subject:"Re\: \[FRnOG\] \[TECH\] Problématique IPSec sous pfSense"

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet Wagab

Alors pour ce cas, comme je l'ai dit, je n'ai pas mis en place de NAT.
Mon NAT est en place pour cacher le réseau derrière le routeur. Si tu
n'as pas besoin de "cacher" ce dernier, ajoute un route sur ton pfSense
devant routeur disant que pour pointer vers le réseau derrière le
routeur, tu dois passer par la gateway routeur.

Si on reprend mon cas, sur le pfSense Site distant, j'ai ajouté :
1 GW (dans System / Routing / Gateways) avec l'IP de mon routeur
(192.168.2.10 dans mon cas)
1 route (dans System / Routing / Static Routes) indiquant que pour aller
sur le réseau distant (172.16.1.0/24 dans mon cas), je devais passer par
la GW_192.168.2.10 via l'interface LAN.

Y.

Le 2017-07-11 14:25, Mohamadou DIAGANA a écrit :
> Bonjour,
> Franchement je suis confronté au même problème depuis plusieurs jours.
> 
> Quand les équipements sont places derrière le pfsense ça passe mais des que
> ça passe par le routeur derrière le pfsense ça bloque.
> Et pourtant le tunnel est bien monté je vous le trafic au niveau du tunnel.
> 
> Peut tu me dire comment tu as mis en place le nat stp.
> 
> Merci.
> 
> 
> 
> Bien Cordialement,
> 
> Mohamadou DIAGANA
> 
> 
> Notre environnement est fragile, merci de n’imprimer ce mail qu’en cas de
> nécessité.
> 
> 
> Le 11 juil. 2017 13:46, "Wagab"  a écrit :
> 
>> David,
>>
>> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas
>> sous notre responsabilité.
>>
>> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette
>> problématique, 1h pour écrire le mail, 1h pour résoudre le problème.
>>
>> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site
>> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az
>> et en avant Guingamp.
>>
>> Merci et désolé pour le dérangement.
>> Y.
>>
>> Le 2017-07-11 11:34, David Ponzone a écrit :
>> > Sincèrement, renumérote les autres sites.
>> > Un jour ou l’autre, ça va être ingérable.
>> >
>> >
>> >
>> >> Le 11 juil. 2017 à 11:15, Wagab  a écrit :
>> >>
>> >> Bonjour,
>> >>
>> >> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
>> >> distant que je croyais avoir déjà testée mais vu que maintenant cela
>> >> fonctionne, j'imagine que j'avais fait des conneries.
>> >>
>> >> Maintenant je suis sur ma problématique de NAT.
>> >>
>> >> Cordialement,
>> >> Yann
>> >>
>> >>
>> >> Le 2017-07-11 08:48, Wagab a écrit :
>> >>> Bonjour la liste,
>> >>>
>> >>> Cela fait quelques années que je suis la liste mais n'ayant que très
>> peu
>> >>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
>> >>> contribuer.
>> >>> Cependant, je suis confronté à un soucis sur lequel vous pourriez
>> >>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
>> >>> J'ai deux problématique.
>> >>>
>> >>> La première :
>> >>>
>> >>> Le besoin :
>> >>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
>> >>> mettre en place des tunnels IPSec.
>> >>> J'ai monté une maquette le plus représentatif possible d'un cas
>> concret.
>> >>>
>> >>>
>> >>> | AZURE |   | ACCES Internet | Site Distant
>>|
>> >>>   Non maitrisé
>> >>> Console_Az -|   ||
>> >>> |-- @ --|-- ... -- ... --|pfSense Site
>> Distant|--|routeur|-- |Réseau
>> >>> Cible|
>> >>> pfSense_Az -|   ||
>> >>>
>> >>> Réseau AZURE : 10.8.0.0/24
>> >>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP
>> Client
>> >>> (192.168.0.110/24)
>> >>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
>> >>> Default GW : 192.168.2.10
>> >>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
>> >>> (192.168.2.0/24)
>> >>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
>> >>>
>> >>>
>> >>> Quand les machines auxquelles la Console_Az doit accéder sont
>> >>> positionnées juste derrière le pfSense Site Distant, aucun problème.
>> >>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
>> >>> et le pfSense Site Distant.
>> >>>
>> >>> Lorsque je lance un ping depuis la Console_Az vers une machine du
>> réseau
>> >>> cible, ce dernier ne passe pas.
>> >>> Un ping depuis une machine du Réseau Cible, ce dernier passe.
>> >>>
>> >>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
>> >>> et le routeur lors d'un ping de la Console_Az vers une machine du
>> réseau
>> >>> cible. Je le vois bien transiter dans le tunnel (log sur les 2
>> pfSense).
>> >>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
>> >>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
>> >>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant.
>> Celui
>> >>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
>> >>> m'indique qu'aucun ping n'arrive.
>> >>>
>> >>> A priori, on est dans une

