Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Beaucoup de mal avec IpSec

    Scheduled Pinned Locked Moved Français
    13 Posts 2 Posters 6.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      Orishas
      last edited by

      Nobody?  ???

      1 Reply Last reply Reply Quote 0
      • S
        stechnique
        last edited by

        Regardes les logs d'IPSEC, regarde dans Status -> IPSEC quel est le statut des tunnels.
        Sans plus d'infos impossible de t'aider.

        1 Reply Last reply Reply Quote 0
        • O
          Orishas
          last edited by

          Dans Status IpSec
          Rien dans SAD

          Voilà ce qu'il y a dans SPD

          Ce sont des IP fictives car tout en virtuel (vmware)

          Ainsi que les services qui tournent

          ipsec.JPG
          ipsec.JPG_thumb
          ipsec_services.JPG
          ipsec_services.JPG_thumb

          1 Reply Last reply Reply Quote 0
          • S
            stechnique
            last edited by

            @Orishas:

            Dans Status IpSec
            Rien dans SAD

            Voilà ce qu'il y a dans SPD

            Ce sont des IP fictives car tout en virtuel (vmware)

            Ainsi que les services qui tournent

            Tout à l'air beau dans SPD. SAD est vide donc les tunnels ne fonctionnent pas. Peux-tu poster une partie des logs IPSEC ça nous aidera à diagnostiquer…

            1 Reply Last reply Reply Quote 0
            • O
              Orishas
              last edited by

              Sorry mais… no comprendo les LOGS

              Je pensais que cétait ce que j'ai posté en fichier attaché

              STATUS --> IPSEC

              ipsec.JPG
              ipsec.JPG_thumb

              1 Reply Last reply Reply Quote 0
              • O
                Orishas
                last edited by

                Voilà les logs de IPSEC

                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
                Apr 29 14:03:32 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
                Apr 29 14:03:32 racoon: INFO: ::1[500] used as isakmp port (fd=14)
                Apr 29 14:03:32 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
                Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
                Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
                Apr 29 14:03:32 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
                Apr 29 14:03:32 racoon: INFO: ::1[500] used as isakmp port (fd=14)
                Apr 29 14:03:32 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
                Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.0/24[0] 192.168.50.0/24[0] proto=any dir=out
                Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.1/32[0] 192.168.3.0/24[0] proto=any dir=out
                Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.50.0/24[0] 192.168.3.0/24[0] proto=any dir=in
                Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.0/24[0] 192.168.3.1/32[0] proto=any dir=in
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
                Apr 29 14:03:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
                Apr 29 14:03:29 racoon: INFO: ::1[500] used as isakmp port (fd=14)
                Apr 29 14:03:29 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
                Apr 29 14:03:29 racoon: INFO: unsupported PF_KEY message REGISTER
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
                Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
                Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
                Apr 29 14:03:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
                Apr 29 14:03:29 racoon: INFO: ::1[500] used as isakmp port (fd=14)
                Apr 29 14:03:29 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
                Apr 29 13:50:10 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)

                C'est ça?

                1 Reply Last reply Reply Quote 0
                • S
                  stechnique
                  last edited by

                  C'est bien ça…
                  Peux-tu résumer tes réglages IPSEC?

                  1 Reply Last reply Reply Quote 0
                  • O
                    Orishas
                    last edited by

                    A quoi correspond Remote subnet et Remote gateway dans le fichier joint?
                    Je pense qu'il y a un soucis là aussi
                    En vérité, je ne sais plus quoi y mettre.

                    Merci !!!  :)

                    reglesipsec.JPG
                    reglesipsec.JPG_thumb

                    1 Reply Last reply Reply Quote 0
                    • O
                      Orishas
                      last edited by

                      Juste une p'tite question…
                      Pour faire du VPN, il faut 2 pfSense?

                      1 Reply Last reply Reply Quote 0
                      • S
                        stechnique
                        last edited by

                        @Orishas:

                        Juste une p'tite question…
                        Pour faire du VPN, il faut 2 pfSense?

                        Oui(?!)
                        Ou du moins deux appareils capable d'entretenir un tunnel IPSEC, il y a des routeurs Linksys par exemple (ou Cisco ou autres) qui le font, mais tu auras définitivement besoin d'une machine à chaque bout du tunnel.

                        1 Reply Last reply Reply Quote 0
                        • O
                          Orishas
                          last edited by

                          Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
                          De là à mettre des PfSense chez chaque Users, ya une marge non?

                          1 Reply Last reply Reply Quote 0
                          • S
                            stechnique
                            last edited by

                            @Orishas:

                            Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
                            De là à mettre des PfSense chez chaque Users, ya une marge non?

                            À ce moment là ce n'est pas un tunnel point-à-point que tu veux, mais un lien client-à-site (clients mobiles).
                            Effectivement c'est possible simplement en installant un client VPN sur tes machines client, sauf que:
                            1. La configuration de pfSense n'est pas la même, tu as probablement suivi un tutoriel point-à-point.
                            2. IPSEC sur pfSense ne supporte pas NAT-T (NAT Traversal) dans 1.2. Ceci sera corrigé dans 1.3, mais en attendant ça veut dire que si tes clients sont derrière un routeur un n'importe quelle forme de NAT chez eux, il leur sera impossible de se connecter à pfSense.

                            En attendant NAT-T, je te conseille d'utiliser PPTP pour des clients mobiles. Tu peux faire un mix-and-match entre IPSEC et PPTP (ex: j'utilise IPSEC pour entretenir des tunnels permanents entre mes succursales, mais j'ai aussi des clients mobiles qui se connecte par PPTP). PPTP fonctionne à travers un NAT.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.