VPN IPSEC entre freebox et business livebox
-
Ok donc je viens d'avoir le technicien orange qui a mis la box en mode DMZ et ouvert les ports.
Je vais donc pouvoir re tester ma liaison VPN.
Je met en PJ mes règles pf2 pour le lan, je voulais savoir si cela vous semble correct?
 -
Voici en PJ les changements que j'ai fait au niveau de la configuration VPN.
Je n'arrive toujours pas à avoir de liaison VPN je ne comprend pas, toujours pas de logs au niveau de mon pf2.
Et toujours des logs au niveau de mon pf1 qui peuvent peut être m'aider mais j'ai bien du mal à les interpréter. Je les mets en PJ aussi.
-
Évitez le mode Agressif pour revenir au mode "Main".
Il semble que vous ayez aussi un pb avec le NAT de Live box, et, ou de la config de ce côté ci : 10.0.0.2 does not match 62.160 …. dans vos logs.
A tout hasard vérifiez votre PSK. -
Bonjour! Je reviens a la guerre avec mon vpn!
Du coup j'ai changé pour le mode main
En m'aidant de https://doc.pfsense.org/index.php/IPsec_Troubleshooting j'ai modifié VPN–>IPsec-->Tunnels-->Edit Phase 1-->peer identifier par ip adress avec 10.0.0.2 ce qui m'a reglé mon problème de NAT .. si j'ai bien comprisCependant j'ai encor un problème d'auth et je ne comprend pas .. voici les logs
Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[1023] to 88.173..[500] (180 bytes)
Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ SA V V V V V ]
Oct 24 11:17:05 charon 05[IKE] <36> received XAuth vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received DPD vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received FRAGMENTATION vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received NAT-T (RFC 3947) vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> 62.160.. is initiating a Main Mode IKE_SA
Oct 24 11:17:05 charon 05[ENC] <36> generating ID_PROT response 0 [ SA V V V V ]
Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[500] to 62.160..[1023] (160 bytes)
Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[1023] to 88.173..[500] (244 bytes)
Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Oct 24 11:17:05 charon 05[IKE] <36> remote host is behind NAT
Oct 24 11:17:05 charon 05[ENC] <36> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[500] to 62.160*.[1023] (244 bytes)
Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[33195] to 88.173..[4500] (100 bytes)
Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Oct 24 11:17:05 charon 05[CFG] <36> looking for pre-shared key peer configs matching 88.173..…62.160..[10.0.0.2]
Oct 24 11:17:05 charon 05[IKE] <36> found 1 matching config, but none allows pre-shared key authentication using Main Mode
Oct 24 11:17:05 charon 05[ENC] <36> generating INFORMATIONAL_V1 request 3906799063 [ HASH N(AUTH_FAILED) ]
Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[4500] to 62.160..*[33195] (84 bytes) -
Quelles sont les version Pfsense de part et d'autre ? Sont ce des installations dans ces versions, ou bien y a t il eu des upgardes ?
-
2.3.2-RELEASE-p1 (i386)
built on Tue Sep 27 12:13:32 CDT 2016
FreeBSD 10.3-RELEASE-p92.3.2-RELEASE-p1 (amd64)
built on Tue Sep 27 12:13:07 CDT 2016
FreeBSD 10.3-RELEASE-p9J'ai installé les 2 en 2.3.2
-
Yata! Ca fonctionne enfin!
Mon erreur a été de remplir le "peer identifier" dans le mauvais pf..
Cependant je rencontre encor un problème, ma connection bien établie voie en PJ, je n'arrive pas à pinger les machines au bout du VPN..
Voici la règles que j'ai ajouté sur les 2 pf:
Firewall -> Rules -> IPSEC
Proto Source Port Destination Port Gateway
ipv4 ICMP * * * * *Les règles WAN sur les 2 pf:
Firewall -> Rules -> WAN
Proto Source Port Destination Port Gateway
ipv4 ESP * * * * *Proto Source Port Destination Port Gateway
ipv4 UDP * * WAN ADDRESS 500 *Je pense encor que c'est un problème de NAT sur mon pf2…
Me faut il pas configurer dans la phase 2 de mon pf2 le NAT/BINAT translation?
-
Je passe par là vite fait. Vérifiez aussi votre routage selon ce que vous voulez faire.
-
Bonjour,
Je suis un peu entrain de sécher..
Je n'arrive toujours pas à pinger à l'autre bout du vpn ..
