Bon OK, je vais me fouetter, je n'avais pas vérifier moi même le problème, le ping ne répondant pas, mon collègue n'a pas été plus loin. Il y avait une rules qui n'autorisait que le TCP sur le lien IPsec.

Allez je vais m'en vais avec mon fouet voir mon collègue  ;)

Merci à toi ccnet.

Nusa

Explication du problème:
@djsmoye:

J'ai remis en route un ancien pc avec la dernière version de pfsense et je lui ai installé Freeradius2 et une base mysql distante pour la gestion des accès. Le problème est que j'ai à plusieurs reprises le message "pfsense Invalid credentials specified" alors que mon identifiant est correct et que mon serveur mysql est joignable.

Résolution du problème:
Ajout d'une seconde base mysql sur un autre serveur et configuration de freeradius en conséquence.

Supposition:
Le serveur mysql ne répondait peut-être pas assez rapidement pour freeradius et l'ajout d'un second aurait pallié au problème.

Divers:
Est-ce moi ou votre admin aurait des réponses plutôt formatées (cf. http://forum.pfsense.org/index.php/topic,45927.0.html)?

Oui très rare et très mauvaise idée.

bon, j'ai reçu mon boitier, j'ai commencé à config tout ça,..et comment dire….très vite les choses se sont compliqués vu que les tuto que j'ai sont tous un peu différents...

je préfère prévenir, c'est ma première fois...(heuuu), et meme si je postasse, il y a pas mal de choses qui restent obscure pour moi
donc je commence pas à pas pour expliquer ce que je fais et poser les question pour comprendre ce que que fais.

1 - j'ai commencé à config ma livebox,

sur le tuto que j'ai, la config était la suivante.

et comme je suis chanceux, visiblement je n'ai pas la même version de livebox
voici moi ce que j'ai :

donc, je n'ai plus le champs "adresse broadcast" (je ne sais pas quoi ça servais de toute les façons)
et dans les plages d'ip, je ne peut pas mettre 192.168.2.254 deux fois, il me le refuse, je suis obligé de rentrer les adresse comme j'ai fait (192.168..2.253 et 254).

donc, avant de passer à l'étape suivante, je veux comprendre si ça change quelque chose… ?
autre question, est il utile que je configure une DMZ pour un usage qui sera limité à l’installation d'un portail captif ? (ca reste assez flou pour moi çà..)
si ce n'est pas le cas, ..et bien, je passerai à la config pfsense

merci

Il est probable que ce type de machine n'est pas la mieux adaptée à être firewall en dépit de sa solidité.

Néanmoins, j'ai des R210 avec disque sata sans raid qui fonctionnent (au prix d'une config en désactivant toute virtualisation).

Je peux :

faire un ping (ou tracert) depuis le réseau 1 vers le 2 et inversement

Je pense que c'est un problème de routage mais pourquoi que le port 80 ?

D'après vos indications ce ne peut être une problème de routage. le routage ignore absolument tout des services acheminés.
La seule hypothèse serait que la machine que vous ne pouvez atteindre (sur le port 80, mais sur un autre port ce serait pareil) possède une passerelle par défaut incorrecte.
Je vous conseille d'activer les logs de façon judicieuse afin de vérifier le bon acheminement du trafic. Après avoir vérifier la configuration de la machine inaccessible.

Justement dans les logs il n'y a rien de particulier.

je ne suis pas surpris.
Quelle est la connectivité Wan, routeur, modem adsl, ppoe, adressage staique, dhcp… ?

Est ce que vous pourriez m'éclairer sur cette règle, ça serait vraiment sympa ? Je n'ai pas du tout compris l'explication.

Merci de votre aide

Maintenant, si je comprend ce que vous m'indiquez, cela viendrait peut-être du fait que certains paquets passent via une passerelle, et d'autres via la seconde passerelle ?

Plus précisément le problème viendrait du fait que le Syn passe sur une des passerelles et le Syn-Ack sur l'autre. Et on se retrouve avec  paquet marué Syn-Ack pour lequel le syn correspondant ne peut être trouvé.

Pour tout dire je suis même contre la solution de redirection de port qui m'a déjà couté un piratage en règle de mon serveur voip

La question n'est pas d'être pour ou contre les redirections de ports mais de savoir ce que l'on fait et dans quel environnement on le fait. Si l'on souhaite rendre accessible un service depuis l'extérieur il faudra bien que le flux de données puisse circuler. Si on le fait sans précaution (par exemple un serveur IIS non patché et sans firewall applicatif, ou encore un site avec du php écrit de façon non sûr) il est clair que l'on va à la catastrophe.

OK, merci. Je vais cloner mon Pfsense sur une autre machine et tenter un upgrade en 2.0.

Nusa

Désolé, j'ai trouvé.
Il faut autoriser le protocole ESP cas dans ma phase 2 je l'utilise.

J'ai trouvé !
erreur toute con comme souvent en informatique.
Il suffisait de rajouter une route sur la machine dans le LAN vers le réseau VPN (5.5.5.0) avec comme passerelle le PFSENSE.

le ftp helper est dans le kernel depuis la 2.0, il ne se "décoche" plus.

Le problème est lié à un problème de communication permettant la négociation de la phase 1 (UDP/500).

racoon: [Bourg-les-Valence]: [192.168.15.249] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 192.168.15.246[0]->192.168.15.129[0]

Le message dit qu'il n'a pas pu négocier une phase 2  car il n'avait pas de phase 1 associée.

Pour rappel du fonctionnement IPSEC:

la phase 1 permet de réaliser l'échange de clés (via ISAKMP) et donc d'obtenir une SA (Security Association) la SA est utilisée comme matériel cryptographique lors de chaque négociation d'une phase2. lorsque la phase 1 expire, une nouvelle est renégociée, entrainant l'obtention d'une nouvelle SA et donc entrainant la renégociation des phase2. (d'ou l'importance d'avoir un lifetime de phase 2 inférieur au lifetime de phase1.)

Vérifiez la connectivité UDP/500 entre les noeuds.

J'oubliais de préciser :

pfsense 2.0.1 amd64 cartes HP NC107i
De plus, lorsque je veux bosser sur l'interface web, j'ai un blocage. En revanche la console fonctionne ???

Comment sa se fait que pfsense arrive à voir que le flux viens de l'adresse IP publique 193.x.x.x alors que c'est le modem (avec l'adresse IP 192.168.x.x) qui renvoi le flux vers pfsense ?

Je crois qu'il vous faut revoir les notions de base du routage et les principes de fonctionnement de la translation d'adresses.