C'était fait mais merci beaucoup :). Le 2017-07-11 13:59, David Ponzone a écrit : > Le fait d’exposer un problème par écrit permet souvent de voir les > choses avec un peu de perspective et de trouver la solution. > > Juste au cas où, tu as pensé au NAT dans l’autre sens ? > (si 192.168.1.0/24 sur site A a besoin d’accéder à 192.168.1.0/24 sur > site B, il devra donc le faire en utilisant 192.168.2.0/24, donc dans > ce cas là, l’ideal est sur site B, de mettre un NAT 1-1 de > 192.168.1.0/24 vers 192.168.2.0/24) > > > >> Le 11 juil. 2017 à 13:45, Wagab <waga...@riseup.net> a écrit : >> >> David, >> >> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas >> sous notre responsabilité. >> >> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette >> problématique, 1h pour écrire le mail, 1h pour résoudre le problème. >> >> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site >> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az >> et en avant Guingamp. >> >> Merci et désolé pour le dérangement. >> Y. >> >> Le 2017-07-11 11:34, David Ponzone a écrit : >>> Sincèrement, renumérote les autres sites. >>> Un jour ou l’autre, ça va être ingérable. >>> >>> >>> >>>> Le 11 juil. 2017 à 11:15, Wagab <waga...@riseup.net> a écrit : >>>> >>>> Bonjour, >>>> >>>> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense >>>> distant que je croyais avoir déjà testée mais vu que maintenant cela >>>> fonctionne, j'imagine que j'avais fait des conneries. >>>> >>>> Maintenant je suis sur ma problématique de NAT. >>>> >>>> Cordialement, >>>> Yann >>>> >>>> >>>> Le 2017-07-11 08:48, Wagab a écrit : >>>>> Bonjour la liste, >>>>> >>>>> Cela fait quelques années que je suis la liste mais n'ayant que très peu >>>>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de >>>>> contribuer. >>>>> Cependant, je suis confronté à un soucis sur lequel vous pourriez >>>>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. >>>>> J'ai deux problématique. >>>>> >>>>> La première : >>>>> >>>>> Le besoin : >>>>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de >>>>> mettre en place des tunnels IPSec. >>>>> J'ai monté une maquette le plus représentatif possible d'un cas concret. >>>>> >>>>> >>>>> | AZURE | | ACCES Internet | Site Distant >>>>> | >>>>> Non maitrisé >>>>> Console_Az -----| | | >>>>> |-- @ --|-- ... -- ... --|pfSense Site >>>>> Distant|--|routeur|-- |Réseau >>>>> Cible| >>>>> pfSense_Az -----| | | >>>>> >>>>> Réseau AZURE : 10.8.0.0/24 >>>>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client >>>>> (192.168.0.110/24) >>>>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - >>>>> Default GW : 192.168.2.10 >>>>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client >>>>> (192.168.2.0/24) >>>>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 >>>>> >>>>> >>>>> Quand les machines auxquelles la Console_Az doit accéder sont >>>>> positionnées juste derrière le pfSense Site Distant, aucun problème. >>>>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible >>>>> et le pfSense Site Distant. >>>>> >>>>> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau >>>>> cible, ce dernier ne passe pas. >>>>> Un ping depuis une machine du Réseau Cible, ce dernier passe. >>>>> >>>>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant >>>>> et le routeur lors d'un ping de la Console_Az vers une machine du réseau >>>>> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). >>>>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas >>>>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un >>>>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui >>>>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible >>>>> m'indique qu'aucun ping n'arrive. >>>>> >>>>> A priori, on est dans une