OpenVPN / Livebox + Zyxel

[Bds]

Bonjour à tous,

 

C'est ma première mise en place d'un réseau VPN pour le télétravail, et je tombe malheureusement sur pas mal de soucis.

 

Nous utilisons pour la connexion à internet une livebox pro V4 sur laquelle une règle NAT est établie (port 1194 en TCP).

La où tout cela se complique c'est qu'un second routeur (Marque Zyxel) sert également à déservir notre réseau local (dans un sous réseau différent).

 

Afin d'effectuer quelques tests, j'ai donc monter un serveur (sous ubuntu 18.04 server), openvpn, ce dernier est à la fois connecté directement à notre box orange, ainsi qu'à l'un des switch de notre LAN.

 

Pour essayer d'être synthétique :

 

 

Je parviens sans problème à me connecter à distance via le serveur VPN qui m'attribue donc une adresse en 192.168.2.x mais je ne parviens malheureusement pas à accéder à mon LAN (192.168.0.x).

 

Le serveur VPN à donc deux cartes réseau (en1 et eno2 ayant chacune pour adresse 192.168.10.248 (relié à la livebox) et 192.168.0.248 (relié à un switch du lan)).

 

Trouvez vous la démarche correcte de cette manière, Zyxel parvient normalement à gérer des connexions ipsec/l2tp mais que je n'ai malheureusement pas réussi à le mettre en place..

 

[Pyrithe]

En fait il te faut faire du routage...

Il faudrait que ta config d'OpenVPN pousse sur ton client une route pour accéder au réseau 192.168.0.0
Et que ton réseau où se situe ton client ne se trouve pas sur un réseau existant sur le même adressage...

[Bds]

Bonsoir Pyrithe,

 

Victoire, j'ai pas mal avancé sur le sujet, à présent je parviens à me connecter à distance sans problèmes particulier (il me reste néanmoins quelques règles du pare feu à mettre en place).

 

Le seul soucis qu'il me reste à résoudre est lors de la connexion, en effet les clients qui se connectent au travers du VPN se retrouvent avec une adressse 192.168.2.X, c'est la que se situe mon soucis, en faisant un test avec plusieurs clients en simultané, chaque client se retrouve avec l'adresse 192.168.2.2 ce qui déconnecte le premier des deux utilisateurs connecté, je ne sais pas du tout comment Openvpn attribue ces adresses ? J'ai pu voir un fichier "ipp.txt" qui semble logger les connexions en cours pour éviter ce problème mais cela ne semble pas fonctionner.

 

Ce qui me manquait principalement lors de la première étape c'était l'ip forwarding actif sur ma machine ubuntu, il en va de même pour les routes à pousser, les DNS, tout ceci est en place et assimilé.

[Pyrithe]

@Bds Essaye d'appliquer cette conf côté serveur :

server 192.168.2.0 255.255.255.0

Qui signifie que ton serveur va utiliser le réseau virtuel 192.168.2.0/24 pour le VPN, et par défaut prendra la première IP pour le serveur (soit 192.168.2.1).

Tu peux ajouter une route à pousser :

push "route 192.168.0.0 255.255.255.0"

On pousse ici une règle au client qui lui explique que pour accéder au réseau 192.168.0.0/24 il faut utiliser le tunnel VPN.

 

Si ca ne fonctionne pas, est ce que tu peux mettre ici tes fichiers de conf coté client, et coté serveur stp?

(en masquant les @IP publiques bien sur).

[Shuyinz]

Hello,

Quel appareil fait office de serveur VPN ? Livebox ? NAS ? Autre ?

[Pyrithe]

@Shuyinz Comme il l'a expliqué sur son premier post, c'est un serveur dédié, sous Ubuntu, qui fait le job.

[Exelsis]

Quel est le modèle de routeur zyxel? Ce serait plus simple de monter le vpn nomade avec. Si gamme USG => vpn ssl ou l2tp possible pour nomade

[garfield50]

Je serais tenté de dire que s'il passe par une solution openvpn, se serait pour question de coût ? 

 

Sinon je rejoins Pyrithe, je vois un problème de routage.

[Exelsis]

Les licences vpn ssl ne sont pas onéreuses, de base il y en a au moins deux incluses me semble, l infra sera bien plus simple à maintenir.

[Pyrithe]

Il y a 10 heures, Exelsis a dit :

Les licences vpn ssl ne sont pas onéreuses, de base il y en a au moins deux incluses me semble, l infra sera bien plus simple à maintenir.

Maintenir un OpenVPN c'est pas la grosse galère non plus... Enfin je trouve pas perso.

[Exelsis]

J avoue je connais pas, toujours utiliser les vpn ssl des FW

[Pyrithe]

@Exelsis J'ai rédigé quelques articles simples pour débuter avec la mise en place d'OpenVPN.

C'est un peu moins "user-friendly" à la mise en place que ce que proposent les firewall avec des assistants graphiques, mais ca permet de s'affranchir du matériel (si tu change de FW tu continue à fonctionner avec ton OpenVPN).

C'est gratuit, ca fonctionne sous Windows et Linux, etc...

A tester!

[Exelsis]

Je regarderais à l occasion. Me semble que les Fw stormshield se basent dessus  merci

[Bds]

Le 06/02/2020 à 16:36, garfield50 a dit :

Je serais tenté de dire que s'il passe par une solution openvpn, se serait pour question de coût ? 

 

Sinon je rejoins Pyrithe, je vois un problème de routage.

 

Bonsoir à tous,

 

Très bon retour d'expérience puisqu'en période de Covid, cela à permis de gérer plus de 50 connexions en simultanés, le serveur tourne comme une horloge.

 

Merci pour votre aide en tout cas, je n'avais pas pris le temps de revenir vous signaler que tout fonctionne.

[ramius179]

Le 08/02/2020 à 23:53, Exelsis a dit :

Je regarderais à l occasion. Me semble que les Fw stormshield se basent dessus  merci

 

Effectivement