De l'aide sur du vpn site a site avec deux pfsense.

oric

Bonjour,Je suis actuellement en stage et je dois réaliser un vpn entre deux sites avec pfsense c'est pourquoi je demande de l'aide sur ce forum.(je précise que je ne suis pas un pro du réseau:)

Voici donc le schéma de la structure:

Pour l'instant je ne suis pas raccordé au net donc en situation de test
le terminal pour le web gui est un ubuntu.

Au niveau doc j'ai trouvé ca:
http://doc.pfsense.org/index.php/Main_Page
http://doc.pfsense.org/index.php/Category:FAQ
http://thegoldenear.org/toolbox/unices/pfsense-1.2-firewall.html
et ce forum bien sur :)

Ce que j'ai fait:
Pour l'instant je peux acceder au web gui sur les deux pfsense.
J'ai configuré mon interface wan dans les deux pfsense (dans le web gui)

voici ma table de routage:

Destination        Gateway            Flags      Refs        Netif
default                192.168.2.254    UGS        1            vr0
127.0.0.1
*192.168.2.0/24    192.168.2.253  UGS        0            vr0  *pourquoi la gateway n'est pas marquée link#2 mais l'ip de l'interface
192.168.3.0/24    Link#1              UC          0            rl0
192.168.3.1        ipv6                  UHLW      1            rl0
192.168.3.254    ipv6                  UHLW      1            loO

Mes problèmes:
Je n'arrive pas a pinguer d'un pfsense à l'autre pfsense (de vr0 à vr0)
Je n'arrive même pas d'ailleurs à pinguer ma propre interface wan sur chaque pfsense Oo

Si vous avez des liens pour de la doc pfsense et plus particulierement les commandes car j'ai regarder sur google pour les commandes réseaux sur Unix mais j'ai galéré pour ajouter une route (route add "reseaux destination" "interface" car en faisant route add "    "netmask"    "  gw ou gateway "    " ca marchait pas Oo.)

Voila j'espere avoir donné assez d'infos.Et peut-être que ce post pourras aider d'autre qui ont un projet similaire.

jdh

Pour monter un VPN selon le schéma, il faut :

• avoir 2 pfsense parfaitement opérationnels et clairs,
• que chaque pfsense ping l'autre,
• choisir un protocole vpn (ipsec ou openvpn, et on oublie pptp bien sur !),
• suivre les tutos existants sur le protocole choisi.

A noter que si on veut ping l'autre, il vaut mieux que l'autre accepte les ping sur son interface wan (parce que par défaut, cela ne fonctionne pas).

NB : je pense ce que cette phrase devrait permettre de comprendre ce qu'il faut faire pour pinger l'autre …

NB2 : j'ai tendance à permettre la gestion à distance de chaque pfSense (en changeant de port et sur https) pour éviter de changer de micro à chaque modif de l'un ou l'autre ...

NB3 : bien faire cela, du premier coup exige d'être méthodique et au courant de ce qu'il faut faire, il est assez normal qu'en stage, on n'y arrive pas en 1 demi-journée. Avec l'expérience, cela prend moins de temps que cela !

oric

Merci jdh pour ces précisions et pour le NB :)
Je vais regarder comment authoriser les pings sur pfsense.
Encore merci.

oric

Alors j'ai ajouté une regle concernant le protocole icmp en laissant tous par default (any) mais impossible de pinguer.J'ai vérifier mes cables au cas ou mais tous fonctionne.Donc je cherche toujours si quelqu'un a une idée.

Edit:lorsque je met pfsense en mode routeur je peux pinguer donc je pense que c'est bien une règle qui dois être la cause du probleme.
D'ailleurs cela vient surement de la règle icmp que j'ai créé car voici le log:(que je recopie à la main :/ vu que j'écris depuis un terminal…)

php:There were error(s) loading the rules:/tmp/rules debug:132:syntax error pfch: Syntax error in config file: pfrules not loaded - The line in question reads[132]:pass in log quick on $wan route-to (192.168.4.254) from any to any keep state label "USER_RULE icmp".

Message très explicite mais je ne vois pas pourquoi il n'accepte pas ma règle :(

Edit2: En fait j'avais oublier de mettre la bonne adresse sur une wan d'ou ce message.Mais bon apres reconfiguration a zero des deux pfsenses toujours le meme probleme.
A noter que cette fois je n'ais pas fait de route add vu que en mode routeur je ping ,donc les routes par default doivent etre bonne deplus les deux pfsense sont dans le meme réseaux…

Mais j'ai beau accepter tous les types d'icmp depuis tous vers tous cela ne ping pas :/

jdh

(Je ne vois AUCUNE difficulté à créer une règle permettant que le fw accepte les ping depuis Internet !)

Dans Firewall > Rules > onglet WAN, on créé une règle :
Action : Pass
Interface : Wan (forcément !)
Protocol : ICMP
ICMP Type : Echo (c'est 8/icmp en notation usuelle)
Source : Any
Destination : Wan address
Description : w2f ping  (selon ma norme personnelle)

On valide, et on ping avec succès depuis Internet le firewall.

oric

Merci pour la réponse mais vu que j'ai mis icmp any (donc je pense qu'il prend autant le reply que le echo ) Et pour destination any aussi ce qui inclue le wan cela devrais pinguer.Mais bon j'ai essayé en mettant wan adress et type echo cela ne pingue pas non plus…
Je pense à un probleme de route mais bon vu que ca ping en mode routeur...

La je sèche...

titofe

Dans WAN, tout en bas, à tu décocher ce qui bloque les adresses privées ?
(je ne peut être plus claire étant actuellement loin d'un Pfsense)

jdh

Absolument exact Titofe !

Si dans Wan, on bloque les adresses RFC1918 alors que justement on utilise des adresses RFC1918, cela ne va pas le faire.

Mais en principe quand on configure Wan, on essaie d'y penser …

oric

Merci Titoffe tu est en or!
en effet j'avais vu cette case mais je l'avais lu trop vite j'avais juste retenue "en général laissez cette option sur on"^^ .
En tous cas j'aurais pus chercher un moment vraiment merci car 2 jours pour pinguer un wan dur dur :)