OpenVPN et PFSense

Bonjour,

Quelqu’un a-t-il eu beaucoup de succès en essayant de faire fonctionner OpenVPN sur PFSense (2.7.0) ? J’ai suivi diverses tutoriels en ligne et sur YouTube pour le faire fonctionner sur mon homelab pour l’accès à distance et les tests… Je configure les certificats, mets en place le serveur, configure le DDNS, crée les règles de pare-feu, les fichiers s’exportent bien et l’installation se passe parfaitement. Mais quand j’essaie de me connecter, il résout l’IP correctement puis reste bloqué sur « Tentative d’établissement de la connexion TCP avec… »

Les services tournent tous et sont initiaux, j’espère que c’est juste une erreur idiote que je ne vois pas.

Voici les journaux OpenVPN du client Windows.

2024-03-27 10:52:47 OpenVPN 2.6.7 [git:v2.6.7/53c9033317b3b8fd] Windows [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] construit le 8 nov. 2023

2024-03-27 10:52:47 Version Windows 10.0 (Windows 10 ou supérieur), amd64

2024-03-27 10:52:47 versions de la bibliothèque : OpenSSL 3.1.4 24 oct. 2023, LZO 2.10

2024-03-27 10:52:47 Version DCO : 1.0.0

2024-03-27 10:52:54 TCP/UDP : Conservation de l’adresse distante récemment utilisée :

[AF_INET]x.x.x.x:1194

2024-03-27 10:52:54 Tentative d’établir une connexion TCP avec

[AF_INET]x.x.x.x:1194

<cela reste ainsi jusqu’à ce que j’interrompe la tentative de connexion>

2024-03-27 10:53:05 SIGTERM [hard,init_instance] reçu, fermeture du processus

=-=-=-==-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Certificat :

dev tun

persist-tun

persist-key

chiffres-données AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC

chiffres-données-fallback AES-256-CBC

auth SHA256

tls-client

client

resolv-retry infini

remote 1194 tcp

nobind

verify-x509-name “CertName” nom

auth-user-pass

pkcs12 .p12

tls-auth .key 1

remote-cert-tls server

=-=-=-==-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Si vous avez besoin d’informations pour aider, faites le moi savoir.

Merci à tous

Je pense qu’il vous manque une règle de pare-feu pour autoriser la connexion

Exécutez définitivement l’assistant pour le configurer. Il crée automatiquement toutes les règles aux bons endroits.

Consultez les vidéos sur OpenVPN sur pfsense par Lawrence Systems sur YouTube. Cela m’a aidé à le faire fonctionner en environ 10 minutes, mais les règles ne sont pas expliquées ici. Il suppose que vous utilisez l’assistant pour automatiser leur création.

Je trouve toujours les recettes de négation très utiles. pfSense® software Configuration Recipes | pfSense Documentation ils proposent plusieurs tutoriels sur OpenVPN qui peuvent aider pour votre cas spécifique.

2.7.2 est la version actuelle et la 2.7.1 a une nouvelle version d’OpenSSL. 2.7.1 New Features and Changes | pfSense Documentation

Les logs côté pfSense ne montrent rien ? Le fournisseur d’accès à Internet ne bloque-t-il pas le port par hasard ?

Envisagez peut-être WireGuard si vous installez un nouveau VPN : vous y resterez pendant de nombreuses années.

L’installation sur pfsense n’est pas la plus facile, je pense qu’il ne fournit pas de QR codes pour une installation facile sur GSM.

Vous pouvez aussi regarder du côté d’un middleware comme defguard.net pour avoir un vrai TOTP avec wireguard qui utilise pfsense pour faire fonctionner une partie de la pile logiciel pour gérer l’IDP et le SSO pour un homelab.

Exactement ! C’est aussi ce que je pensais en fonction de son comportement. L’assistant lui-même a créé des règles lors de la configuration et je les ai vérifiées en double.

Merci, oui, j’ai suivi ce tutoriel aussi. Il l’explique bien mais je finis toujours par avoir le même problème.

Merci, je vais regarder cela.

Merci, j’ai aussi pensé à l’ISP, j’ai contacté leur support. J’attends leur réponse. En espérant que ce soit aussi simple que cela.

Je suis déjà passé par là où il faut une règle supplémentaire. Les logs vous diront probablement qu’il faut en ajouter plus en détaillant le niveau de verbosité.