[OpenVPN] Règle de flux

[Zinko]

Bonjour,

J'ai récemment mis en place un VPN nomade pour des utilisateurs se trouvant en dehors du site. Lors de la mise en place du VPN et notamment de la règle de flux concernant l'interface WAN, je me suis rendu compte que de mettre en source le port 1194, cela ne fonctionnait pas.
J'ai donc configuré la règle de flux suivante pour que cela fonctionne :
Protocole Source Port Destination Port Passerelle Planificateur
IPv4 UDP * * WAN adresse 1194 (OpenVPN) * *

Ma configuration est assez simple et ressemble de près a ce qui a été mis en place dans la doc mise à part que le backend pour l'authentification se fait en via la base de donnée locale et que j'ai activé la passerelle de redirection.

Est ce une erreur ou une mauvaise configuration de ma part ?

Merci par avance de vos retours

[gregober]

J'ai donc configuré la règle de flux suivante pour que cela fonctionne :
Protocole Source Port Destination Port Passerelle Planificateur
IPv4 UDP * * WAN adresse 1194 (OpenVPN) * *

Cette configuration sur le WAN est bonne.

Elle va te permettre de recevoir les paquets UDP initiés par ton client VPN, ton client se connecte sur le port 1194 UDP et il se connecte bien sur le port WAN.

Donc tout est ok !

[Zinko]

Merci pour votre retour,

Je pense alors qu'il doit y avoir une erreur dans la documentation en ce qui concerne la configuration de la règle de flux pour le WAN.
Dans la documentation, il est conseillé d'appliquer cette configuration :
(Voir pièce jointe).

Ce qui n'est pas mon cas.

[gregober]

Merci pour votre retour,

Je pense alors qu'il doit y avoir une erreur dans la documentation en ce qui concerne la configuration de la règle de flux pour le WAN.
Dans la documentation, il est conseillé d'appliquer cette configuration :
(Voir pièce jointe).

Ce qui n'est pas mon cas.

La règle est bonne. Je vous l'explique :

Vous partez de l'Internet (vos clients sont situés sur l'Internet) donc source "*"
Ils initient une connexion depuis un port aléatoire initié par leur client Open VPN donc là aussi "*"

Ils vont se connecter sur votre port WAN (donc "WAN adress") sur le port d'écoute 1194 (port par défaut du serveur Open VPN).

Tout est bon.

Bien évidemment si vous êtes connectés derrière une box qui fait du NAT, cela ne va pas fonctionner, il faut que vous récupériez l'IP publique de votre borne sur votre patte WAN.

Pour tester si le port WAN est bien accessible, vous pouvez faire la commande Unix suivante:

Code: Select all

# nc -vzu ip.wan.de.votre-borne 1194 

Cela envoie une requête sur le port 1194 en UDP et check si cela répond.
Cette commande est a exécuter en dehors de votre LAN.

[Zinko]

L'explication est très clair et mon VPN fonctionne correctement !

Effectivement, j'ai bien un routeur en frontal (accès FAI) qui effectue une règle de NAT vers le pare-feu Dynfi avec le port 1194 de natté. Donc mes clients nomades contact l'@IP publique sur le port 1194 et initie bien la connexion.

Pourriez-vous dans ce cas m'expliquer la règle de flux du port WAN de la documentation (celle-ci en l'occurence : https://dynfi.com/documentations/dynfi- ... FW_WAN.png) ? Ici, le port source spécifié est le 1194 alors que, comme vous l'avez dit, les clients qui initient la connexion ont un port aléatoire.

[gregober]

Pourriez-vous dans ce cas m'expliquer la règle de flux du port WAN de la documentation (celle-ci en l'occurence : https://dynfi.com/documentations/dynfi- ... FW_WAN.png) ? Ici, le port source spécifié est le 1194 alors que, comme vous l'avez dit, les clients qui initient la connexion ont un port aléatoire.

Il y avait effectivement une coquille sur cette image.
Je l'ai fixé et cela devrait être mise à jour très prochainement.

Merci pour le pointeur.