Souci de configuration d’OpenVPN sur VPS

Bonjour,

Je rencontre quelques soucis avec ma config d’OpenVPN qui est sur un VPS chez OVH.

J’ai un parc qui comprend un serveur Hyper-V (Windows 2012 R2) avec plusieurs VM (Windows 2012 r2 et Windows 2008 R2), dont un serveur [AD, DHCP et DNS], un serveur de fichiers, un serveur d’application, …

Avec le confinement, on m’a demandé s’il était possible d’avoir un accès à différents dossiers de l’extérieur, avoir accès au serveur de fichiers, de basse de données WinDev et se connecter en TSE.

J’ai configuré un VPS Debian avec OpenVPN chez OVH.

Installer OpenVPN Connect sur un poste client externe, sur le serveur de fichiers, de BDD et TSE.

De l’extérieur, je peux avoir accès aux dossiers du serveur de fichiers, me connecter en TSE et même faire fonctionner l’application WinDev.

En interne, pour les serveurs connectés à OpenVPN, les clients (Windows 10) ont beaucoup de mal à se connecter (lecteurs réseaux) aux serveurs avec leurs nom DNS , je suis obligé d’utiliser leurs IP. Et même dans certain cas, même avec l’IP j’ai beaucoup de difficulté pour me connecter en TSE.

Je me doutes bien que ma config n’est pas correcte, mais je ne sais pas comment faire autrement.

Si quelqu’un pouvait me conseiller sur comment réaliser une installation correcte, j’en serai très heureux.

Merci par avance.

Bonjour,
Pourquoi le VPS n’est-il avec les autres serveurs? car ce devrait être là sa place. le pc client se connecte à travers internet sur le VPN, les autres serveurs n’ont pas besoind e openvpn car les client sont dans le meme reseau, ils se connectent sur les serveurs normallement.

en gros c’est :
Client VPN => Internet => VPS => serveurs
Client interne => switch => serveurs

Et non pas

Client VPN => internet => VPS => internet =>VPN => entreprise.

OpenVPN n’est utile que comme passerelle entre l’e"xterieur via internet et un client VPN, dans le réseau interne personne n’a besoin d’utiliser ni VPN ni openvpn.

Donc de fait c’est en interne que tu dois mettre ta passerelle OpenVPN, pas chez OVH.

Comme expliqué précédemment, si tu place une machine virtuelle avec OpenVPN dans ton réseau, tu n’aura qu’a le rendre atteignable depuis l’extérieur.
L’ajout de route pourra être poussé via la configuration des client OpenVPN et ainsi permettre au gens ayant activé leur client vpn d’atteindre sur le réseau privé les machines nécessaires.

Actuellement ,avec ton montage tu est obligé de multiplier les sauts via VPN, a moins que tu monte un vpn site à site entre ta machine OVH et ton réseau privé.

Merci sincèrement pour vos réponses.

Le problème est que je n’ai aucun accès aux paramètres du routeur. je ne peux pas faire de redirection.
Aujourd’hui j’utilise le port 443 en TCP parce que je n’arrive pas à utiliser un autre port en UDP.

Si vous connaissez un moyen d’accéder à un OpenVPN a travers un routeur non configurable, je suis preneur.

Encore merci

Ce que je veux faire, avoir un accès à des fichiers et des connexions TSE depuis le domicile.
Tout en sachant que je n’ai pas accès au routeur.

Mais tu ne la mentionnes pas, la config OpenVPN.

Concrètement, que signifie « beaucoup de mal » ?
Vérifier les DNS et les routes des serveurs quand le VPN est monté. Si le client VPN modifie les uns ou les autres, ça risque de poser des problèmes pour communiquer avec le reste du LAN.

Je suis d’accord avec les autres, un serveur VPN dans le LAN serait préférable. Si pas possible, un routeur VPN qui serait le seul client VPN entre le LAN et le routeur physique.

Si c’est ton entreprise qui te demande de faire cette configuration, il faut leur expliquer que tu dois pouvoir modifier la configuration du routeur (qui j’imagine fait firewall aussi? ) pour pouvoir faire marcher la configuration dans des condition optimales.

Ce n’est pas mon entreprise qui ne me donne pas accès au routeur, c’est une connexion de la région.
C’est la région qui s’occupe de la ligne internet.