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet Wagab

C'était fait mais merci beaucoup :).

Le 2017-07-11 13:59, David Ponzone a écrit :
> Le fait d’exposer un problème par écrit permet souvent de voir les
> choses avec un peu de perspective et de trouver la solution.
> 
> Juste au cas où, tu as pensé au NAT dans l’autre sens ?
> (si 192.168.1.0/24 sur site A a besoin d’accéder à 192.168.1.0/24 sur
> site B, il devra donc le faire en utilisant 192.168.2.0/24, donc dans
> ce cas là, l’ideal est sur site B, de mettre un NAT 1-1 de
> 192.168.1.0/24 vers 192.168.2.0/24)
> 
> 
> 
>> Le 11 juil. 2017 à 13:45, Wagab  a écrit :
>>
>> David,
>>
>> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas
>> sous notre responsabilité.
>>
>> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette
>> problématique, 1h pour écrire le mail, 1h pour résoudre le problème.
>>
>> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site
>> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az
>> et en avant Guingamp.
>>
>> Merci et désolé pour le dérangement.
>> Y.
>>
>> Le 2017-07-11 11:34, David Ponzone a écrit :
>>> Sincèrement, renumérote les autres sites.
>>> Un jour ou l’autre, ça va être ingérable.
>>>
>>>
>>>
 Le 11 juil. 2017 à 11:15, Wagab  a écrit :

 Bonjour,

 pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
 distant que je croyais avoir déjà testée mais vu que maintenant cela
 fonctionne, j'imagine que j'avais fait des conneries.

 Maintenant je suis sur ma problématique de NAT.

 Cordialement,
 Yann


 Le 2017-07-11 08:48, Wagab a écrit :
> Bonjour la liste,
>
> Cela fait quelques années que je suis la liste mais n'ayant que très peu
> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
> contribuer.
> Cependant, je suis confronté à un soucis sur lequel vous pourriez
> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
> J'ai deux problématique.
>
> La première :
>
> Le besoin :
> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
> mettre en place des tunnels IPSec.
> J'ai monté une maquette le plus représentatif possible d'un cas concret.
>
>
> | AZURE | | ACCES Internet | Site Distant 
>   |
> Non maitrisé
> Console_Az -|   |  |
>   |-- @ --|-- ... -- ... --|pfSense Site 
> Distant|--|routeur|-- |Réseau
> Cible|
> pfSense_Az -|   |  |
>
> Réseau AZURE : 10.8.0.0/24
> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client
> (192.168.0.110/24)
> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
> Default GW : 192.168.2.10
> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
> (192.168.2.0/24)
> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
>
>
> Quand les machines auxquelles la Console_Az doit accéder sont
> positionnées juste derrière le pfSense Site Distant, aucun problème.
> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
> et le pfSense Site Distant.
>
> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau
> cible, ce dernier ne passe pas.
> Un ping depuis une machine du Réseau Cible, ce dernier passe.
>
> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
> et le routeur lors d'un ping de la Console_Az vers une machine du réseau
> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense).
> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui
> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
> m'indique qu'aucun ping n'arrive.
>
> A priori, on est dans une problèmatique de débutant en terme de réseau.
> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
> mais sans succès et à force je me mélange.
> Voici la conf de mes tunnels IPSec :
>
> pfSense Site Distant :
>
> Configuration  :
>   Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
> Description
> IKE V1WAN mainAES (256 bits)  SHA1
> Test IPSec VPN
>   52.164.243.95
>
> Mode  Local SubnetRemote Subnet   P2 Protocol P2 Transforms   
> P2 Auth
> Methods
> tunnel192.168.2.0/24  10.8.0.0/24 ESP AES (auto)  
> SHA1
> tunnel172.16.1.0/24   10.8.0.0/24 ESP AES (auto)  
> SHA1
>
>

