Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
Alors pour ce cas, comme je l'ai dit, je n'ai pas mis en place de NAT. Mon NAT est en place pour cacher le réseau derrière le routeur. Si tu n'as pas besoin de "cacher" ce dernier, ajoute un route sur ton pfSense devant routeur disant que pour pointer vers le réseau derrière le routeur, tu dois passer par la gateway routeur. Si on reprend mon cas, sur le pfSense Site distant, j'ai ajouté : 1 GW (dans System / Routing / Gateways) avec l'IP de mon routeur (192.168.2.10 dans mon cas) 1 route (dans System / Routing / Static Routes) indiquant que pour aller sur le réseau distant (172.16.1.0/24 dans mon cas), je devais passer par la GW_192.168.2.10 via l'interface LAN. Y. Le 2017-07-11 14:25, Mohamadou DIAGANA a écrit : > Bonjour, > Franchement je suis confronté au même problème depuis plusieurs jours. > > Quand les équipements sont places derrière le pfsense ça passe mais des que > ça passe par le routeur derrière le pfsense ça bloque. > Et pourtant le tunnel est bien monté je vous le trafic au niveau du tunnel. > > Peut tu me dire comment tu as mis en place le nat stp. > > Merci. > > > > Bien Cordialement, > > Mohamadou DIAGANA > > > Notre environnement est fragile, merci de n’imprimer ce mail qu’en cas de > nécessité. > > > Le 11 juil. 2017 13:46, "Wagab"a écrit : > >> David, >> >> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas >> sous notre responsabilité. >> >> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette >> problématique, 1h pour écrire le mail, 1h pour résoudre le problème. >> >> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site >> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az >> et en avant Guingamp. >> >> Merci et désolé pour le dérangement. >> Y. >> >> Le 2017-07-11 11:34, David Ponzone a écrit : >> > Sincèrement, renumérote les autres sites. >> > Un jour ou l’autre, ça va être ingérable. >> > >> > >> > >> >> Le 11 juil. 2017 à 11:15, Wagab a écrit : >> >> >> >> Bonjour, >> >> >> >> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense >> >> distant que je croyais avoir déjà testée mais vu que maintenant cela >> >> fonctionne, j'imagine que j'avais fait des conneries. >> >> >> >> Maintenant je suis sur ma problématique de NAT. >> >> >> >> Cordialement, >> >> Yann >> >> >> >> >> >> Le 2017-07-11 08:48, Wagab a écrit : >> >>> Bonjour la liste, >> >>> >> >>> Cela fait quelques années que je suis la liste mais n'ayant que très >> peu >> >>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de >> >>> contribuer. >> >>> Cependant, je suis confronté à un soucis sur lequel vous pourriez >> >>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. >> >>> J'ai deux problématique. >> >>> >> >>> La première : >> >>> >> >>> Le besoin : >> >>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de >> >>> mettre en place des tunnels IPSec. >> >>> J'ai monté une maquette le plus représentatif possible d'un cas >> concret. >> >>> >> >>> >> >>> | AZURE | | ACCES Internet | Site Distant >>| >> >>> Non maitrisé >> >>> Console_Az -| || >> >>> |-- @ --|-- ... -- ... --|pfSense Site >> Distant|--|routeur|-- |Réseau >> >>> Cible| >> >>> pfSense_Az -| || >> >>> >> >>> Réseau AZURE : 10.8.0.0/24 >> >>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP >> Client >> >>> (192.168.0.110/24) >> >>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - >> >>> Default GW : 192.168.2.10 >> >>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client >> >>> (192.168.2.0/24) >> >>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 >> >>> >> >>> >> >>> Quand les machines auxquelles la Console_Az doit accéder sont >> >>> positionnées juste derrière le pfSense Site Distant, aucun problème. >> >>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible >> >>> et le pfSense Site Distant. >> >>> >> >>> Lorsque je lance un ping depuis la Console_Az vers une machine du >> réseau >> >>> cible, ce dernier ne passe pas. >> >>> Un ping depuis une machine du Réseau Cible, ce dernier passe. >> >>> >> >>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant >> >>> et le routeur lors d'un ping de la Console_Az vers une machine du >> réseau >> >>> cible. Je le vois bien transiter dans le tunnel (log sur les 2 >> pfSense). >> >>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas >> >>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un >> >>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. >> Celui >> >>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible >> >>> m'indique qu'aucun ping n'arrive. >> >>> >> >>> A priori, on est dans une
Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
C'était fait mais merci beaucoup :). Le 2017-07-11 13:59, David Ponzone a écrit : > Le fait d’exposer un problème par écrit permet souvent de voir les > choses avec un peu de perspective et de trouver la solution. > > Juste au cas où, tu as pensé au NAT dans l’autre sens ? > (si 192.168.1.0/24 sur site A a besoin d’accéder à 192.168.1.0/24 sur > site B, il devra donc le faire en utilisant 192.168.2.0/24, donc dans > ce cas là, l’ideal est sur site B, de mettre un NAT 1-1 de > 192.168.1.0/24 vers 192.168.2.0/24) > > > >> Le 11 juil. 2017 à 13:45, Wagaba écrit : >> >> David, >> >> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas >> sous notre responsabilité. >> >> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette >> problématique, 1h pour écrire le mail, 1h pour résoudre le problème. >> >> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site >> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az >> et en avant Guingamp. >> >> Merci et désolé pour le dérangement. >> Y. >> >> Le 2017-07-11 11:34, David Ponzone a écrit : >>> Sincèrement, renumérote les autres sites. >>> Un jour ou l’autre, ça va être ingérable. >>> >>> >>> Le 11 juil. 2017 à 11:15, Wagab a écrit : Bonjour, pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense distant que je croyais avoir déjà testée mais vu que maintenant cela fonctionne, j'imagine que j'avais fait des conneries. Maintenant je suis sur ma problématique de NAT. Cordialement, Yann Le 2017-07-11 08:48, Wagab a écrit : > Bonjour la liste, > > Cela fait quelques années que je suis la liste mais n'ayant que très peu > d'expertise dans vos domaines, je n'ai jamais eu l'occasion de > contribuer. > Cependant, je suis confronté à un soucis sur lequel vous pourriez > m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. > J'ai deux problématique. > > La première : > > Le besoin : > Accéder depuis un cloud Azure à des sites distants. Il a été décidé de > mettre en place des tunnels IPSec. > J'ai monté une maquette le plus représentatif possible d'un cas concret. > > > | AZURE | | ACCES Internet | Site Distant > | > Non maitrisé > Console_Az -| | | > |-- @ --|-- ... -- ... --|pfSense Site > Distant|--|routeur|-- |Réseau > Cible| > pfSense_Az -| | | > > Réseau AZURE : 10.8.0.0/24 > pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client > (192.168.0.110/24) > pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - > Default GW : 192.168.2.10 > routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client > (192.168.2.0/24) > routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 > > > Quand les machines auxquelles la Console_Az doit accéder sont > positionnées juste derrière le pfSense Site Distant, aucun problème. > Ma problématique réside dans l'ajout d'un routeur entre le réseau cible > et le pfSense Site Distant. > > Lorsque je lance un ping depuis la Console_Az vers une machine du réseau > cible, ce dernier ne passe pas. > Un ping depuis une machine du Réseau Cible, ce dernier passe. > > J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant > et le routeur lors d'un ping de la Console_Az vers une machine du réseau > cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). > A priori, rien sur le routeur (l'interface de log du routeur n'est pas > très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un > ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui > n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible > m'indique qu'aucun ping n'arrive. > > A priori, on est dans une problèmatique de débutant en terme de réseau. > Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route > mais sans succès et à force je me mélange. > Voici la conf de mes tunnels IPSec : > > pfSense Site Distant : > > Configuration : > Remote Gateway ModeP1 Protocol P1 Transforms P1 > Description > IKE V1WAN mainAES (256 bits) SHA1 > Test IPSec VPN > 52.164.243.95 > > Mode Local SubnetRemote Subnet P2 Protocol P2 Transforms > P2 Auth > Methods > tunnel192.168.2.0/24 10.8.0.0/24 ESP AES (auto) > SHA1 > tunnel172.16.1.0/24 10.8.0.0/24 ESP AES (auto) > SHA1 > >
Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