J'ai essayé de crée une route static sur mon pf2 (192.168.1.0/24):
Network Gateway Interface
192.168.10.0/27 WANGW - 10.0.0.1 WANLa configuration du NAT/BINAT translation ne règle pas non plus le problème..
De plus sur mon pf1 je n'ai aucun logs (system, firewall, ipsec ….) aucun ..
-
Bon j'y suis enfin arriver!
Il me manquait:
-la configuration de vpn ipsec phase 2 : nat/binat seulement pour le pf2
-les règles firewall de lan vers remote network
-routes des 2 pfJe me lance maintenant dans le partage de documents.
-
Cela a peu être déjà été abordé dans un autre ticket ou autre forum mais j'ai du mal à trouver des informations concernant l'accès aux partages de fichiers via vpn IPSEC.
Si quelqu'un a un lien ou des infos je suis preneur.
-
ouch :o
c'est quoi cette histoire de "partage de document au travers d'un lien IPSec" ?
J'avoue être surpris par la question. De quoi s'agit-il, concrètement ?
tu as un serveur sur un site, des clients sur un autre, je suppose. Quel est le protocole entre les 2 ? NFS, CIFS ? Dans le monde Windows, il y a également quelques petites "surprises" avec WINS, potentiellement, mais en dehors de ça, sauf si tu fais du NetBeui ;D ;D ;D je ne vois pas quelle est la nature de ton problème.Peux-tu préciser un peu ta question ?
Petit point de détail qui peut avoir son importance une fois que ça va fonctionner: SMB est un protocole conçu pour fonctionner sur le LAN, pas sur le WAN. Il est très sensible à la latence car très bavard avec de nombreux ACK. :'( 8)
Donc en terme de performance… ne pas s'attendre à des miracles. -
En faite sur mon lan principal j'ai un NAS Synology pour gérer le partage de fichiers et j'aimerais que mes clients VPN puissent consulter les fichiers.
Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.
Pour l'instant je n'ai rien configuré je suis en phase de recherche. Merci pour ces pistes.
-
Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.
Non.
Je ne pense pas que vous utilisiez NFS. Si vous le 'utilisez pas vous n'avez pas à le configurer.
C'est doute le cas aujourd'hui. Pour utilisez smb au travers d'un vpn, prendre en compte les remarques de Chris. -
Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.
Comme le dit ccnet (on se renvoie la balle), avec un NAS Synology (et des clients Windows ;)), c'est très probablement du SMB.
Donc attention aux performances (pour autant que ce critère soit important, ce n'est pas nécessairement le cas)Donc en SMB, tu peux accéder directement à ton NAS à partir de son adresse IP.
Ou à partir d'un fqdn (quid de ta conf DNS)
Ou encore à partir du nom UNC, mais dans ce cas, ça fait appel à NetBios et donc la conf client qui décrit si NetBios over TCP/IP est activé ou pas.Avec toutes ces infos, quel est ton problème exactement ?
ou est-ce que tu poses la question en avance de phase en te disant que au final tu pourrais peut-être avoir un problème ? ;D -
Bonjour,
En effet je pensais que j'allais au devant de plus de problème en faite rien de compliqué..
J'ai juste ouvert le port 445 en tcp et ca fonctionne.
Pour l'instant tous roule, un grand merci pour le temps passé à me debuger, ;)
-
Pour l'instant tous roule, un grand merci pour le temps passé à me debuger, ;)
A ce stade, compte tenu du titre initial du fil, tu devrais:
1 - modifier le sujet du premier message pour le marqué comme [RESOLU]
2 - ouvrir de nouveaux fils pour les problèmes ou questions que tu aurais mais qui n'ont rien à voir avec les aspects IPSec;)
-
Bonjour ! J'hésite entre plusieurs VPN : - PureVPN - NordVPN - ExpressVPN. En utilisez vous un ?Lequel pouvez vous me conseiller ?
-
@bud:
Bonjour ! J'hésite entre plusieurs VPN : - PureVPN - NordVPN - ExpressVPN. En utilisez vous un ?Lequel pouvez vous me conseiller ?
Ouvrez un nouveau fil si vous le souhaitez mais ce n'est pas l'endroit idéal pour votre question. Le sujet n'a qu'un rapport lointain avec Pfsense.
-
Bonjour, pourquoi avez-vous besoin d'un VPN IPSEC, y a-t-il une différence avec le VPN habituel ?