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet Mohamadou DIAGANA

Bonjour,
Franchement je suis confronté au même problème depuis plusieurs jours.

Quand les équipements sont places derrière le pfsense ça passe mais des que
ça passe par le routeur derrière le pfsense ça bloque.
Et pourtant le tunnel est bien monté je vous le trafic au niveau du tunnel.

Peut tu me dire comment tu as mis en place le nat stp.

Merci.



Bien Cordialement,

Mohamadou DIAGANA


Notre environnement est fragile, merci de n’imprimer ce mail qu’en cas de
nécessité.


Le 11 juil. 2017 13:46, "Wagab"  a écrit :

> David,
>
> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas
> sous notre responsabilité.
>
> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette
> problématique, 1h pour écrire le mail, 1h pour résoudre le problème.
>
> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site
> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az
> et en avant Guingamp.
>
> Merci et désolé pour le dérangement.
> Y.
>
> Le 2017-07-11 11:34, David Ponzone a écrit :
> > Sincèrement, renumérote les autres sites.
> > Un jour ou l’autre, ça va être ingérable.
> >
> >
> >
> >> Le 11 juil. 2017 à 11:15, Wagab  a écrit :
> >>
> >> Bonjour,
> >>
> >> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
> >> distant que je croyais avoir déjà testée mais vu que maintenant cela
> >> fonctionne, j'imagine que j'avais fait des conneries.
> >>
> >> Maintenant je suis sur ma problématique de NAT.
> >>
> >> Cordialement,
> >> Yann
> >>
> >>
> >> Le 2017-07-11 08:48, Wagab a écrit :
> >>> Bonjour la liste,
> >>>
> >>> Cela fait quelques années que je suis la liste mais n'ayant que très
> peu
> >>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
> >>> contribuer.
> >>> Cependant, je suis confronté à un soucis sur lequel vous pourriez
> >>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
> >>> J'ai deux problématique.
> >>>
> >>> La première :
> >>>
> >>> Le besoin :
> >>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
> >>> mettre en place des tunnels IPSec.
> >>> J'ai monté une maquette le plus représentatif possible d'un cas
> concret.
> >>>
> >>>
> >>> | AZURE |   | ACCES Internet | Site Distant
>|
> >>>   Non maitrisé
> >>> Console_Az -|   ||
> >>> |-- @ --|-- ... -- ... --|pfSense Site
> Distant|--|routeur|-- |Réseau
> >>> Cible|
> >>> pfSense_Az -|   ||
> >>>
> >>> Réseau AZURE : 10.8.0.0/24
> >>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP
> Client
> >>> (192.168.0.110/24)
> >>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
> >>> Default GW : 192.168.2.10
> >>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
> >>> (192.168.2.0/24)
> >>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
> >>>
> >>>
> >>> Quand les machines auxquelles la Console_Az doit accéder sont
> >>> positionnées juste derrière le pfSense Site Distant, aucun problème.
> >>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
> >>> et le pfSense Site Distant.
> >>>
> >>> Lorsque je lance un ping depuis la Console_Az vers une machine du
> réseau
> >>> cible, ce dernier ne passe pas.
> >>> Un ping depuis une machine du Réseau Cible, ce dernier passe.
> >>>
> >>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
> >>> et le routeur lors d'un ping de la Console_Az vers une machine du
> réseau
> >>> cible. Je le vois bien transiter dans le tunnel (log sur les 2
> pfSense).
> >>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
> >>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
> >>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant.
> Celui
> >>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
> >>> m'indique qu'aucun ping n'arrive.
> >>>
> >>> A priori, on est dans une problèmatique de débutant en terme de réseau.
> >>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
> >>> mais sans succès et à force je me mélange.
> >>> Voici la conf de mes tunnels IPSec :
> >>>
> >>> pfSense Site Distant :
> >>>
> >>> Configuration  :
> >>> Remote Gateway  ModeP1 Protocol P1 Transforms   P1
> Description
> >>> IKE V1  WAN mainAES (256 bits)  SHA1
>   Test IPSec VPN
> >>> 52.164.243.95
> >>>
> >>> ModeLocal SubnetRemote Subnet   P2 Protocol P2
> Transforms   P2 Auth
> >>> Methods
> >>> tunnel  192.168.2.0/24  10.8.0.0/24 ESP AES
> (auto)  SHA1
> >>> tunnel  172.16.1.0/24   10.8.0.0/24 ESP AES
> (auto)  SHA1
> >>>
> >>> SADs :
> >>> Source  Destination ProtocolSPI
>  Enc. alg.