Bonjour, Franchement je suis confronté au même problème depuis plusieurs jours. Quand les équipements sont places derrière le pfsense ça passe mais des que ça passe par le routeur derrière le pfsense ça bloque. Et pourtant le tunnel est bien monté je vous le trafic au niveau du tunnel. Peut tu me dire comment tu as mis en place le nat stp. Merci. Bien Cordialement, Mohamadou DIAGANA Notre environnement est fragile, merci de n’imprimer ce mail qu’en cas de nécessité. Le 11 juil. 2017 13:46, "Wagab"a écrit : > David, > > j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas > sous notre responsabilité. > > Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette > problématique, 1h pour écrire le mail, 1h pour résoudre le problème. > > J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site > Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az > et en avant Guingamp. > > Merci et désolé pour le dérangement. > Y. > > Le 2017-07-11 11:34, David Ponzone a écrit : > > Sincèrement, renumérote les autres sites. > > Un jour ou l’autre, ça va être ingérable. > > > > > > > >> Le 11 juil. 2017 à 11:15, Wagab a écrit : > >> > >> Bonjour, > >> > >> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense > >> distant que je croyais avoir déjà testée mais vu que maintenant cela > >> fonctionne, j'imagine que j'avais fait des conneries. > >> > >> Maintenant je suis sur ma problématique de NAT. > >> > >> Cordialement, > >> Yann > >> > >> > >> Le 2017-07-11 08:48, Wagab a écrit : > >>> Bonjour la liste, > >>> > >>> Cela fait quelques années que je suis la liste mais n'ayant que très > peu > >>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de > >>> contribuer. > >>> Cependant, je suis confronté à un soucis sur lequel vous pourriez > >>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. > >>> J'ai deux problématique. > >>> > >>> La première : > >>> > >>> Le besoin : > >>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de > >>> mettre en place des tunnels IPSec. > >>> J'ai monté une maquette le plus représentatif possible d'un cas > concret. > >>> > >>> > >>> | AZURE | | ACCES Internet | Site Distant >| > >>> Non maitrisé > >>> Console_Az -| || > >>> |-- @ --|-- ... -- ... --|pfSense Site > Distant|--|routeur|-- |Réseau > >>> Cible| > >>> pfSense_Az -| || > >>> > >>> Réseau AZURE : 10.8.0.0/24 > >>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP > Client > >>> (192.168.0.110/24) > >>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - > >>> Default GW : 192.168.2.10 > >>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client > >>> (192.168.2.0/24) > >>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 > >>> > >>> > >>> Quand les machines auxquelles la Console_Az doit accéder sont > >>> positionnées juste derrière le pfSense Site Distant, aucun problème. > >>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible > >>> et le pfSense Site Distant. > >>> > >>> Lorsque je lance un ping depuis la Console_Az vers une machine du > réseau > >>> cible, ce dernier ne passe pas. > >>> Un ping depuis une machine du Réseau Cible, ce dernier passe. > >>> > >>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant > >>> et le routeur lors d'un ping de la Console_Az vers une machine du > réseau > >>> cible. Je le vois bien transiter dans le tunnel (log sur les 2 > pfSense). > >>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas > >>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un > >>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. > Celui > >>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible > >>> m'indique qu'aucun ping n'arrive. > >>> > >>> A priori, on est dans une problèmatique de débutant en terme de réseau. > >>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route > >>> mais sans succès et à force je me mélange. > >>> Voici la conf de mes tunnels IPSec : > >>> > >>> pfSense Site Distant : > >>> > >>> Configuration : > >>> Remote Gateway ModeP1 Protocol P1 Transforms P1 > Description > >>> IKE V1 WAN mainAES (256 bits) SHA1 > Test IPSec VPN > >>> 52.164.243.95 > >>> > >>> ModeLocal SubnetRemote Subnet P2 Protocol P2 > Transforms P2 Auth > >>> Methods > >>> tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES > (auto) SHA1 > >>> tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES > (auto) SHA1 > >>> > >>> SADs : > >>> Source Destination ProtocolSPI > Enc. alg.
Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
Le fait d’exposer un problème par écrit permet souvent de voir les choses avec un peu de perspective et de trouver la solution. Juste au cas où, tu as pensé au NAT dans l’autre sens ? (si 192.168.1.0/24 sur site A a besoin d’accéder à 192.168.1.0/24 sur site B, il devra donc le faire en utilisant 192.168.2.0/24, donc dans ce cas là, l’ideal est sur site B, de mettre un NAT 1-1 de 192.168.1.0/24 vers 192.168.2.0/24) > Le 11 juil. 2017 à 13:45, Wagaba écrit : > > David, > > j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas > sous notre responsabilité. > > Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette > problématique, 1h pour écrire le mail, 1h pour résoudre le problème. > > J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site > Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az > et en avant Guingamp. > > Merci et désolé pour le dérangement. > Y. > > Le 2017-07-11 11:34, David Ponzone a écrit : >> Sincèrement, renumérote les autres sites. >> Un jour ou l’autre, ça va être ingérable. >> >> >> >>> Le 11 juil. 2017 à 11:15, Wagab a écrit : >>> >>> Bonjour, >>> >>> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense >>> distant que je croyais avoir déjà testée mais vu que maintenant cela >>> fonctionne, j'imagine que j'avais fait des conneries. >>> >>> Maintenant je suis sur ma problématique de NAT. >>> >>> Cordialement, >>> Yann >>> >>> >>> Le 2017-07-11 08:48, Wagab a écrit : Bonjour la liste, Cela fait quelques années que je suis la liste mais n'ayant que très peu d'expertise dans vos domaines, je n'ai jamais eu l'occasion de contribuer. Cependant, je suis confronté à un soucis sur lequel vous pourriez m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. J'ai deux problématique. La première : Le besoin : Accéder depuis un cloud Azure à des sites distants. Il a été décidé de mettre en place des tunnels IPSec. J'ai monté une maquette le plus représentatif possible d'un cas concret. | AZURE | | ACCES Internet | Site Distant | Non maitrisé Console_Az -| | | |-- @ --|-- ... -- ... --|pfSense Site Distant|--|routeur|-- |Réseau Cible| pfSense_Az -| | | Réseau AZURE : 10.8.0.0/24 pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client (192.168.0.110/24) pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - Default GW : 192.168.2.10 routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client (192.168.2.0/24) routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 Quand les machines auxquelles la Console_Az doit accéder sont positionnées juste derrière le pfSense Site Distant, aucun problème. Ma problématique réside dans l'ajout d'un routeur entre le réseau cible et le pfSense Site Distant. Lorsque je lance un ping depuis la Console_Az vers une machine du réseau cible, ce dernier ne passe pas. Un ping depuis une machine du Réseau Cible, ce dernier passe. J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant et le routeur lors d'un ping de la Console_Az vers une machine du réseau cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). A priori, rien sur le routeur (l'interface de log du routeur n'est pas très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible m'indique qu'aucun ping n'arrive. A priori, on est dans une problèmatique de débutant en terme de réseau. Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route mais sans succès et à force je me mélange. Voici la conf de mes tunnels IPSec : pfSense Site Distant : Configuration : Remote Gateway ModeP1 Protocol P1 Transforms P1 Description IKE V1 WAN mainAES (256 bits) SHA1 Test IPSec VPN 52.164.243.95 Mode Local SubnetRemote Subnet P2 Protocol P2 Transforms P2 Auth Methods tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) SHA1 tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) SHA1 SADs : Source Destination ProtocolSPI Enc. alg. Auth. alg. Data 192.168.0.110 IP Pub AzureESP
Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
