VPN IPSEC entre freebox et business livebox



  • Bonjour,

    Dans le cadre professionnel je dois monter un VPNsite to site.

    Sur mon premier site le pfsense est derrière une business livebox en bridge donc l'interface wan de mon pfsense est 10.0.0.2.
    Sur mon second site le pfsense est derrière une freebox en routeur donc l'ip de la wan est l'ip public.

    Je voudrais savoir si ce type de configuration rend possible le montage d'un VPN IPSEC ?

    Désolé de ne pas respecter les règles du forum, si mon message n'est pas clair j'en reposterais un plus tard avec plus de temps pour etre plus clair.



  • hormis le fait que tu t'es à priori trompé sur ce qui est bridge vs. routeur (ou trompé sur les IP… mais bref ça ne colle pas), oui tu peux bien sur faire un tunnel IPSec entre tes boitiers pfSense.

    Il faut juste configurer la bonne IP publique de part et d'autre  ;)



  • Désolé de ne pas respecter les règles du forum

    Il est toujours préférable de respecter les règles, surtout pour un premier post, et d'autant que ce n'est pas bien long ! cf A LIRE EN PREMIER. Merci d'y penser …

    Dans un cadre professionnel, et pour des petites sociétés, on rencontre des sites avec LiveBox ou Freebox ou ..., donc c'est possible.
    Mais cela signifie que l'on est derrière de l'ADSL, il ne faudra pas s'attendre à des miracles en terme de vitesse : la vitesse d'upload sera le max en sortie !

    L'idéal pour du 'site à site' est un VPN Ipsec.
    Mais il y a des contraintes : le mieux, dans le cas, est que le WAN de chaque pfSense reçoive l'ip publique.
    Donc si WAN derrière un routeur : cochez (de chaque côté) le NAT Traversal. De plus il faudra savoir transférer les ports nécessaires sur le routeur ou utiliser la fonction 'DMZ' de ces box !

    Compte tenu de la perf médiocre dûe à l'ADSL, un VPN de type OpenVPN est aussi possible.
    (Même remarque pour le routeur : savoir transférer le port nécessaire ou 'DMZ').

    Le VPN étant via Internet, il est parfaitement clair qu'il est établi entre ip publiques.
    Au besoin, si les ip publiques sont dynamiques, penser à un nom dns dynamique tombe sous le sens ...

    Autre conseil : commencer par lire les docs, chercher dans le forum, et se sortir les doigts ... (=ne pas attendre tout du forum)



  • Bonjour,

    Un grand merci pour vos réponses, je prend en considération toutes vos conseils. Je sais que ce ne sera pas une liaison très performante mais je veux juste pouvoir accéder à des fichiers et à un serveur. A voir le schéma en PJ.

    Voici la conf IPSEC de mes 2 pfsense:

    pf1:

    Interface: WAN
      Local subnet:  LAN subnet
      Remote subnet: 192.168.1.0/24
      Remote gateway: public pf2  62.160..

    pf1 phase1:

    Authentication method: Mutual PSK
    Negotation mode: aggressive
      My identifier: My IP address
      Encryption algorithm: 3DES
      Hash algorithm: SHA1
      DH key group: 2 (1024 bit)
      Lifetime: 28800
    NAT Transversal: auto

    pf1 phase 2:

    Protocol: ESP
      Encryption algorithm: AES
      Hash algorithm: SHA1
      PFS key group: 2 (1024 bit)
      Lifetime: 86400

    –------------

    pf2:

    Interface: WAN
      Local subnet:  LAN subnet
      Remote subnet: 192.168.10.0/27
      Remote gateway: public pf2  88.173..

    pf2 phase1:

    Authentication method: Mutual PSK
    Negotation mode: aggressive
      My identifier: My IP address
      Encryption algorithm: 3DES
      Hash algorithm: SHA1
      DH key group: 2 (1024 bit)
      Lifetime: 28800
    NAT Transversal: auto

    pf2 phase 2:

    Protocol: ESP
      Encryption algorithm: AES
      Hash algorithm: SHA1
      PFS key group: 2 (1024 bit)
      Lifetime: 86400

    –----------------------------------------------------------------------------------------------------------------------------------
    Configuration pour les 2 pf:
    (dans un premier temps pour test, j'affinerais quand ca fonctionnera)
    Firewall -> Rules -> IPSEC
    Proto          Source        Port    Destination          Port        Gateway
      ipv4 TCP      *              *              *                    *                *