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet David Ponzone

Le fait d’exposer un problème par écrit permet souvent de voir les choses avec 
un peu de perspective et de trouver la solution.

Juste au cas où, tu as pensé au NAT dans l’autre sens ?
(si 192.168.1.0/24 sur site A a besoin d’accéder à 192.168.1.0/24 sur site B, 
il devra donc le faire en utilisant 192.168.2.0/24, donc dans ce cas là, 
l’ideal est sur site B, de mettre un NAT 1-1 de 192.168.1.0/24 vers 
192.168.2.0/24)



> Le 11 juil. 2017 à 13:45, Wagab  a écrit :
> 
> David,
> 
> j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas
> sous notre responsabilité.
> 
> Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette
> problématique, 1h pour écrire le mail, 1h pour résoudre le problème.
> 
> J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site
> Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az
> et en avant Guingamp.
> 
> Merci et désolé pour le dérangement.
> Y.
> 
> Le 2017-07-11 11:34, David Ponzone a écrit :
>> Sincèrement, renumérote les autres sites.
>> Un jour ou l’autre, ça va être ingérable.
>> 
>> 
>> 
>>> Le 11 juil. 2017 à 11:15, Wagab  a écrit :
>>> 
>>> Bonjour,
>>> 
>>> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
>>> distant que je croyais avoir déjà testée mais vu que maintenant cela
>>> fonctionne, j'imagine que j'avais fait des conneries.
>>> 
>>> Maintenant je suis sur ma problématique de NAT.
>>> 
>>> Cordialement,
>>> Yann
>>> 
>>> 
>>> Le 2017-07-11 08:48, Wagab a écrit :
 Bonjour la liste,
 
 Cela fait quelques années que je suis la liste mais n'ayant que très peu
 d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
 contribuer.
 Cependant, je suis confronté à un soucis sur lequel vous pourriez
 m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
 J'ai deux problématique.
 
