Pfsense/watchguard M300 - vpn ipsec

mattmurdock78

Bonjour,

J'ai un tunnel ipsec monté entre un watchguard M300 et un pfsense version 2.3.4

Mon LAN site A: 10.0.0.0/20
VLAN site A pour le réseau Wifi: 192.168.8.0/26

LAN site B: 192.168.3.0/24

Le tunnel Ipsec fonctionne très bien entre le 10.0.0.0/20 vers le 192.168.3.0/24
J'ai tenté de rajouter une route supplémentaire dans le tunnel ipsec existant de 192.168.8.0/26 vers 192.168.3.0/24 > ça ne fonctionne pas. Côté site B (pfsense version 2.3.4) j'ai rajouté

Site A (watchguard M300)

J'ai l'impression que les routes sont bonnes et quand je fais un test de diagnostic vpn ipsec:

Tunnel Name: ovh
tunnel route#1(192.168.8.0/26<->192.168.3.0/24) - Not established
Unable to find any active Phase 2 Security Associations (SAs) for tunnel route (192.168.8.0/26<->192.168.3.0/24).
Recommendation: Confirm whether either side is currently sending traffic through the tunnel.
tunnel route#2(10.0.0.0/20<->192.168.3.0/24) - Established
Incoming VPN traffic was detected for this tunnel after the diagnostic report started.
Outgoing VPN traffic was detected for this tunnel after the diagnostic report started.
The firewall policy "BOVPN-Allow.out-00" is matched for the outgoing traffic.
The firewall policy "BOVPN-Allow.in-00" is matched for the incoming traffic.

On constate bien que le réseau 10.0.0.0/20 arrive à joindre le réseau 192.168.3.0/24
En revanche le réseau 192.168.8.0/26 n'arrive pas à joindre le réseau 192.168.3.0/24

Site B ("Pfsense" version 2.3.4)

J'ai l'impression que le routeur "pfsense" ne connaît pas la route 192.168.8.0/26
Quand je vais dans "Diagnostics > "routes"
Je ne vois aucune route à destination de 192.168.8.0/26, mais logiquement, vu que le site A connait toute les routes, il devrait la connaître non ?

Auriez-vous une idée ?

Cordialement

chris4916

Est-ce que la réponse n'est pas simplement là

Unable to find any active Phase 2 Security Associations (SAs) for tunnel route (192.168.8.0/26<->192.168.3.0/24)

???

Quelle est la définition de ton tunnel IPSec ?

mattmurdock78

@chris4916:

Est-ce que la réponse n'est pas simplement là

Unable to find any active Phase 2 Security Associations (SAs) for tunnel route (192.168.8.0/26<->192.168.3.0/24)

???

Quelle est la définition de ton tunnel IPSec ?

Bonjour,

Merci pour votre retour :)

Je m'excuse mais qu'entendez-vous par "définition du tunnel IPsec ? sa configuration ?

Cordialement

chris4916

oui ;D

Qu'as-tu défini en phase 2 ?

mattmurdock78

@chris4916:

oui ;D

Qu'as-tu défini en phase 2 ?

Rebonjour,

Phase 2 sur le watchguard m300 en pièce jointe :)

phase2-1.JPG_thumb

phase2.JPG_thumb

ccnet

Nous ne voyons rien des paramètres cryptographiques choisis de part et d'autre. Mais bref . Manifestement il ne parvient pas à construire une SA. Il manque probablement des informations de configuration. Le message est clair : Unable to find any active Phase 2 Security Associations (SA).

mattmurdock78

Bonjour,

Merci pour votre retour, je reprend un peu la main sur le routeur, désolé

Voici les informations phase 1 et phase 2 côté watchguard et pfsense en pièce jointe en esperant que cela soit un tout petit peu plus clair :)

Cordialement

siteA-1-WATCHGUARD-M300.jpg_thumb

siteA-2-WATCHGUARD-M300-PHASE1.JPG_thumb

SITEA-WATCHGUARD-M300-PHASE2-1.JPG_thumb

SITEA-WATCHGUARD-M300-PHASE2-2.JPG_thumb

PFSENSE-phase2-reseauvlan8-wifi.png_thumb
PFSENSE-phase2-réseaudeprod.png