Alors pour ce cas, comme je l'ai dit, je n'ai pas mis en place de NAT.
Mon NAT est en place pour cacher le réseau derrière le routeur. Si tu
n'as pas besoin de "cacher" ce dernier, ajoute un route sur ton pfSense
devant routeur disant que pour pointer vers le réseau derrière le
routeur, tu dois passer par la gateway routeur.

Si on reprend mon cas, sur le pfSense Site distant, j'ai ajouté :
1 GW (dans System / Routing / Gateways) avec l'IP de mon routeur
(192.168.2.10 dans mon cas)
1 route (dans System / Routing / Static Routes) indiquant que pour aller
sur le réseau distant (172.16.1.0/24 dans mon cas), je devais passer par
la GW_192.168.2.10 via l'interface LAN.

Y.

Le 2017-07-11 14:25, Mohamadou DIAGANA a écrit :
> Bonjour,
> Franchement je suis confronté au même problème depuis plusieurs jours.
> 
> Quand les équipements sont places derrière le pfsense ça passe mais des que
> ça passe par le routeur derrière le pfsense ça bloque.
> Et pourtant le tunnel est bien monté je vous le trafic au niveau du tunnel.
> 
> Peut tu me dire comment tu as mis en place le nat stp.
> 
> Merci.
> 
> 
> 
> Bien Cordialement,
> 
> Mohamadou DIAGANA
> 
> 
> Notre environnement est fragile, merci de n’imprimer ce mail qu’en cas de
> nécessité.
> 
> 
> Le 11 juil. 2017 13:46, "Wagab" <waga...@riseup.net> a écrit :
> 
>> David,
>>
>> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas
>> sous notre responsabilité.
>>
>> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette
>> problématique, 1h pour écrire le mail, 1h pour résoudre le problème.
>>
>> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site
>> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az
>> et en avant Guingamp.
>>
>> Merci et désolé pour le dérangement.
>> Y.
>>
>> Le 2017-07-11 11:34, David Ponzone a écrit :
>> > Sincèrement, renumérote les autres sites.
>> > Un jour ou l’autre, ça va être ingérable.
>> >
>> >
>> >
>> >> Le 11 juil. 2017 à 11:15, Wagab <waga...@riseup.net> a écrit :
>> >>
>> >> Bonjour,
>> >>
>> >> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
>> >> distant que je croyais avoir déjà testée mais vu que maintenant cela
>> >> fonctionne, j'imagine que j'avais fait des conneries.
>> >>
>> >> Maintenant je suis sur ma problématique de NAT.
>> >>
>> >> Cordialement,
>> >> Yann
>> >>
>> >>
>> >> Le 2017-07-11 08:48, Wagab a écrit :
>> >>> Bonjour la liste,
>> >>>
>> >>> Cela fait quelques années que je suis la liste mais n'ayant que très
>> peu
>> >>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
>> >>> contribuer.
>> >>> Cependant, je suis confronté à un soucis sur lequel vous pourriez
>> >>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
>> >>> J'ai deux problématique.
>> >>>
>> >>> La première :
>> >>>
>> >>> Le besoin :
>> >>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
>> >>> mettre en place des tunnels IPSec.
>> >>> J'ai monté une maquette le plus représentatif possible d'un cas
>> concret.
>> >>>
>> >>>
>> >>> |     AZURE     |           | ACCES Internet | Site Distant
>>                        |
>> >>>                               Non maitrisé
>> >>> Console_Az -----|       |                    |
>> >>>                     |-- @ --|-- ... -- ... --|pfSense Site
>> Distant|--|routeur|-- |Réseau
>> >>> Cible|
>> >>> pfSense_Az -----|       |                    |
>> >>>
>> >>> Réseau AZURE : 10.8.0.0/24
>> >>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP
>> Client
>> >>> (192.168.0.110/24)
>> >>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
>> >>> Default GW : 192.168.2.10
>> >>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
>> >>> (192.168.2.0/24)
>> >>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
>> >>>
>> >>>
>> >>> Quand les machines auxquelles la Console_Az doit accéder sont
>> >>> positionnées juste derrière le pfSense Site Distant, aucun problème.
>> >>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
>> >>> et le pfSense Site Distant.
>> >>>
>> >>> Lorsque je lance un ping depuis la Console_Az vers une machine du
>> réseau
>> >>> cible, ce dernier ne passe pas.
>> >>> Un ping depuis une machine du Réseau Cible, ce dernier passe.
>> >>>
>> >>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
>> >>> et le routeur lors d'un ping de la Console_Az vers une machine du
>> réseau
>> >>> cible. Je le vois bien transiter dans le tunnel (log sur les 2
>> pfSense).
>> >>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
>> >>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
>> >>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant.
>> Celui
>> >>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
>> >>> m'indique qu'aucun ping n'arrive.
>> >>>
