Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense 2.3.2 Ipsec site a site ok mais pas de transfer de données

    Scheduled Pinned Locked Moved Français
    7 Posts 3 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      edge42
      last edited by

      Bonjour,

      Le contexte :

      Mon but est de faire communiquer deux pfsense en IPSEC et de transferer mon traffic de chez moi aux serveur online.
      Le premier est une appliance alix (pfsense 2.3.2), le second est installer en frontal sur un serveur ESXI chez online.
      Il y'a du nat outbound manuel sur l'appliance ainsi que sur le serveur ESXI qui sont tous les deux en frontal.

      Dans l'état actuel le tunnel ipsec est établis je peux pinguer dans les deux sens en revanche je n'arrive pas à faire transiter le trafic de l'un a l'autre.

      Mon besoin est de faire transiter le trafic au travers du tunnel ipsec

      My configuration :

      Pour le Site 1 :
      VPN > IPsec > Tunnels >

      Key Exchange version : V2
      Internet Protocol : IPV4
      Interface : WAN
      Remote Gateway : IP Public (failover ESXI)

      Phase 1 :
      Authentification Method : Mutual PSK
      My identifier : Ip adresse public de la box (Site 1)
      Peer identifier : Peer IP address
      Pre- Shared Key :
      Encryption Algorithm : AES 256 bits
      Hash Algorithm : SHA 256
      DH Group : 2 (1024bit)
      Lifetime : 3600
      Dead Peer Detection : Enable DPD
      Delay : 10
      Max failures : 20

      Phase 2 :
      Mode : Tunnel IPV4
      Local Network : 192.168.2.0 / 24
      NAT / BINAT translation Network : 192.168.2.0 / 24
      Remote Network : 0.0.0.0 / 0
      Protocol : ESP
      Encryption Algorithms : AES256-GCM Auto
      Hash Algorithms : None
      PFS key group : 2 (1024 bit)
      Lifetime : 3600

      Pour le Site 2 :

      VPN > IPsec > Tunnels >

      Key Exchange version : V2
      Internet Protocol : IPV4
      Interface : WAN
      Remote Gateway : IP Public de la box (Site 1)

      Phase 1 :
      Authentification Method : Mutual PSK
      My identifier : Ip adresse public (failover ESXI)
      Peer identifier : Peer IP address
      Pre- Shared Key :
      Encryption Algorithm : AES 256 bits
      Hash Algorithm : SHA 256
      DH Group : 2 (1024bit)
      Lifetime : 3600
      Dead Peer Detection : Enable DPD
      Delay : 10
      Max failures : 20

      Phase 2 :
      Mode : Tunnel IPV4
      Local Network : 192.168.100.0 / 24
      NAT / BINAT translation Network : 192.168.100.0 / 24
      Remote Network : 192.168.2.0 / 24
      Protocol : ESP
      Encryption Algorithms : AES256-GCM Auto
      Hash Algorithms : None
      PFS key group : 2 (1024 bit)
      Lifetime : 3600

      Dés deux cotés les régles sur le Firewall > Rules > Ipsec > TCP, UDP, ICMP Allow all

      J'ai fait des recherches sur le net poster sur le forum anglais suivi le tutoriel pfsense pour ipsec préconisé sans succés hélas

      Je suis à votre disposition en cas de questions ou autre.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Ipsec site a site ok mais pas de transfer de données

        Quel est le test qui conduit à cette conclusions ?
        Pourquoi remote network est 0.0.0.0/0 sur site 1 ?
        Je ne suis pas certain de comprendre comment sur site sont agencés la box et Pfsense ?

        1 Reply Last reply Reply Quote 0
        • E
          edge42
          last edited by

          Je précise le test qui me conduit à cette conclusion est le fait qu'une fois le tunnel phase 1 établis je peux pinguer des deux côtés mais le transfert des données ne s'effectue pas. Mon but est de faire transiter le traffic web via l'ipsec comme s'il était émis du cote ESXI cad Site 2.

          Pourquoi remote network est 0.0.0.0/0 sur le site 1 car c'est se qui est prescrit par le tutoriel pfsense officiel : https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel afin de faire justement transiter le traffic web. Dis moi si je me trompe

          Pour l'agencement du côté site 1, pfsense est en passthrough derrière la box cad qu'il est en frontal sur le net et reçoit une ip en dhcp de mon fai. J'ai fait se choix pour être sur qu'il n'y ait pas de limitation pendant la phase de configuration. Pour le site 2 mon ESXI contient un pfsense en frontal. Dans les deux cas il y a du nat manual unbound car j'en ait besoin pour que mes postes de part et d'autre puissent accéder au net. Je ne pense pas que mon problème viennent des rules je pense que c'est un point de configuration qui m'échappe mais après plusieurs jours de test je ne trouve pas de solutions.

          LAN > boitier ALIX (pfsense) > passthrough box > backbone fai > serveur online esxi > VM pfsense en frontal

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Si j'en juge par le post plus récent le problème est résolu ?

            1 Reply Last reply Reply Quote 0
            • E
              edge42
              last edited by

              Oui CCNET

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                @edge42:

                Oui CCNET

                Dans ce cas, ce qui se fait habituellement sur les forums, c'est de :

                • modifier le titre du premier message pour le marquer comme [RESOLU] ce qui facilite la lecture par les autres membres
                • décrire brièvement quel était finalement le problème et quelle est la solution car, et c'est un peu le principe d'un forum, ça peu aider d'autres personnes confrontées à un problème similaire

                ;)

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet
                  last edited by

                  Rappel d'autant plus justifié que Edge42 m'a contacté par mail pour recevoir de l'aide.
                  Je lui ai donc répondu que j’avais très peu de temps disponible mais que, si il patientait un peu, je lui enverrai des informations sur la base d'une configuration fonctionnelle. Cette réponse était assortie de quelques conseils de vérification de sa configuration IpSec
                  Je m’apprêtais donc hier à honorer mon engagement lorsque je découvre que son problème est réglé.
                  Un minimum de courtoisie et d’éducation supposait une réponse, ou au moins de m'avertir que le problème était réglé.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.