Beaucoup de mal avec IpSec

stechnique · Apr 29, 2008, 11:35 AM

Regardes les logs d'IPSEC, regarde dans Status -> IPSEC quel est le statut des tunnels.
Sans plus d'infos impossible de t'aider.

Orishas · Apr 29, 2008, 11:46 AM

Dans Status IpSec
Rien dans SAD

Voilà ce qu'il y a dans SPD

Ce sont des IP fictives car tout en virtuel (vmware)

Ainsi que les services qui tournent

stechnique · Apr 29, 2008, 12:17 PM

@Orishas:

Dans Status IpSec
Rien dans SAD

Voilà ce qu'il y a dans SPD

Ce sont des IP fictives car tout en virtuel (vmware)

Ainsi que les services qui tournent

Tout à l'air beau dans SPD. SAD est vide donc les tunnels ne fonctionnent pas. Peux-tu poster une partie des logs IPSEC ça nous aidera à diagnostiquer…

Orishas · Apr 29, 2008, 12:28 PM

Sorry mais… no comprendo les LOGS

Je pensais que cétait ce que j'ai posté en fichier attaché

STATUS --> IPSEC

Orishas · Apr 29, 2008, 12:33 PM

Voilà les logs de IPSEC

Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
Apr 29 14:03:32 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
Apr 29 14:03:32 racoon: INFO: ::1[500] used as isakmp port (fd=14)
Apr 29 14:03:32 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
Apr 29 14:03:32 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
Apr 29 14:03:32 racoon: INFO: ::1[500] used as isakmp port (fd=14)
Apr 29 14:03:32 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.0/24[0] 192.168.50.0/24[0] proto=any dir=out
Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.1/32[0] 192.168.3.0/24[0] proto=any dir=out
Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.50.0/24[0] 192.168.3.0/24[0] proto=any dir=in
Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.0/24[0] 192.168.3.1/32[0] proto=any dir=in
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
Apr 29 14:03:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
Apr 29 14:03:29 racoon: INFO: ::1[500] used as isakmp port (fd=14)
Apr 29 14:03:29 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
Apr 29 14:03:29 racoon: INFO: unsupported PF_KEY message REGISTER
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
Apr 29 14:03:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
Apr 29 14:03:29 racoon: INFO: ::1[500] used as isakmp port (fd=14)
Apr 29 14:03:29 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
Apr 29 13:50:10 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)

C'est ça?

stechnique · Apr 29, 2008, 9:40 PM

C'est bien ça…
Peux-tu résumer tes réglages IPSEC?

Orishas · Apr 30, 2008, 6:25 AM

A quoi correspond Remote subnet et Remote gateway dans le fichier joint?
Je pense qu'il y a un soucis là aussi
En vérité, je ne sais plus quoi y mettre.

Merci !!! :)

Orishas · Apr 30, 2008, 7:28 AM

Juste une p'tite question…
Pour faire du VPN, il faut 2 pfSense?

stechnique · Apr 30, 2008, 1:57 PM

@Orishas:

Juste une p'tite question…
Pour faire du VPN, il faut 2 pfSense?

Oui(?!)
Ou du moins deux appareils capable d'entretenir un tunnel IPSEC, il y a des routeurs Linksys par exemple (ou Cisco ou autres) qui le font, mais tu auras définitivement besoin d'une machine à chaque bout du tunnel.

Orishas · Apr 30, 2008, 2:22 PM

Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
De là à mettre des PfSense chez chaque Users, ya une marge non?

stechnique · Apr 30, 2008, 3:00 PM

@Orishas:

Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
De là à mettre des PfSense chez chaque Users, ya une marge non?

À ce moment là ce n'est pas un tunnel point-à-point que tu veux, mais un lien client-à-site (clients mobiles).
Effectivement c'est possible simplement en installant un client VPN sur tes machines client, sauf que:
1. La configuration de pfSense n'est pas la même, tu as probablement suivi un tutoriel point-à-point.
2. IPSEC sur pfSense ne supporte pas NAT-T (NAT Traversal) dans 1.2. Ceci sera corrigé dans 1.3, mais en attendant ça veut dire que si tes clients sont derrière un routeur un n'importe quelle forme de NAT chez eux, il leur sera impossible de se connecter à pfSense.

En attendant NAT-T, je te conseille d'utiliser PPTP pour des clients mobiles. Tu peux faire un mix-and-match entre IPSEC et PPTP (ex: j'utilise IPSEC pour entretenir des tunnels permanents entre mes succursales, mais j'ai aussi des clients mobiles qui se connecte par PPTP). PPTP fonctionne à travers un NAT.