>> >>> A priori, on est dans une problèmatique de débutant en terme de réseau.
>> >>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
>> >>> mais sans succès et à force je me mélange.
>> >>> Voici la conf de mes tunnels IPSec :
>> >>>
>> >>> pfSense Site Distant :
>> >>>
>> >>> Configuration  :
>> >>>     Remote Gateway          Mode    P1 Protocol     P1 Transforms   P1
>> Description
>> >>> IKE V1      WAN                     main    AES (256 bits)  SHA1
>>       Test IPSec VPN
>> >>>     52.164.243.95
>> >>>
>> >>> Mode        Local Subnet    Remote Subnet   P2 Protocol     P2
>> Transforms   P2 Auth
>> >>> Methods
>> >>> tunnel      192.168.2.0/24  10.8.0.0/24     ESP             AES
>> (auto)      SHA1
>> >>> tunnel      172.16.1.0/24   10.8.0.0/24     ESP             AES
>> (auto)      SHA1
>> >>>
>> >>> SADs :
>> >>> Source              Destination     Protocol        SPI
>>  Enc. alg.       Auth. alg.      Data
>> >>> 192.168.0.110       IP Pub Azure    ESP             cafd79ae
>> rijndael-cbc    hmac-sha1       0
>> >>> B
>> >>> IP Pub Azure        192.168.0.110   ESP             c2fbf651
>> rijndael-cbc    hmac-sha1
>> >>>     17340 B
>> >>> 192.168.0.110       IP Pub Azure    ESP             cb6200d5
>> rijndael-cbc    hmac-sha1
>> >>>     240 B
>> >>> IP Pub Azure        192.168.0.110   ESP             c34cc1f1
>> rijndael-cbc    hmac-sha1
>> >>>     120 B
>> >>>
>> >>> SPDs :
>> >>> Source              Destination     Direction       Protocol
>> Tunnel endpoints
>> >>> 10.8.0.0/24         192.168.2.0/24  ◄ Inbound       ESP
>>  IP Pub Azure ->
>> >>> 192.168.0.110
>> >>> 10.8.0.0/24         172.16.1.0/24   ◄ Inbound       ESP
>>  IP Pub Azure ->
>> >>> 192.168.0.110
>> >>> 192.168.2.0/24      10.8.0.0/24     ► Outbound      ESP
>>  192.168.0.110 -> IP Pub
>> >>> Azure
>> >>> 172.16.1.0/24       10.8.0.0/24     ► Outbound      ESP
>>  192.168.0.110 -> IP Pub
>> >>> Azure
>> >>>
>> >>> pfSense_Az :
>> >>>
>> >>> Configuration :
>> >>>     Remote Gateway          Mode    P1 Protocol     P1 Transforms   P1
>> Description
>> >>> IKE V1      WAN                     main    AES (256 bits)  SHA1
>>       Test IPSec VPN
>> >>>     78.155.157.245
>> >>>
>> >>> Mode        Local Subnet    Remote Subnet   P2 Protocol     P2
>> Transforms   P2 Auth
>> >>> Methods
>> >>> tunnel      10.8.0.0/24     192.168.2.0/24  ESP             AES
>> (auto)      SHA1
>> >>> tunnel      10.8.0.0/24     172.16.1.0/24   ESP             AES
>> (auto)      SHA1
>> >>>
>> >>> SADs :
>> >>> Source              Destination     Protocol        SPI
>>  Enc. alg.       Auth. alg.
>> >>> 10.8.0.5    IP Pub Distant  ESP             cbcd362a
>> rijndael-cbc    hmac-sha1
>> >>> IP Pub Distant      10.8.0.5        ESP             ccc761e7
>> rijndael-cbc    hmac-sha1
>> >>> 10.8.0.5    IP Pub Distant  ESP             c8b22c38
>> rijndael-cbc    hmac-sha1
>> >>> IP Pub Distant      10.8.0.5        ESP             c7c85925
>> rijndael-cbc    hmac-sha1
>> >>>
>> >>> SPDs :
>> >>> Source              Destination     Direction       Protocol
>> Tunnel endpoints
>> >>> 192.168.2.0/24      10.8.0.0/24     ◄ Inbound       ESP
>>  IP Pub Distant -> 10.8.0.5
>> >>> 172.16.1.0/24       10.8.0.0/24     ◄ Inbound       ESP
>>  IP Pub Distant -> 10.8.0.5
>> >>> 10.8.0.0/24         192.168.2.0/24  ► Outbound      ESP
>>  10.8.0.5 -> IP Pub
>> >>> Distant
>> >>> 10.8.0.0/24         172.16.1.0/24   ► Outbound      ESP
>>  10.8.0.5 -> IP Pub Distant
>> >>>
>> >>> Je pense qu'il s'agit d'un soucis de route sur le pfSense distant mais
>> >>> j'avoue ne plus savoir quoi / comment l'ajouter.
>> >>>
>> >>> Deuxième problématique :
>> >>> La maquette modélisée ci-dessus est une représentation de plusieurs
>> >>> sites distants auxquels nous devront accéder. Malheureusement, les
>> >>> routeurs "site distant" et les "réseaux cibles" auront tous les mêmes
>> >>> plans d'adressage. Il est donc nécessaire de mettre en place du NAT
>> >>> (enfin de mon point de vue). Or, comme je n'arrive déjà pas à faire
>> >>> fonctionner correctement une archi simple, je crains ne pas être
>> capable
>> >>> de mettre en place cette config. Sauriez-vous comment dois-je
>> configurer
>> >>> mes pfSense dans ce 2e cas ?
>> >>>
>> >>> J'espère vous avoir donné toutes les billes pour pouvoir m'aider :).
>> >>>
>> >>> D'avance merci.
>> >>> Cordialement,
>> >>> Yann
>> >>>
>> >>>
>> >>> ---------------------------
>> >>> Liste de diffusion du FRnOG
>> >>> http://www.frnog.org/
>> >>
>> >>
>> >> ---------------------------
>> >> Liste de diffusion du FRnOG
>> >> http://www.frnog.org/
>> >
>> >
>> > ---------------------------
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à