David, j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas sous notre responsabilité. Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette problématique, 1h pour écrire le mail, 1h pour résoudre le problème. J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az et en avant Guingamp. Merci et désolé pour le dérangement. Y. Le 2017-07-11 11:34, David Ponzone a écrit : > Sincèrement, renumérote les autres sites. > Un jour ou l’autre, ça va être ingérable. > > > >> Le 11 juil. 2017 à 11:15, Wagaba écrit : >> >> Bonjour, >> >> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense >> distant que je croyais avoir déjà testée mais vu que maintenant cela >> fonctionne, j'imagine que j'avais fait des conneries. >> >> Maintenant je suis sur ma problématique de NAT. >> >> Cordialement, >> Yann >> >> >> Le 2017-07-11 08:48, Wagab a écrit : >>> Bonjour la liste, >>> >>> Cela fait quelques années que je suis la liste mais n'ayant que très peu >>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de >>> contribuer. >>> Cependant, je suis confronté à un soucis sur lequel vous pourriez >>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. >>> J'ai deux problématique. >>> >>> La première : >>> >>> Le besoin : >>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de >>> mettre en place des tunnels IPSec. >>> J'ai monté une maquette le plus représentatif possible d'un cas concret. >>> >>> >>> | AZURE | | ACCES Internet | Site Distant >>> | >>> Non maitrisé >>> Console_Az -| || >>> |-- @ --|-- ... -- ... --|pfSense Site >>> Distant|--|routeur|-- |Réseau >>> Cible| >>> pfSense_Az -| || >>> >>> Réseau AZURE : 10.8.0.0/24 >>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client >>> (192.168.0.110/24) >>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - >>> Default GW : 192.168.2.10 >>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client >>> (192.168.2.0/24) >>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 >>> >>> >>> Quand les machines auxquelles la Console_Az doit accéder sont >>> positionnées juste derrière le pfSense Site Distant, aucun problème. >>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible >>> et le pfSense Site Distant. >>> >>> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau >>> cible, ce dernier ne passe pas. >>> Un ping depuis une machine du Réseau Cible, ce dernier passe. >>> >>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant >>> et le routeur lors d'un ping de la Console_Az vers une machine du réseau >>> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). >>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas >>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un >>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui >>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible >>> m'indique qu'aucun ping n'arrive. >>> >>> A priori, on est dans une problèmatique de débutant en terme de réseau. >>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route >>> mais sans succès et à force je me mélange. >>> Voici la conf de mes tunnels IPSec : >>> >>> pfSense Site Distant : >>> >>> Configuration : >>> Remote Gateway ModeP1 Protocol P1 Transforms P1 >>> Description >>> IKE V1 WAN mainAES (256 bits) SHA1 >>> Test IPSec VPN >>> 52.164.243.95 >>> >>> ModeLocal SubnetRemote Subnet P2 Protocol P2 Transforms >>> P2 Auth >>> Methods >>> tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) >>> SHA1 >>> tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) >>> SHA1 >>> >>> SADs : >>> Source Destination ProtocolSPI Enc. >>> alg. Auth. alg. Data >>> 192.168.0.110 IP Pub AzureESP cafd79ae >>> rijndael-cbchmac-sha1 0 >>> B >>> IP Pub Azure192.168.0.110 ESP c2fbf651 >>> rijndael-cbchmac-sha1 >>> 17340 B >>> 192.168.0.110 IP Pub AzureESP cb6200d5 >>> rijndael-cbchmac-sha1 >>> 240 B >>> IP Pub Azure192.168.0.110 ESP c34cc1f1 >>> rijndael-cbchmac-sha1 >>> 120 B >>> >>> SPDs : >>> Source Destination Direction ProtocolTunnel >>> endpoints >>> 10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub >>> Azure -> >>> 192.168.0.110
Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
