Bonjour la liste,
Cela fait quelques années que je suis la liste mais n'ayant que très peu
d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
contribuer.
Cependant, je suis confronté à un soucis sur lequel vous pourriez
m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
J'ai deux problématique.
La première :
Le besoin :
Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
mettre en place des tunnels IPSec.
J'ai monté une maquette le plus représentatif possible d'un cas concret.
| AZURE | | ACCES Internet | Site Distant
|
Non maitrisé
Console_Az -----| | |
|-- @ --|-- ... -- ... --|pfSense Site
Distant|--|routeur|-- |Réseau
Cible|
pfSense_Az -----| | |
Réseau AZURE : 10.8.0.0/24
pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client
(192.168.0.110/24)
pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
Default GW : 192.168.2.10
routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
(192.168.2.0/24)
routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
Quand les machines auxquelles la Console_Az doit accéder sont
positionnées juste derrière le pfSense Site Distant, aucun problème.
Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
et le pfSense Site Distant.
Lorsque je lance un ping depuis la Console_Az vers une machine du réseau
cible, ce dernier ne passe pas.
Un ping depuis une machine du Réseau Cible, ce dernier passe.
J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
et le routeur lors d'un ping de la Console_Az vers une machine du réseau
cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense).
A priori, rien sur le routeur (l'interface de log du routeur n'est pas
très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui
n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
m'indique qu'aucun ping n'arrive.
A priori, on est dans une problèmatique de débutant en terme de réseau.
Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
mais sans succès et à force je me mélange.
Voici la conf de mes tunnels IPSec :
pfSense Site Distant :
Configuration :
Remote Gateway Mode P1 Protocol P1 Transforms P1
Description
IKE V1 WAN main AES (256 bits) SHA1 Test
IPSec VPN
52.164.243.95
Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms P2 Auth
Methods
tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) SHA1
tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) SHA1
SADs :
Source Destination Protocol SPI Enc. alg.
Auth. alg. Data
192.168.0.110 IP Pub Azure ESP cafd79ae rijndael-cbc
hmac-sha1 0
B
IP Pub Azure 192.168.0.110 ESP c2fbf651 rijndael-cbc
hmac-sha1
17340 B
192.168.0.110 IP Pub Azure ESP cb6200d5 rijndael-cbc
hmac-sha1
240 B
IP Pub Azure 192.168.0.110 ESP c34cc1f1 rijndael-cbc
hmac-sha1
120 B
SPDs :
Source Destination Direction Protocol Tunnel endpoints
10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub Azure ->
192.168.0.110
10.8.0.0/24 172.16.1.0/24 ◄ Inbound ESP IP Pub Azure ->
192.168.0.110
192.168.2.0/24 10.8.0.0/24 ► Outbound ESP 192.168.0.110
-> IP Pub
Azure
172.16.1.0/24 10.8.0.0/24 ► Outbound ESP 192.168.0.110
-> IP Pub
Azure
pfSense_Az :
Configuration :
Remote Gateway Mode P1 Protocol P1 Transforms P1
Description
IKE V1 WAN main AES (256 bits) SHA1 Test
IPSec VPN
78.155.157.245
Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms P2 Auth
Methods
tunnel 10.8.0.0/24 192.168.2.0/24 ESP AES (auto) SHA1
tunnel 10.8.0.0/24 172.16.1.0/24 ESP AES (auto) SHA1
SADs :
Source Destination Protocol SPI Enc. alg.
Auth. alg.
10.8.0.5 IP Pub Distant ESP cbcd362a rijndael-cbc
hmac-sha1
IP Pub Distant 10.8.0.5 ESP ccc761e7 rijndael-cbc
hmac-sha1
10.8.0.5 IP Pub Distant ESP c8b22c38 rijndael-cbc
hmac-sha1
IP Pub Distant 10.8.0.5 ESP c7c85925 rijndael-cbc
hmac-sha1
SPDs :
Source Destination Direction Protocol Tunnel endpoints
192.168.2.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub Distant
-> 10.8.0.5
172.16.1.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub Distant
-> 10.8.0.5
10.8.0.0/24 192.168.2.0/24 ► Outbound ESP 10.8.0.5 -> IP
Pub
Distant
10.8.0.0/24 172.16.1.0/24 ► Outbound ESP 10.8.0.5 -> IP
Pub Distant
Je pense qu'il s'agit d'un soucis de route sur le pfSense distant mais
j'avoue ne plus savoir quoi / comment l'ajouter.
Deuxième problématique :
La maquette modélisée ci-dessus est une représentation de plusieurs
sites distants auxquels nous devront accéder. Malheureusement, les
routeurs "site distant" et les "réseaux cibles" auront tous les mêmes
plans d'adressage. Il est donc nécessaire de mettre en place du NAT
(enfin de mon point de vue). Or, comme je n'arrive déjà pas à faire
fonctionner correctement une archi simple, je crains ne pas être capable
de mettre en place cette config. Sauriez-vous comment dois-je configurer
mes pfSense dans ce 2e cas ?
J'espère vous avoir donné toutes les billes pour pouvoir m'aider :).
D'avance merci.
Cordialement,
Yann
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