 La première :
 
 Le besoin :
 Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
 mettre en place des tunnels IPSec.
 J'ai monté une maquette le plus représentatif possible d'un cas concret.
 
 
 | AZURE |  | ACCES Internet | Site Distant 
   |
  Non maitrisé
 Console_Az -|   |   |
|-- @ --|-- ... -- ... --|pfSense Site 
 Distant|--|routeur|-- |Réseau
 Cible|
 pfSense_Az -|   |   |
 
 Réseau AZURE : 10.8.0.0/24
 pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client
 (192.168.0.110/24)
 pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
 Default GW : 192.168.2.10
 routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
 (192.168.2.0/24)
 routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
 
 
 Quand les machines auxquelles la Console_Az doit accéder sont
 positionnées juste derrière le pfSense Site Distant, aucun problème.
 Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
 et le pfSense Site Distant.
 
 Lorsque je lance un ping depuis la Console_Az vers une machine du réseau
 cible, ce dernier ne passe pas.
 Un ping depuis une machine du Réseau Cible, ce dernier passe.
 
 J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
 et le routeur lors d'un ping de la Console_Az vers une machine du réseau
 cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense).
 A priori, rien sur le routeur (l'interface de log du routeur n'est pas
 très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
 ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui
 n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
 m'indique qu'aucun ping n'arrive.
 
 A priori, on est dans une problèmatique de débutant en terme de réseau.
 Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
 mais sans succès et à force je me mélange.
 Voici la conf de mes tunnels IPSec :
 
 pfSense Site Distant :
 
 Configuration  :
Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
 Description
 IKE V1 WAN mainAES (256 bits)  SHA1
 Test IPSec VPN
52.164.243.95
 
 Mode   Local SubnetRemote Subnet   P2 Protocol P2 Transforms   
 P2 Auth
 Methods
 tunnel 192.168.2.0/24  10.8.0.0/24 ESP AES (auto)  
 SHA1
 tunnel 172.16.1.0/24   10.8.0.0/24 ESP AES (auto)  
 SHA1
 
 SADs :
 Source Destination ProtocolSPI Enc. 
 alg.   Auth. alg.  Data
 192.168.0.110  IP Pub AzureESP

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet Wagab

David,

j'aurais bien voulu mais on n'a pas la main, le site distant n'est pas
sous notre responsabilité.

Bon, j'ai trouvé tout seul ma solution. Quelques jours sur cette
problématique, 1h pour écrire le mail, 1h pour résoudre le problème.

J'ai configuré mon NAT à l'intérieur du tunnel IPSec sur le pfSense Site
Distant. J'ai déclaré mon subnet naté dans la phase 2 sur mon pfSense_Az
et en avant Guingamp.

Merci et désolé pour le dérangement.
Y.

