PfSense 2.3.2 Ipsec site a site ok mais pas de transfer de données

edge42 · Sep 22, 2016, 12:52 AM

Bonjour,

Le contexte :

Mon but est de faire communiquer deux pfsense en IPSEC et de transferer mon traffic de chez moi aux serveur online.
Le premier est une appliance alix (pfsense 2.3.2), le second est installer en frontal sur un serveur ESXI chez online.
Il y'a du nat outbound manuel sur l'appliance ainsi que sur le serveur ESXI qui sont tous les deux en frontal.

Dans l'état actuel le tunnel ipsec est établis je peux pinguer dans les deux sens en revanche je n'arrive pas à faire transiter le trafic de l'un a l'autre.

Mon besoin est de faire transiter le trafic au travers du tunnel ipsec

My configuration :

Pour le Site 1 :
VPN > IPsec > Tunnels >

Key Exchange version : V2
Internet Protocol : IPV4
Interface : WAN
Remote Gateway : IP Public (failover ESXI)

Phase 1 :
Authentification Method : Mutual PSK
My identifier : Ip adresse public de la box (Site 1)
Peer identifier : Peer IP address
Pre- Shared Key :
Encryption Algorithm : AES 256 bits
Hash Algorithm : SHA 256
DH Group : 2 (1024bit)
Lifetime : 3600
Dead Peer Detection : Enable DPD
Delay : 10
Max failures : 20

Phase 2 :
Mode : Tunnel IPV4
Local Network : 192.168.2.0 / 24
NAT / BINAT translation Network : 192.168.2.0 / 24
Remote Network : 0.0.0.0 / 0
Protocol : ESP
Encryption Algorithms : AES256-GCM Auto
Hash Algorithms : None
PFS key group : 2 (1024 bit)
Lifetime : 3600

Pour le Site 2 :

VPN > IPsec > Tunnels >

Key Exchange version : V2
Internet Protocol : IPV4
Interface : WAN
Remote Gateway : IP Public de la box (Site 1)

Phase 1 :
Authentification Method : Mutual PSK
My identifier : Ip adresse public (failover ESXI)
Peer identifier : Peer IP address
Pre- Shared Key :
Encryption Algorithm : AES 256 bits
Hash Algorithm : SHA 256
DH Group : 2 (1024bit)
Lifetime : 3600
Dead Peer Detection : Enable DPD
Delay : 10
Max failures : 20

Phase 2 :
Mode : Tunnel IPV4
Local Network : 192.168.100.0 / 24
NAT / BINAT translation Network : 192.168.100.0 / 24
Remote Network : 192.168.2.0 / 24
Protocol : ESP
Encryption Algorithms : AES256-GCM Auto
Hash Algorithms : None
PFS key group : 2 (1024 bit)
Lifetime : 3600

Dés deux cotés les régles sur le Firewall > Rules > Ipsec > TCP, UDP, ICMP Allow all

J'ai fait des recherches sur le net poster sur le forum anglais suivi le tutoriel pfsense pour ipsec préconisé sans succés hélas

Je suis à votre disposition en cas de questions ou autre.

ccnet · Sep 22, 2016, 5:58 AM

Ipsec site a site ok mais pas de transfer de données

Quel est le test qui conduit à cette conclusions ?
Pourquoi remote network est 0.0.0.0/0 sur site 1 ?
Je ne suis pas certain de comprendre comment sur site sont agencés la box et Pfsense ?

edge42 · Sep 22, 2016, 2:46 PM

Je précise le test qui me conduit à cette conclusion est le fait qu'une fois le tunnel phase 1 établis je peux pinguer des deux côtés mais le transfert des données ne s'effectue pas. Mon but est de faire transiter le traffic web via l'ipsec comme s'il était émis du cote ESXI cad Site 2.

Pourquoi remote network est 0.0.0.0/0 sur le site 1 car c'est se qui est prescrit par le tutoriel pfsense officiel : https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel afin de faire justement transiter le traffic web. Dis moi si je me trompe

Pour l'agencement du côté site 1, pfsense est en passthrough derrière la box cad qu'il est en frontal sur le net et reçoit une ip en dhcp de mon fai. J'ai fait se choix pour être sur qu'il n'y ait pas de limitation pendant la phase de configuration. Pour le site 2 mon ESXI contient un pfsense en frontal. Dans les deux cas il y a du nat manual unbound car j'en ait besoin pour que mes postes de part et d'autre puissent accéder au net. Je ne pense pas que mon problème viennent des rules je pense que c'est un point de configuration qui m'échappe mais après plusieurs jours de test je ne trouve pas de solutions.

LAN > boitier ALIX (pfsense) > passthrough box > backbone fai > serveur online esxi > VM pfsense en frontal

ccnet · Oct 1, 2016, 1:39 PM

Si j'en juge par le post plus récent le problème est résolu ?

edge42 · Oct 2, 2016, 5:00 PM

Oui CCNET

chris4916 · Oct 2, 2016, 8:06 PM

@edge42:

Oui CCNET

Dans ce cas, ce qui se fait habituellement sur les forums, c'est de :

modifier le titre du premier message pour le marquer comme [RESOLU] ce qui facilite la lecture par les autres membres
décrire brièvement quel était finalement le problème et quelle est la solution car, et c'est un peu le principe d'un forum, ça peu aider d'autres personnes confrontées à un problème similaire

;)

ccnet · Oct 2, 2016, 9:26 PM

Rappel d'autant plus justifié que Edge42 m'a contacté par mail pour recevoir de l'aide.
Je lui ai donc répondu que j’avais très peu de temps disponible mais que, si il patientait un peu, je lui enverrai des informations sur la base d'une configuration fonctionnelle. Cette réponse était assortie de quelques conseils de vérification de sa configuration IpSec
Je m’apprêtais donc hier à honorer mon engagement lorsque je découvre que son problème est réglé.
Un minimum de courtoisie et d’éducation supposait une réponse, ou au moins de m'avertir que le problème était réglé.