Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vpn IPsec vers dmz

    Scheduled Pinned Locked Moved Français
    4 Posts 3 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      thom31
      last edited by

      Bonjour à tous, et d'avance merci à ceux qui voudront bien se pencher sur la question.

      Suite au décès d'un FW Netasq, je me suis penché sur PFsense. La migration c'est bien passé avec création des régles ad hoc et DMZ. Cependant un soucis se pose. Je m'explique

      D'abord les paramètres :

      Ip lan 10.1.0.0 /16
      Ip DMZ 192.168.15.0 /24
      ip @ 213.30.131.xxx

      Les postes de ma dmz doivent se connecter en vpn ipsec sur un serveur citrix dont le site distant à pour paramètre :

      ip lan 10.1.200.0 /24
      ip @ 86.66.17.yyy

      (la nécessité de la DMZ doit être plus claire maintenant  :) )

      Et la c'est le drame, pas de vpn qui monte

      Voici les logs :

      Dec 2 10:10:53 racoon: [vpn Publissimo]: INFO: ISAKMP-SA deleted 213.30.131.xxx[500]-86.66.17.9[500] spi:e8d0ed3300aba764:c53123a5ac1779ce
      Dec 2 10:10:52 racoon: ERROR: phase2 negotiation failed due to phase1 expired. e8d0ed3300aba764:c53123a5ac1779ce:00009941
      Dec 2 10:10:42 racoon: [vpn Publissimo]: INFO: ISAKMP-SA expired 213.30.131.xxx[500]-86.66.17.9[500] spi:e8d0ed3300aba764:c53123a5ac1779ce
      Dec 2 10:10:42 racoon: [vpn Publissimo]: INFO: initiate new phase 2 negotiation: 213.30.131.xxx[500]<=>86.66.17.yyy[500]
      Dec 2 10:10:41 racoon: [vpn Publissimo]: INFO: ISAKMP-SA established 213.30.131.xxx[500]-86.66.17.yyy[500] spi:e8d0ed3300aba764:c53123a5ac1779ce
      Dec 2 10:10:41 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
      Dec 2 10:10:41 racoon: WARNING: port 500 expected, but 0 Dec 2 10:10:41 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
      Dec 2 10:10:41 racoon: INFO: received Vendor ID: DPD
      Dec 2 10:10:41 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
      Dec 2 10:10:41 racoon: INFO: received Vendor ID: CISCO-UNITY
      Dec 2 10:10:41 racoon: INFO: begin Aggressive mode.
      Dec 2 10:10:41 racoon: [vpn Publissimo]: INFO: initiate new phase 1 negotiation: 213.30.131.xxx[500]<=>86.66.17.yyy[500]

      Bien sur les paramètre ont été maintes fois vérifiés.

      Je sèche. Merci encore pour votre aide.

      Peut être un pb de NAT (je n'ai rien créé dans cette partie )??? Les règles sont toutes mises en pass all pour la phases de test.

      1 Reply Last reply Reply Quote 0
      • T
        titofe
        last edited by

        Quelles sont les rules?

        1 Reply Last reply Reply Quote 0
        • T
          thom31
          last edited by

          Merci titof pour ta réponse mais, évidement, et comme souvent, il s'agissait d'un pb de cryptage. Le vpn monte.
          Merci

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            couldn't find the proper pskey

            Problème avec la psk ? ou dissymétrie dans les paramètres de chiffrement IKE ?

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.