Sincèrement, renumérote les autres sites. Un jour ou l’autre, ça va être ingérable. > Le 11 juil. 2017 à 11:15, Wagaba écrit : > > Bonjour, > > pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense > distant que je croyais avoir déjà testée mais vu que maintenant cela > fonctionne, j'imagine que j'avais fait des conneries. > > Maintenant je suis sur ma problématique de NAT. > > Cordialement, > Yann > > > Le 2017-07-11 08:48, Wagab a écrit : >> Bonjour la liste, >> >> Cela fait quelques années que je suis la liste mais n'ayant que très peu >> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de >> contribuer. >> Cependant, je suis confronté à un soucis sur lequel vous pourriez >> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. >> J'ai deux problématique. >> >> La première : >> >> Le besoin : >> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de >> mettre en place des tunnels IPSec. >> J'ai monté une maquette le plus représentatif possible d'un cas concret. >> >> >> | AZURE || ACCES Internet | Site Distant >> | >>Non maitrisé >> Console_Az -| | | >> |-- @ --|-- ... -- ... --|pfSense Site >> Distant|--|routeur|-- |Réseau >> Cible| >> pfSense_Az -| | | >> >> Réseau AZURE : 10.8.0.0/24 >> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client >> (192.168.0.110/24) >> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - >> Default GW : 192.168.2.10 >> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client >> (192.168.2.0/24) >> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 >> >> >> Quand les machines auxquelles la Console_Az doit accéder sont >> positionnées juste derrière le pfSense Site Distant, aucun problème. >> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible >> et le pfSense Site Distant. >> >> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau >> cible, ce dernier ne passe pas. >> Un ping depuis une machine du Réseau Cible, ce dernier passe. >> >> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant >> et le routeur lors d'un ping de la Console_Az vers une machine du réseau >> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). >> A priori, rien sur le routeur (l'interface de log du routeur n'est pas >> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un >> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui >> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible >> m'indique qu'aucun ping n'arrive. >> >> A priori, on est dans une problèmatique de débutant en terme de réseau. >> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route >> mais sans succès et à force je me mélange. >> Voici la conf de mes tunnels IPSec : >> >> pfSense Site Distant : >> >> Configuration : >> Remote Gateway ModeP1 Protocol P1 Transforms P1 >> Description >> IKE V1 WAN mainAES (256 bits) SHA1 >> Test IPSec VPN >> 52.164.243.95 >> >> Mode Local SubnetRemote Subnet P2 Protocol P2 Transforms >> P2 Auth >> Methods >> tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) >> SHA1 >> tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) >> SHA1 >> >> SADs : >> Source Destination ProtocolSPI Enc. >> alg. Auth. alg. Data >> 192.168.0.110IP Pub AzureESP cafd79ae >> rijndael-cbchmac-sha1 0 >> B >> IP Pub Azure 192.168.0.110 ESP c2fbf651 >> rijndael-cbchmac-sha1 >> 17340 B >> 192.168.0.110IP Pub AzureESP cb6200d5 >> rijndael-cbchmac-sha1 >> 240 B >> IP Pub Azure 192.168.0.110 ESP c34cc1f1 >> rijndael-cbchmac-sha1 >> 120 B >> >> SPDs : >> Source Destination Direction ProtocolTunnel >> endpoints >> 10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub Azure -> >> 192.168.0.110 >> 10.8.0.0/24 172.16.1.0/24 ◄ Inbound ESP IP Pub Azure -> >> 192.168.0.110 >> 192.168.2.0/24 10.8.0.0/24 ► Outbound ESP >> 192.168.0.110 -> IP Pub >> Azure >> 172.16.1.0/2410.8.0.0/24 ► Outbound ESP >> 192.168.0.110 -> IP Pub >> Azure >> >> pfSense_Az : >> >> Configuration : >> Remote Gateway ModeP1 Protocol P1 Transforms P1 >> Description >> IKE V1 WAN mainAES (256 bits) SHA1 >> Test IPSec VPN >> 78.155.157.245 >> >> Mode
