VPN IPSEC entre 4 Site
-
Bonjour,
Je débute encore en "Réseaux" et dans le but de m'améliorer, je me suis lancé dans un projet.
Projet : Mettre en place un site principal (Londres) qui communique avec 3 autres sites en utilisant des tunnels IPsec site à site.
Toute mon infrastructure est virtualisée dans un ESXi."
Site 1 : Londres
- Interface
o WAN : Ip Internet
o LAN 172.16.10.254
VLAN 19 : 172.16.19.254
o OPT1 : 10.0.0.1
Site 2 : Monaco - Interface
o WAN : 10.0.0.2
o LAN : 172.16.20.254
VLAN 29 : 172.16.29.254
Site 3 : Madrid - Interface
o WAN : 10.0.0.3
o LAN : 172.16.30.254
VLAN 39 : 172.16.39.254
Site 4 : Lisbonne - Interface
o WAN : 10.0.0.4
o LAN : 172.16.40.254
VLAN 39 : 172.16.49.254
J'ai paramétré mes VPN IPSEC et ils fonctionnent correctement. Cependant, le problème que je rencontre survient lorsque je tente de faire communiquer, par exemple, le site de Monaco avec celui de Madrid ; le trafic ne passe pas à travers le VPN.
Merci d’avance pour votre aide.
- Interface
-
Pour Ipsec, il y a 2 phases :
- Phase 1 : liens entre noeuds pour échange de clés
- Phase 2 : listes des réseaux de chaque côté qui doivent communiquer
Il est notable que vous n'indiquez pas les réseaux (avec la notation CIDR) internes à chacun de vos noeuds.
Sans ces infos, comment configurer vos phases 2 ?
(Je ne comprends pas que vous distinguiez LAN et VLAN internes : aucun intérêt de mentionner qu'un réseau interne vient d'un vlan !)
-
Voila mes adresses avec leurs masques
Site 1 : Londres
- Interface
o WAN : Ip Internet /32
VLAN 19 : 172.16.19.0/24
o OPT1 : 10.0.0.1/8
Site 2 : Monaco - Interface
o WAN : 10.0.0.2/8
VLAN 29 : 172.16.29.0/24
Site 3 : Madrid - Interface
o WAN : 10.0.0.3/8
VLAN 39 : 172.16.39.0/24
Site 4 : Lisbonne - Interface
o WAN : 10.0.0.4/8
VLAN 49 : 172.16.49.0/24
Je bloque au niveau de la phase 2 pour faire communiquer une machine dans le réseau 172.16.49.0/24 avec le réseau 172.16.39.0/24. Dois-je configurer une nouvelle phase 2 sur les pfsense de Madrid, Londres et Lisbonne ? Actuellement, les phases 2 que j'ai créées sont site X vers Londres.
- Interface
-
Hello @Kawick
D'après l'image que vous avez envoyée, il n'y a pas de tunnel IPsec entre Londres et Madrid. A part ça, pour que les machines du réseau 172.16.49.0/24 puissent communiquer avec celles du réseau 172.16.39.0/24, vous devez configurer le routage sur les routeurs de Lisbonne et de Madrid.
Sinon, vous devez impérativement configurer une nouvelle phase 2 sur les pfSense de Madrid, Londres et Lisbonne. La phase 2 actuelle ne concerne que les sites X vers Londres. La nouvelle phase 2 doit:
- Définir es réseaux sources et destinations qui seront autorisés à communiquer via le tunnel IPsec. Ici, les sélecteurs de trafic doivent autoriser le trafic entre 172.16.49.0/24 et 172.16.39.0/24
- Choisissez les protocoles de sécurité (IKEv1 ou IKEv2) et les algorithmes de cryptage et d'authentification à utiliser pour sécuriser le tunnel.
à tester et voir si ca marche ou pas.. bonne chance!