Liens inter-sites avec OpenVPN

Page principale
Ce message fait partie du fil suivant :
MArborescence complète du fil triée par date
M+\ 
MMMBruno Cudini à ->

Répondre à ce message
Auteur: Bruno Cudini
Date:  
À: guilde
Sujet: Liens inter-sites avec OpenVPN
Salut la liste,

Je cherche à relier un paquet de sites distants avec un routeur pfSense
chez nous au taf. Avant, on mettait un serveur OpenVPN par site, à la
fois chez le client et chez nous (notre routeur avait donc une bonne
cinquantaine d'instances OpenVPN), en PSK. Je voudrais faire ça avec un
serveur pfSense, qui utilise des certificats pour authentifier les
différents clients, comme dans le schéma suivant : 

   +-----------------+
   | Serveur Site B  |
   |-----------------|            +------------------+
   |                 |<---------->|  Serveur Zimbra  |
   |                 |            +------------------+
   |  Routeur local  |
   |  derrière ADSL  |            +------------------+
   |                 |<---------->|    Serveur AD    |
   | 172.18.129.0/24 |            +------------------+
   +-----------------+
           |
           |
           v
   +-----------------+
   | Site principal  |
   |-----------------|
   |                 |
   | Serveur VPN auth|
   | SSL avec CA sur |
   |  172.18.128/17  |
   |                 |
   +-----------------+
           ^
           |
           |
   +-------+---------+
   | Serveur Site C  |
   |-----------------|            +------------------+
   |                 |<---------->|  Serveur Zimbra  |
   |                 |            +------------------+
   |  Routeur local  |
   |  derrière ADSL  |            +------------------+
   |                 |<---------->|    Serveur AD    |
   | 172.18.130.0/24 |            +------------------+
   +-----------------+



Le problème étant que je n'arrive pas à définir des routes différentes
par client. Je peux définir des configs spécifiques par client
(identifiés par le Common Name du certificat), mais les routes que j'y
ajoute semblent totalement ignorées par le serveur, et le client se
retrouve avec une route vers 172.18.129.1, qui passe par le VPN.


Du coup j'en viens à me demander si c'est vraiment une bonne idée de
faire comme ça, vu qu'OpenVPN ne semble pas super adapté pour gérer
plusieurs routes vers les divers clients (sauf si j'ai juste raté un
truc). Et sinon, peut-être faire un serveur sur chaque site distant, et
aller m'y connecter avec plusieurs clients, mais dans l'idée je voudrais
avoir une config ultra générique pour les sites distants (changer que le
certificat), pour pouvoir ajouter la cinquantaine existante et l'autre
cinquantaine pour laquelle on a encore rien de prêt.

Si quelqu'un a une idée de comment configurer ça, voir une meilleure
façon de faire, je suis preneur !


Ce message a été envoyé sur les listes de diffusion suivantes :
Guilde
Informations sur la liste de diffusion | Messages voisins		<-Re: Archivage de donnéesBoîtier pour disques durs->
Archive des listes de la GUILDE administré par L'administrateurLurker (version 2.3)