Le 2017-07-11 11:34, David Ponzone a écrit :
> Sincèrement, renumérote les autres sites.
> Un jour ou l’autre, ça va être ingérable.
> 
> 
> 
>> Le 11 juil. 2017 à 11:15, Wagab  a écrit :
>>
>> Bonjour,
>>
>> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
>> distant que je croyais avoir déjà testée mais vu que maintenant cela
>> fonctionne, j'imagine que j'avais fait des conneries.
>>
>> Maintenant je suis sur ma problématique de NAT.
>>
>> Cordialement,
>> Yann
>>
>>
>> Le 2017-07-11 08:48, Wagab a écrit :
>>> Bonjour la liste,
>>>
>>> Cela fait quelques années que je suis la liste mais n'ayant que très peu
>>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
>>> contribuer.
>>> Cependant, je suis confronté à un soucis sur lequel vous pourriez
>>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
>>> J'ai deux problématique.
>>>
>>> La première :
>>>
>>> Le besoin :
>>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
>>> mettre en place des tunnels IPSec.
>>> J'ai monté une maquette le plus représentatif possible d'un cas concret.
>>>
>>>
>>> | AZURE |   | ACCES Internet | Site Distant 
>>>   |
>>>   Non maitrisé
>>> Console_Az -|   ||
>>> |-- @ --|-- ... -- ... --|pfSense Site 
>>> Distant|--|routeur|-- |Réseau
>>> Cible|
>>> pfSense_Az -|   ||
>>>
>>> Réseau AZURE : 10.8.0.0/24
>>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client
>>> (192.168.0.110/24)
>>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
>>> Default GW : 192.168.2.10
>>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
>>> (192.168.2.0/24)
>>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
>>>
>>>
>>> Quand les machines auxquelles la Console_Az doit accéder sont
>>> positionnées juste derrière le pfSense Site Distant, aucun problème.
>>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
>>> et le pfSense Site Distant.
>>>
>>> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau
>>> cible, ce dernier ne passe pas.
>>> Un ping depuis une machine du Réseau Cible, ce dernier passe.
>>>
>>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
>>> et le routeur lors d'un ping de la Console_Az vers une machine du réseau
>>> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense).
>>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
>>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
>>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui
>>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
>>> m'indique qu'aucun ping n'arrive.
>>>
>>> A priori, on est dans une problèmatique de débutant en terme de réseau.
>>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
>>> mais sans succès et à force je me mélange.
>>> Voici la conf de mes tunnels IPSec :
>>>
>>> pfSense Site Distant :
>>>
>>> Configuration  :
>>> Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
>>> Description
>>> IKE V1  WAN mainAES (256 bits)  SHA1
>>> Test IPSec VPN
>>> 52.164.243.95
>>>
>>> ModeLocal SubnetRemote Subnet   P2 Protocol P2 Transforms   
>>> P2 Auth
>>> Methods
>>> tunnel  192.168.2.0/24  10.8.0.0/24 ESP AES (auto)  
>>> SHA1
>>> tunnel  172.16.1.0/24   10.8.0.0/24 ESP AES (auto)  
>>> SHA1
>>>
>>> SADs :
>>> Source  Destination ProtocolSPI Enc. 
>>> alg.   Auth. alg.  Data
>>> 192.168.0.110   IP Pub AzureESP cafd79ae
>>> rijndael-cbchmac-sha1   0
>>> B
>>> IP Pub Azure192.168.0.110   ESP c2fbf651
>>> rijndael-cbchmac-sha1
>>> 17340 B
>>> 192.168.0.110   IP Pub AzureESP cb6200d5
>>> rijndael-cbchmac-sha1
>>> 240 B
>>> IP Pub Azure192.168.0.110   ESP c34cc1f1
>>> rijndael-cbchmac-sha1
>>> 120 B
>>>
>>> SPDs :
>>> Source  Destination Direction   ProtocolTunnel 
>>> endpoints
>>> 10.8.0.0/24 192.168.2.0/24  ◄ Inbound   ESP IP Pub 
>>> Azure ->
>>> 192.168.0.110

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet David Ponzone

Sincèrement, renumérote les autres sites.
Un jour ou l’autre, ça va être ingérable.