problèmatique de débutant en terme de réseau. >>>>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route >>>>> mais sans succès et à force je me mélange. >>>>> Voici la conf de mes tunnels IPSec : >>>>> >>>>> pfSense Site Distant : >>>>> >>>>> Configuration : >>>>> Remote Gateway Mode P1 Protocol P1 Transforms P1 >>>>> Description >>>>> IKE V1 WAN main AES (256 bits) SHA1 >>>>> Test IPSec VPN >>>>> 52.164.243.95 >>>>> >>>>> Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms >>>>> P2 Auth >>>>> Methods >>>>> tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) >>>>> SHA1 >>>>> tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) >>>>> SHA1 >>>>> >>>>> SADs : >>>>> Source Destination Protocol SPI Enc. >>>>> alg. Auth. alg. Data >>>>> 192.168.0.110 IP Pub Azure ESP cafd79ae >>>>> rijndael-cbc hmac-sha1 0 >>>>> B >>>>> IP Pub Azure 192.168.0.110 ESP c2fbf651 >>>>> rijndael-cbc hmac-sha1 >>>>> 17340 B >>>>> 192.168.0.110 IP Pub Azure ESP cb6200d5 >>>>> rijndael-cbc hmac-sha1 >>>>> 240 B >>>>> IP Pub Azure 192.168.0.110 ESP c34cc1f1 >>>>> rijndael-cbc hmac-sha1 >>>>> 120 B >>>>> >>>>> SPDs : >>>>> Source Destination Direction Protocol Tunnel >>>>> endpoints >>>>> 10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub >>>>> Azure -> >>>>> 192.168.0.110 >>>>> 10.8.0.0/24 172.16.1.0/24 ◄ Inbound ESP IP Pub >>>>> Azure -> >>>>> 192.168.0.110 >>>>> 192.168.2.0/24 10.8.0.0/24 ► Outbound ESP >>>>> 192.168.0.110 -> IP Pub >>>>> Azure >>>>> 172.16.1.0/24 10.8.0.0/24 ► Outbound ESP >>>>> 192.168.0.110 -> IP Pub >>>>> Azure >>>>> >>>>> pfSense_Az : >>>>> >>>>> Configuration : >>>>> Remote Gateway Mode P1 Protocol P1 Transforms P1 >>>>> Description >>>>> IKE V1 WAN main AES (256 bits) SHA1 >>>>> Test IPSec VPN >>>>> 78.155.157.245 >>>>> >>>>> Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms >>>>> P2 Auth >>>>> Methods >>>>> tunnel 10.8.0.0/24 192.168.2.0/24 ESP AES (auto) >>>>> SHA1 >>>>> tunnel 10.8.0.0/24 172.16.1.0/24 ESP AES (auto) >>>>> SHA1 >>>>> >>>>> SADs : >>>>> Source Destination Protocol SPI Enc. >>>>> alg. Auth. alg. >>>>> 10.8.0.5 IP Pub Distant ESP cbcd362a rijndael-cbc >>>>> hmac-sha1 >>>>> IP Pub Distant 10.8.0.5 ESP ccc761e7 >>>>> rijndael-cbc hmac-sha1 >>>>> 10.8.0.5 IP Pub Distant ESP c8b22c38 rijndael-cbc >>>>> hmac-sha1 >>>>> IP Pub Distant 10.8.0.5 ESP c7c85925 >>>>> rijndael-cbc hmac-sha1 >>>>> >>>>> SPDs : >>>>> Source Destination Direction Protocol Tunnel >>>>> endpoints >>>>> 192.168.2.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub >>>>> Distant -> 10.8.0.5 >>>>> 172.16.1.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub >>>>> Distant -> 10.8.0.5 >>>>> 10.8.0.0/24 192.168.2.0/24 ► Outbound ESP >>>>> 10.8.0.5 -> IP Pub >>>>> Distant >>>>> 10.8.0.0/24 172.16.1.0/24 ► Outbound ESP >>>>> 10.8.0.5 -> IP Pub Distant >>>>> >>>>> Je pense qu'il s'agit d'un soucis de route sur le pfSense distant mais >>>>> j'avoue ne plus savoir quoi / comment l'ajouter. >>>>> >>>>> Deuxième problématique : >>>>> La maquette modélisée ci-dessus est une représentation de plusieurs >>>>> sites distants auxquels nous devront accéder. Malheureusement, les >>>>> routeurs "site distant" et les "réseaux cibles" auront tous les mêmes >>>>> plans d'adressage. Il est donc nécessaire de mettre en place du NAT >>>>> (enfin de mon point de vue). Or, comme je n'arrive déjà pas à faire >>>>> fonctionner correctement une archi simple, je crains ne pas être capable >>>>> de mettre en place cette config. Sauriez-vous comment dois-je configurer >>>>> mes pfSense dans ce 2e cas ? >>>>> >>>>> J'espère vous avoir donné toutes les billes pour pouvoir m'aider :). >>>>> >>>>> D'avance merci. >>>>> Cordialement, >>>>> Yann >>>>> >>>>> >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
