Bonjour,
 
Je cherche à configurer sans succès un serveur Open VPN sur un routeur TPLink ER7206 derrière une Freebox Mini 4K.
L'objectif est d'accéder depuis mon domicile aux données de mon lieu de travail.
 
 
J'arrive bien à me connecter au Serveur VPN (confirmation sur le client et connexion visible sur l'interface du routeur).
Le pc connecté à la VPN prend l'adresse 192.168.2.6.
Le routeur a l'adresse 192.168.10.1.
L'ordinateur sur lequel je souhaite me connecter a l'adresse 192.168.10.103.
 
 
J'ai un retour de ping avec le routeur 192.168.10.1 mais pas avec le PC 192.168.10.103.
 
Après quelques recherches, j'ai vu qu'il faudrait configurer le firewall du routeur pour autoriser le trafic de la VPN (192.168.0.2) vers le LAN (192.168.10.0), ce que je pense avoir fait, mais ça ne fonctionne pas.
 
Auriez vous une idée ?

Bonjour,
 
Pourquoi ne pas poser la question à la personne qui s'occupe du réseau pour ton lieu de travail ?
 
Cela dépend évidemment de l'entreprise en question, mais je sais que si un utilisateur mettait ce genre d'accès en place sans m'en avertir, il y aurait des sanctions.
 
 
Pour répondre à la question, c'est certainement parce-que le PC (192.168.10.103) ne dispose pas de la route indiquant "192.168.2.0/24 est via 192.168.10.1".
Cela s'ajoute assez facilement sous Windows avec cette commande, en tant qu'administrateur :

Par contre, cela ne réglera le problème que pour le PC et pas pour les autres machines du réseau. Il faudrait réorganiser le réseau d'une manière plus exhaustive.

Merci pour votre réponse.
En fait il s'agit de mon bureau (travailleur indépendant), donc mon employeur est bien au courant
 

Pourriez vous m'en dire un peu plus ?

Si l'on prend un exemple de réseau avec 2 machines et 2 routeurs entre eux :

Dans ce cas, un ping depuis la machine A vers la machine B provoque le trafic suivant:

Or, pour qu'une machine ou un routeur sache envoyer un paquet à une destination, il est nécessaire qu'il possède la route vers cette destination.
 
Dans l'exemple ci-dessus, les routes ci-dessous sont donc nécessaires :

Si la moindre de ces routes manque, le ping ne fonctionnera pas.
 
 
Maintenant, pour prendre le cas concret de ton réseau, le DHCP de la Freebox fournit aux machines de ton bureau une seule route, la route par défaut, via l'adresse IP de la Freebox elle-même (192.168.10.254).
 
* Une solution pourrait être que la Freebox connaisse une route vers les IP VPN (192.168.2.0/24) via le routeur VPN (192.168.10.0/24). Hélas, la Freebox ne le permet pas malgré le fait que cette fonctionnalité ai été demandée depuis maintenant plus de 20 ans.
 
* Une autre solution serait que le serveur de VPN soit sur la Freebox elle-même. C'est la solution de loin la plus facile. Par contre, ce sera un gros problème si tu veux retirer la Freebox pour partir à la concurrence ou déménager.
 
* La solution que je conseillerais serait d'utiliser le routeur VPN comme seul routeur pour tes machines du bureau et que ce routeur VPN soit lui-même connecté à la Freebox. Cela donnerait ceci :

Il faudra également mettre en place du (S)NAT sur le routeur VPN. Pour échapper au fait que l'on ne puisse pas ajouter de route à la Freebox, comme dit plus haut.
 
* Une dernière solution, que je ne détaillerais pas, serait d'avoir un routeur tiers ET la Frebox tous deux dans le même sous-réseau 192.168.10.0/24 , de désactiver le DHCP de la Freebox afin que le routeur tiers DHCP et soit le routeur de la route par défaut.
Lorsque le routeur tiers voir passer du trafic à destination d'Internet, il envoie (route) le trafic à la Freebox.
Tous les appareils qui se disent routeur ne savent pas le faire. On peut le faire avec du Mikrotik ou du Linux fait maison mais pas avec OPNsense, par exemple.

Un grand merci pour ces explications très détaillées    
 
Dans un premier temps, j'ai tenté d'utiliser le serveur VPN intégré à la freebox, mais la performance était catastrophique, d'où l'achat du routeur VPN, mais je ne m'attendais pas à une configuration aussi compliquée ! (pour un novice j'entends   )
 

Il me semble que c'est justement la configuration que j'ai mise en oeuvre.
Cela sous entant de passer la freebox en mode bridge pour désactiver la fonction routeur ? Ce que je n'ai pas fait car je souhaitais conserver le wifi de la freebox pour une Bose et une imprimante, mais c'est secondaire, je peux toujours compléter avec un point d'accès branché sur le routeur VPN.