Re: [FRnOG] [TECH] Problématique IPSec sous pfSense
Bonjour, pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense distant que je croyais avoir déjà testée mais vu que maintenant cela fonctionne, j'imagine que j'avais fait des conneries. Maintenant je suis sur ma problématique de NAT. Cordialement, Yann Le 2017-07-11 08:48, Wagab a écrit : > Bonjour la liste, > > Cela fait quelques années que je suis la liste mais n'ayant que très peu > d'expertise dans vos domaines, je n'ai jamais eu l'occasion de > contribuer. > Cependant, je suis confronté à un soucis sur lequel vous pourriez > m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. > J'ai deux problématique. > > La première : > > Le besoin : > Accéder depuis un cloud Azure à des sites distants. Il a été décidé de > mettre en place des tunnels IPSec. > J'ai monté une maquette le plus représentatif possible d'un cas concret. > > > | AZURE | | ACCES Internet | Site Distant > | > Non maitrisé > Console_Az -| | | > |-- @ --|-- ... -- ... --|pfSense Site > Distant|--|routeur|-- |Réseau > Cible| > pfSense_Az -| | | > > Réseau AZURE : 10.8.0.0/24 > pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client > (192.168.0.110/24) > pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - > Default GW : 192.168.2.10 > routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client > (192.168.2.0/24) > routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 > > > Quand les machines auxquelles la Console_Az doit accéder sont > positionnées juste derrière le pfSense Site Distant, aucun problème. > Ma problématique réside dans l'ajout d'un routeur entre le réseau cible > et le pfSense Site Distant. > > Lorsque je lance un ping depuis la Console_Az vers une machine du réseau > cible, ce dernier ne passe pas. > Un ping depuis une machine du Réseau Cible, ce dernier passe. > > J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant > et le routeur lors d'un ping de la Console_Az vers une machine du réseau > cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). > A priori, rien sur le routeur (l'interface de log du routeur n'est pas > très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un > ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui > n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible > m'indique qu'aucun ping n'arrive. > > A priori, on est dans une problèmatique de débutant en terme de réseau. > Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route > mais sans succès et à force je me mélange. > Voici la conf de mes tunnels IPSec : > > pfSense Site Distant : > > Configuration : > Remote Gateway ModeP1 Protocol P1 Transforms P1 > Description > IKE V1WAN mainAES (256 bits) SHA1 > Test IPSec VPN > 52.164.243.95 > > Mode Local SubnetRemote Subnet P2 Protocol P2 Transforms P2 Auth > Methods > tunnel192.168.2.0/24 10.8.0.0/24 ESP AES (auto) > SHA1 > tunnel172.16.1.0/24 10.8.0.0/24 ESP AES (auto) > SHA1 > > SADs : > SourceDestination ProtocolSPI Enc. > alg. Auth. alg. Data > 192.168.0.110 IP Pub AzureESP cafd79ae > rijndael-cbchmac-sha1 0 > B > IP Pub Azure 192.168.0.110 ESP c2fbf651rijndael-cbc > hmac-sha1 > 17340 B > 192.168.0.110 IP Pub AzureESP cb6200d5 > rijndael-cbchmac-sha1 > 240 B > IP Pub Azure 192.168.0.110 ESP c34cc1f1rijndael-cbc > hmac-sha1 > 120 B > > SPDs : > SourceDestination Direction ProtocolTunnel > endpoints > 10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub Azure -> > 192.168.0.110 > 10.8.0.0/24 172.16.1.0/24 ◄ Inbound ESP IP Pub Azure -> > 192.168.0.110 > 192.168.2.0/2410.8.0.0/24 ► Outbound ESP > 192.168.0.110 -> IP Pub > Azure > 172.16.1.0/24 10.8.0.0/24 ► Outbound ESP > 192.168.0.110 -> IP Pub > Azure > > pfSense_Az : > > Configuration : > Remote Gateway ModeP1 Protocol P1 Transforms P1 > Description > IKE V1WAN mainAES (256 bits) SHA1 > Test IPSec VPN > 78.155.157.245 > > Mode Local SubnetRemote Subnet P2 Protocol P2 Transforms P2 Auth > Methods > tunnel10.8.0.0/24 192.168.2.0/24 ESP AES (auto) > SHA1 > tunnel10.8.0.0/24 172.16.1.0/24 ESP AES (auto) > SHA1 > > SADs : > Source