ma config actuelle)
[*]L'internet doit passer par ma gateway domicile 10.1.1.254 pour éviter le filtrage proxy (C'est déjà le cas avec ma config actuelle)
[*]Accéder au serveurs du boulot présent en 192.168.2.0 (Je ne sais pas comment configurer pour avoir cette possibilité)

Il n'y a que le dernier point que je ne parviens pas a mettre en place.

tu as déjà essayé en ajoutant "route 192.168.2.0 255.255.255.0 net_gateway" dans la config ?

max a écrit :tu as déjà essayé en ajoutant "route 192.168.2.0 255.255.255.0 net_gateway" dans la config ?

Je pensais à celà aussi.
Deux possibilités, soit:
ajouter 192.168.2.0 comme gateway du OpenVPN server
soit: ajouter plusieurs différents gateways au NIC

L'une ou l'autre solution donne le même résultat de tout de façon.

NuxPowa a écrit :

max a écrit :tu as déjà essayé en ajoutant "route 192.168.2.0 255.255.255.0 net_gateway" dans la config ?

Je pensais à celà aussi.
Deux possibilités, soit:
ajouter 192.168.2.0 comme gateway du OpenVPN server
soit: ajouter plusieurs différents gateways au NIC

L'une ou l'autre solution donne le même résultat de tout de façon.

Perso, je le mettrais dans la config client car c'est spécifique à son réseau boulot.

Ok, merci pour vos avis,

Je vais essayer plusieurs gateway mais côté client comme mackguil le suggère.

Still a écrit :Ok, merci pour vos avis,

Je vais essayer plusieurs gateway mais côté client comme mackguil le suggère.

Dépend, si tu as plusieurs token d'identification qui ne doivent pas réagir de la même façon.

J'ai ce genre de config sur un pfsense avec en plus les résolutions dns en fonction des domaines. Je sais que la config est à faire sur le serveur. J'essaierai de regarder si je sais voir les fichiers de configuration sur le pfsense pour pouvoir t'aider.

Comme promis...
La config openvpn sur mon pfsense est:

push "route NET_IP_1 MASK" <- subnet interne côté serveur
push "route NET_IP_2 MASK"
push "dhcp-option DOMAIN internal_domain.local" <- nom de domaine interne côté serveur
push "dhcp-option DNS IP_DNS_SERVER_1" <- dns interne côté server
push "dhcp-option DNS IP_DNS_SERVER_2"
push "register-dns"


Cela fonctionne avec des clients windows 7/10, android et IOS.

Amuses-toi bien

Merci m3xiz

C'est ce que l'on dit depuis le début "pusher"

push it to the limit

Ca va, ça va ,j'ai compris

Quel film !