Je n'ai pas de Freebox à disposition pour vérifier cela mais il me semble que cette configuration fonctionne avec la Freebox en mode routeur ou en mode bridge, peu importe.
 
Et oui, tu peux toujours ajouter un point d'accès sur la partie LAN du routeur VPN.
 
Et justement, tu n'as pas précisé le matériel utilisé comme routeur VPN mais, si l'on prend l'image des ports d'un "routeur WiFi" de type grand-public, on peut voir ce genre de choses :
 

 
Il y a un ensemble de ports marqués "LAN" et un port marqué "WAN".
Si tu as la même chose sur ton routeur VPN, le port "WAN" doit être connecté à la Freebox. Et les ports "LAN" peuvent être connectés à l'ordi 192.168.10.103 etc. Ces ports "LAN" sont en fait un switch (aussi appelé "bridge" ), relié ensuite à une partie routeur.
 
Il est important que la Freebox ne soit pas être raccordée au réseau "LAN" du routeur VPN.
 
Ensuite, comme il y aura deux réseaux ( un premier constitué de la Freebox et du routeur VPN, un second constitué du routeur VPN et de l'ordi etc ) qui seront séparés par le routeur VPN, chacun de ces deux réseaux aura un "sous-réseau IP" différent.
 
Par exemple, 192.168.10.0/24 ( ou 192.168.10.0 masque 255.255.255.0 ) pour le réseau "LAN" du routeur VPN.
Et 192.168.9.0/24 pour le réseau "WAN" du routeur VPN et de la Freebox.
 
Contrairement à ton message initial, la Freebox NE DOIT PAS être dans le même réseau ou le même sous-réseau IP que ton ordi.
Et le routeur VPN aura 2 adresses IP, une pour chaque réseau entre lesquels il fait routeur.
 
outil facile pour le calcul du masque réseau : https://www.iptp.net/en_US/iptp-tools/ip-calculator/

Je ne l'ai pas suffisamment détaillé dans le premier post, mais ce que tu décris est exactement la configuration que j'ai appliquée :

internet --------- Freebox ------------ routeur VPN TPLink ER7206 sur port wan --------------- Switch HP ----------------- ordinateur
IP fixe             192.168.0.254                      192.168.0.2
                                                              192.168.10.1                                                 192.168.10.2                    192.168.10.103                        

et voici la table de routage du routeur VPN :

ID     Destination IP            Subnet mask             next Hop          Interface          metric
1         0.0.0.0                     0.0.0.0              192.168.0.254         WAN                0
2      192.168.0.0            255.255.255.0               0.0.0.0              WAN                0
3     192.168.0.254         255.255.255.255            0.0.0.0              WAN                0
4     192.168.2.2             255.255.255.255            0.0.0.0              VPN                0
5     192.168.2.6             255.255.255.255            0.0.0.0              VPN                0       quand je suis connecté à la VPN uniquement
6     192.168.10.0            255.255.255.0               0.0.0.0              LAN                0
7     192.168.2.0             255.255.255.0            192.168.2.2           VPN                0

C'est ce qui a été créé en automatique par le routeur.

Est-ce qu'il est possible de ping le switch HP en 192.168.10.2 depuis la machine connectée au VPN / 192.168.2.6 ?
 
Il est fréquent que je rencontre des problèmes avec le pare-feu inclus dans Windows. Par exemple, dans sa configuration par défaut, la règle pour accepter les ping n'autorise pas la "traversée latérale", une option dont personne ne sait vraiment ce dont il s'agit.
 
Il faudrait donc s'assurer que le problème ne vienne pas de là. Si l'ordinateur est sous Windows, bien évidemment.

Non je n’ai pas de réponse au ping du switch HP depuis la vpn

Le plus probable est donc effectivement un problème avec la configuration du TPLink ER7206. Notamment de la partie pare-feu dont tu pensais déjà qu'elle pourrait être en cause.
 
Tu saurais nous envoyer ici un maximum d'éléments de sa configuration ?

J'ai tout laissé par défaut sauf la partie Access control où j'ai mis 2 règles :  
 
ID          Name             Policy               Service type              Direction             Source             Destination             Effective Time  
1          VPNtoLAN        Allow                   ALL                         ALL                 groupVPN         IPGROUP_LAN                 Any
2          LANtoVPN        Allow                   ALL                         ALL                 IPgroup_LAN        GroupVPN                   Any
 
 
le groupe IPgroupLAN renvoie vers les addresses 192.168.10.0/24
le groupe IPVPN renvoie vers les adresses 192.168.2.0/24
 
Si ça peut t'aider dans les possibilités, voici le lien du simulateur de l'interface du routeur :  
https://emulator.tp-link.com/5.13-E [...] index.html