> Le 11 juil. 2017 à 11:15, Wagab  a écrit :
> 
> Bonjour,
> 
> pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
> distant que je croyais avoir déjà testée mais vu que maintenant cela
> fonctionne, j'imagine que j'avais fait des conneries.
> 
> Maintenant je suis sur ma problématique de NAT.
> 
> Cordialement,
> Yann
> 
> 
> Le 2017-07-11 08:48, Wagab a écrit :
>> Bonjour la liste,
>> 
>> Cela fait quelques années que je suis la liste mais n'ayant que très peu
>> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
>> contribuer.
>> Cependant, je suis confronté à un soucis sur lequel vous pourriez
>> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
>> J'ai deux problématique.
>> 
>> La première :
>> 
>> Le besoin :
>> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
>> mettre en place des tunnels IPSec.
>> J'ai monté une maquette le plus représentatif possible d'un cas concret.
>> 
>> 
>> | AZURE || ACCES Internet | Site Distant 
>>   |
>>Non maitrisé
>> Console_Az -|   | |
>>  |-- @ --|-- ... -- ... --|pfSense Site 
>> Distant|--|routeur|-- |Réseau
>> Cible|
>> pfSense_Az -|   | |
>> 
>> Réseau AZURE : 10.8.0.0/24
>> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client
>> (192.168.0.110/24)
>> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
>> Default GW : 192.168.2.10
>> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
>> (192.168.2.0/24)
>> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
>> 
>> 
>> Quand les machines auxquelles la Console_Az doit accéder sont
>> positionnées juste derrière le pfSense Site Distant, aucun problème.
>> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
>> et le pfSense Site Distant.
>> 
>> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau
>> cible, ce dernier ne passe pas.
>> Un ping depuis une machine du Réseau Cible, ce dernier passe.
>> 
>> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
>> et le routeur lors d'un ping de la Console_Az vers une machine du réseau
>> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense).
>> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
>> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
>> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui
>> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
>> m'indique qu'aucun ping n'arrive.
>> 
>> A priori, on est dans une problèmatique de débutant en terme de réseau.
>> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
>> mais sans succès et à force je me mélange.
>> Voici la conf de mes tunnels IPSec :
>> 
>> pfSense Site Distant :
>> 
>> Configuration  :
>>  Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
>> Description
>> IKE V1   WAN mainAES (256 bits)  SHA1
>> Test IPSec VPN
>>  52.164.243.95
>> 
>> Mode Local SubnetRemote Subnet   P2 Protocol P2 Transforms   
>> P2 Auth
>> Methods
>> tunnel   192.168.2.0/24  10.8.0.0/24 ESP AES (auto)  
>> SHA1 
>> tunnel   172.16.1.0/24   10.8.0.0/24 ESP AES (auto)  
>> SHA1 
>> 
>> SADs :
>> Source   Destination ProtocolSPI Enc. 
>> alg.   Auth. alg.  Data 
>> 192.168.0.110IP Pub AzureESP cafd79ae
>> rijndael-cbchmac-sha1   0
>> B 
>> IP Pub Azure 192.168.0.110   ESP c2fbf651
>> rijndael-cbchmac-sha1
>>  17340 B 
>> 192.168.0.110IP Pub AzureESP cb6200d5
>> rijndael-cbchmac-sha1
>>  240 B 
>> IP Pub Azure 192.168.0.110   ESP c34cc1f1
>> rijndael-cbchmac-sha1
>>  120 B
>> 
>> SPDs :
>> Source   Destination Direction   ProtocolTunnel 
>> endpoints
>> 10.8.0.0/24  192.168.2.0/24  ◄ Inbound   ESP IP Pub Azure ->
>> 192.168.0.110
>> 10.8.0.0/24  172.16.1.0/24   ◄ Inbound   ESP IP Pub Azure ->
>> 192.168.0.110
>> 192.168.2.0/24   10.8.0.0/24 ► Outbound  ESP 
>> 192.168.0.110 -> IP Pub
>> Azure
>> 172.16.1.0/2410.8.0.0/24 ► Outbound  ESP 
>> 192.168.0.110 -> IP Pub
>> Azure 
>> 
>> pfSense_Az :
>> 
>> Configuration :
>>  Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
>> Description
>> IKE V1   WAN mainAES (256 bits)  SHA1
>> Test IPSec VPN
>>  78.155.157.245
>> 
>> Mode

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

2017-07-11 Par sujet Wagab

Bonjour,

pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense
distant que je croyais avoir déjà testée mais vu que maintenant cela
fonctionne, j'imagine que j'avais fait des conneries.

Maintenant je suis sur ma problématique de NAT.

