PfSense 2.3.2 Ipsec site a site ok mais pas de transfer de données



  • Bonjour,

    Le contexte :

    Mon but est de faire communiquer deux pfsense en IPSEC et de transferer mon traffic de chez moi aux serveur online.
    Le premier est une appliance alix (pfsense 2.3.2), le second est installer en frontal sur un serveur ESXI chez online.
    Il y'a du nat outbound manuel sur l'appliance ainsi que sur le serveur ESXI qui sont tous les deux en frontal.

    Dans l'état actuel le tunnel ipsec est établis je peux pinguer dans les deux sens en revanche je n'arrive pas à faire transiter le trafic de l'un a l'autre.

    Mon besoin est de faire transiter le trafic au travers du tunnel ipsec

    My configuration :

    Pour le Site 1 :
    VPN > IPsec > Tunnels >

    Key Exchange version : V2
    Internet Protocol : IPV4
    Interface : WAN
    Remote Gateway : IP Public (failover ESXI)

    Phase 1 :
    Authentification Method : Mutual PSK
    My identifier : Ip adresse public de la box (Site 1)
    Peer identifier : Peer IP address
    Pre- Shared Key :
    Encryption Algorithm : AES 256 bits
    Hash Algorithm : SHA 256
    DH Group : 2 (1024bit)
    Lifetime : 3600
    Dead Peer Detection : Enable DPD
    Delay : 10
    Max failures : 20

    Phase 2 :
    Mode : Tunnel IPV4
    Local Network : 192.168.2.0 / 24
    NAT / BINAT translation Network : 192.168.2.0 / 24
    Remote Network : 0.0.0.0 / 0
    Protocol : ESP
    Encryption Algorithms : AES256-GCM Auto
    Hash Algorithms : None
    PFS key group : 2 (1024 bit)
    Lifetime : 3600

    Pour le Site 2 :

    VPN > IPsec > Tunnels >

    Key Exchange version : V2
    Internet Protocol : IPV4
    Interface : WAN
    Remote Gateway : IP Public de la box (Site 1)

    Phase 1 :
    Authentification Method : Mutual PSK
    My identifier : Ip adresse public (failover ESXI)
    Peer identifier : Peer IP address
    Pre- Shared Key :
    Encryption Algorithm : AES 256 bits
    Hash Algorithm : SHA 256
    DH Group : 2 (1024bit)
    Lifetime : 3600
    Dead Peer Detection : Enable DPD
    Delay : 10
    Max failures : 20

    Phase 2 :
    Mode : Tunnel IPV4
    Local Network : 192.168.100.0 / 24
    NAT / BINAT translation Network : 192.168.100.0 / 24
    Remote Network : 192.168.2.0 / 24
    Protocol : ESP
    Encryption Algorithms : AES256-GCM Auto
    Hash Algorithms : None
    PFS key group : 2 (1024 bit)
    Lifetime : 3600

    Dés deux cotés les régles sur le Firewall > Rules > Ipsec > TCP, UDP, ICMP Allow all

    J'ai fait des recherches sur le net poster sur le forum anglais suivi le tutoriel pfsense pour ipsec préconisé sans succés hélas

    Je suis à votre disposition en cas de questions ou autre.



  • Ipsec site a site ok mais pas de transfer de données

    Quel est le test qui conduit à cette conclusions ?
    Pourquoi remote network est 0.0.0.0/0 sur site 1 ?
    Je ne suis pas certain de comprendre comment sur site sont agencés la box et Pfsense ?



  • Je précise le test qui me conduit à cette conclusion est le fait qu'une fois le tunnel phase 1 établis je peux pinguer des deux côtés mais le transfert des données ne s'effectue pas. Mon but est de faire transiter le traffic web via l'ipsec comme s'il était émis du cote ESXI cad Site 2.

    Pourquoi remote network est 0.0.0.0/0 sur le site 1 car c'est se qui est prescrit par le tutoriel pfsense officiel : https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel afin de faire justement transiter le traffic web. Dis moi si je me trompe

    Pour l'agencement du côté site 1, pfsense est en passthrough derrière la box cad qu'il est en frontal sur le net et reçoit une ip en dhcp de mon fai. J'ai fait se choix pour être sur qu'il n'y ait pas de limitation pendant la phase de configuration. Pour le site 2 mon ESXI contient un pfsense en frontal. Dans les deux cas il y a du nat manual unbound car j'en ait besoin pour que mes postes de part et d'autre puissent accéder au net. Je ne pense pas que mon problème viennent des rules je pense que c'est un point de configuration qui m'échappe mais après plusieurs jours de test je ne trouve pas de solutions.

    LAN > boitier ALIX (pfsense) > passthrough box > backbone fai > serveur online esxi > VM pfsense en frontal



  • Si j'en juge par le post plus récent le problème est résolu ?



  • Oui CCNET



  • @edge42:

    Oui CCNET

    Dans ce cas, ce qui se fait habituellement sur les forums, c'est de :

    • modifier le titre du premier message pour le marquer comme [RESOLU] ce qui facilite la lecture par les autres membres
    • décrire brièvement quel était finalement le problème et quelle est la solution car, et c'est un peu le principe d'un forum, ça peu aider d'autres personnes confrontées à un problème similaire

    ;)



  • Rappel d'autant plus justifié que Edge42 m'a contacté par mail pour recevoir de l'aide.
    Je lui ai donc répondu que j’avais très peu de temps disponible mais que, si il patientait un peu, je lui enverrai des informations sur la base d'une configuration fonctionnelle. Cette réponse était assortie de quelques conseils de vérification de sa configuration IpSec
    Je m’apprêtais donc hier à honorer mon engagement lorsque je découvre que son problème est réglé.
    Un minimum de courtoisie et d’éducation supposait une réponse, ou au moins de m'avertir que le problème était réglé.


Log in to reply