Bonjour,

Un routeur VPN qui serait le seul client VPN entre le LAN et le routeur physique. ça, je peux le faire.
J’ai configurer un pfSense entre le LAN et le routeur, je peux lui ajouter le client OpenVPN.

Par contre comment les clients externes peuvent avoir accès aux dossiers et à une connexion TSE ?

C’est bien ce que tu me proposes de faire.
Dans ce cas je dois utiliser « tun » ou « tap » ?

Aujourd’hui j’utilise « tun »

Merci

pas de lien contractuel/hierarchique entre les deux?
C’est bien le problème de la mode du télétravail pour les nuls. pas de réflexion de fond.

Donc ta seule solution sinon c’est en effet de faire une machine interne et ton VPN. Mais ne fait pas un client OpenVPN, fait plutot un tunnel, ça sera plus éfficace.
Car c’est ta machine interne qui va se connecter vers le VPS pour qu’ensuite les machine du VPS viennent vers ta machine interne.
Un tunnel est donc plus approprié, car cela permet des communications dans les deux sens avec la même performance (au detail des machines près et des routeurs intermédiaires).

Merci pour ta réponse,
Comment dois-je m’y prendre pour créer un tunnel ?

Essaye cela:
https://wiki.csnu.org/index.php/IPsec_sous_debian_avec_strongswan
https://www.tecmint.com/setup-ipsec-vpn-with-strongswan-on-debian-ubuntu/

le deuxieme est pour ubuntu mais devrait etre adaptable. Le premier peut suffire.
Sur le VPS tu as deux choses: OpenVPN pour tes clients qui viennent s’y connecter. Puis le tunnel IPSec entre ta machine interne et la machine distante. en espérant que le routeur de la region ne bloque pas les tunnel (en tant que consultant , je préconise souvent aux entreprises d’interdire toutes formes de tunnels d’un poste interne qui n’ai pas été validé par la sécurité).

Ok, je regarde tout ça et je vous tiens au courant.
Merci

Oui, sauf que l’utilisation de TCP pour un VPN est déconseillée.

tap n’est utile que si on a besoin d’une couche ethernet, par exemple pour que les broadcasts passent (pour NetBios). Dans ce cas il faut faire un pont entre l’interface tap et l’interface LAN du firewall.

Quelle est la différence ? Un VPN, c’est une forme de tunnel. En quoi cela serait-il plus efficace ?

Qu’appelles-tu « les machines du VPS » ?

Je ne comprends pas ton raisonnement. Tout cela est possible avec OpenVPN.

Tu lui proposes de remplacer OpenVPN par IPSec qui est une usine à gaz sans nom ?

Quand un utilisateurs externe arrive en VPN sur le VPS il est directement dans le réseau du VPS et donc du site distant.
Si c’est du VPN entre les site, c’est du VPN de VPN. Le tunnel étend le réseau, le VPN t’amène au réseau. Cela implique évidement que le VPS soit correctement sécurisé.

Site to Site VPN vs Remote Access VPN –

les machines clientes du VPS, désolé il manquait un mot.

usine à gaz pas vraiment. La configuration est plus complexe, mais on ne peut pas parler d’usine à gaz.

Je ne vois toujours pas ce que tu veux dire. Il y a un VPN ou tunnel permanent entre le VPS et un client interne du site, et des VPN ou tunnels à la demande entre chaque client extérieur et le VPS. Le VPS et le client interne gèrent le routage entre les clients externes et le LAN interne. On peut utiliser aussi bien OpenVPN qu’IPSec ou n’importe quel autre protocole.

Tu te répètes, tu paraphrases, mais tu n’apporte aucune explication ni justification supplémentaire. Ce ne sont que des exemples d’utilisation d’un VPN, indépendants du protocole lui-même.

Pour moi, OpenVPN fait un VPN client-server. Avec IPSEC je fais un tunnel ou il n’y a pas vraiment de necessité de notion de client -server.

Ici je considère que c’est comme avoir deux sites distants l’un de l’autre. Le VPS d’un coté , l’entreprise de l’autre. le tunnel permanent en IPSEC relie deux sites. peut etre simplement lié à une habitude. Maispour moi OpenVPN c’est pour relier un utilisateurs en VPN. DAns le cas ici, je ne considère pas le VPS comme un client mais comme un site.