Cordialement,
Yann


Le 2017-07-11 08:48, Wagab a écrit :
> Bonjour la liste,
> 
> Cela fait quelques années que je suis la liste mais n'ayant que très peu
> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de
> contribuer.
> Cependant, je suis confronté à un soucis sur lequel vous pourriez
> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi.
> J'ai deux problématique.
> 
> La première :
> 
> Le besoin :
> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de
> mettre en place des tunnels IPSec.
> J'ai monté une maquette le plus représentatif possible d'un cas concret.
> 
> 
> | AZURE | | ACCES Internet | Site Distant 
>   |
> Non maitrisé
> Console_Az -|   |  |
>   |-- @ --|-- ... -- ... --|pfSense Site 
> Distant|--|routeur|-- |Réseau
> Cible|
> pfSense_Az -|   |  |
> 
> Réseau AZURE : 10.8.0.0/24
> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client
> (192.168.0.110/24)
> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 -
> Default GW : 192.168.2.10
> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client
> (192.168.2.0/24)
> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24
> 
> 
> Quand les machines auxquelles la Console_Az doit accéder sont
> positionnées juste derrière le pfSense Site Distant, aucun problème.
> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible
> et le pfSense Site Distant.
> 
> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau
> cible, ce dernier ne passe pas.
> Un ping depuis une machine du Réseau Cible, ce dernier passe.
> 
> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant
> et le routeur lors d'un ping de la Console_Az vers une machine du réseau
> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense).
> A priori, rien sur le routeur (l'interface de log du routeur n'est pas
> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un
> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui
> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible
> m'indique qu'aucun ping n'arrive.
> 
> A priori, on est dans une problèmatique de débutant en terme de réseau.
> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route
> mais sans succès et à force je me mélange.
> Voici la conf de mes tunnels IPSec :
> 
> pfSense Site Distant :
> 
> Configuration  :
>   Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
> Description
> IKE V1WAN mainAES (256 bits)  SHA1
> Test IPSec VPN
>   52.164.243.95
> 
> Mode  Local SubnetRemote Subnet   P2 Protocol P2 Transforms   P2 Auth
> Methods
> tunnel192.168.2.0/24  10.8.0.0/24 ESP AES (auto)  
> SHA1 
> tunnel172.16.1.0/24   10.8.0.0/24 ESP AES (auto)  
> SHA1 
> 
> SADs :
> SourceDestination ProtocolSPI Enc. 
> alg.   Auth. alg.  Data 
> 192.168.0.110 IP Pub AzureESP cafd79ae
> rijndael-cbchmac-sha1   0
> B 
> IP Pub Azure  192.168.0.110   ESP c2fbf651rijndael-cbc
> hmac-sha1
>   17340 B 
> 192.168.0.110 IP Pub AzureESP cb6200d5
> rijndael-cbchmac-sha1
>   240 B 
> IP Pub Azure  192.168.0.110   ESP c34cc1f1rijndael-cbc
> hmac-sha1
>   120 B
> 
> SPDs :
> SourceDestination Direction   ProtocolTunnel 
> endpoints
> 10.8.0.0/24   192.168.2.0/24  ◄ Inbound   ESP IP Pub Azure ->
> 192.168.0.110
> 10.8.0.0/24   172.16.1.0/24   ◄ Inbound   ESP IP Pub Azure ->
> 192.168.0.110
> 192.168.2.0/2410.8.0.0/24 ► Outbound  ESP 
> 192.168.0.110 -> IP Pub
> Azure
> 172.16.1.0/24 10.8.0.0/24 ► Outbound  ESP 
> 192.168.0.110 -> IP Pub
> Azure 
> 
> pfSense_Az :
> 
> Configuration :
>   Remote Gateway  ModeP1 Protocol P1 Transforms   P1 
> Description
> IKE V1WAN mainAES (256 bits)  SHA1
> Test IPSec VPN
>   78.155.157.245
> 
> Mode  Local SubnetRemote Subnet   P2 Protocol P2 Transforms   P2 Auth
> Methods
> tunnel10.8.0.0/24 192.168.2.0/24  ESP AES (auto)  
> SHA1 
> tunnel10.8.0.0/24 172.16.1.0/24   ESP AES (auto)  
> SHA1 
> 
> SADs :
> Source

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

Re: [FRnOG] [TECH] Problématique IPSec sous pfSense

7 matches

Site Navigation

Mail list logo

Footer information