    Configuration pour les 2 pf:
    Firewall -> Rules -> WAN
    Proto          Source        Port    Destination          Port        Gateway
      ipv4 UDP      *              *              *                  4500            *

    Proto          Source        Port    Destination          Port        Gateway
      ipv4 UDP      *              *              *                  500              *


    Voici les  Status -> System Logs -> IPSEC pf1

    charon 02[IKE] <16> 62.160.. is initiating a Aggressive Mode IKE_SA
    charon 02[CFG] <16> looking for pre-shared key peer configs matching 88.173..…62.160..[10.0.0.2]
    charon 02[IKE] <16> found 1 matching config, but none allows pre-shared key authentication using Aggressive Mode
    charon 02[ENC] <16> generating INFORMATIONAL_V1 request 4034996461 [ N(AUTH_FAILED) ]
    charon 02[NET] <16> sending packet: from 88.173..[500] to 62.160..[1023] (56 bytes)
            charon 13[IKE] <con1000|6>sending retransmit 4 of request message ID 0, seq 1
    charon 13[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
    charon 11[IKE] <con1000|6>sending retransmit 5 of request message ID 0, seq 1
    charon 11[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
    charon 13[IKE] <con1000|6>giving up after 5 retransmits
    charon 13[IKE] <con1000|6>peer not responding, trying again (3/3)
    charon 13[IKE] <con1000|6>initiating Aggressive Mode IKE_SA con1000[6] to 62.160..
    charon 13[ENC] <con1000|6>generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
    charon 13[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
    charon 13[IKE] <con1000|6>sending retransmit 1 of request message ID 0, seq 1
    charon 13[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160*.[500] (356 bytes)
    charon 07[IKE] <con1000|6>sending retransmit 2 of request message ID 0, seq 1
    charon 07[NET] <con1000|6>sending packet: from 88.173.
    .[500] to 62.160..[500] (356 bytes)
    charon 04[IKE] <con1000|6>sending retransmit 3 of request message ID 0, seq 1
    charon 04[NET] <con1000|6>sending packet: from 88.173.
    .[500] to 62.160..[500] (356 bytes)
    charon 11[IKE] <con1000|6>sending retransmit 4 of request message ID 0, seq 1
    charon 11[NET] <con1000|6>sending packet: from 88.173.
    .[500] to 62.160..[500] (356 bytes)
    charon 04[IKE] <con1000|6>sending retransmit 5 of request message ID 0, seq 1
    charon 04[NET] <con1000|6>sending packet: from 88.173.
    .[500] to 62.160..[500] (356 bytes)
    charon 11[IKE] <con1000|6>giving up after 5 retransmits
    charon 11[IKE] <con1000|6>establishing IKE_SA failed, peer not responding
    charon 04[CFG] rereading secrets
    charon 04[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
    charon 04[CFG] loaded IKE secret for %any 62.160.
    .*
    charon 04[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
    charon 04[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
    charon 04[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
    charon 04[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
    charon 04[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
    charon 09[CFG] received stroke: unroute 'bypasslan'
    ipsec_starter 10530 shunt policy 'bypasslan' uninstalled
    charon 04[CFG] received stroke: delete connection 'bypasslan'
    charon 04[CFG] deleted connection 'bypasslan'
    charon 03[CFG] received stroke: unroute 'con1000'
    ipsec_starter 10530 configuration 'con1000' unrouted
    charon 04[CFG] received stroke: delete connection 'con1000'
    charon 04[CFG] deleted connection 'con1000'
    charon 04[CFG] received stroke: add connection 'bypasslan'
    charon 04[CFG] added configuration 'bypasslan'
    charon 06[CFG] received stroke: route 'bypasslan'
    ipsec_starter 10530 'bypasslan' shunt PASS policy installed
    charon 06[CFG] received stroke: add connection 'con1000'
    charon 06[CFG] added configuration 'con1000'
    charon 12[CFG] received stroke: route 'con1000'
    ipsec_starter 10530 'con1000' routed

    Par contre il 'y a aucun  Status -> System Logs -> IPSEC pf 2

    –----------------------------------------------------------------------------------------------------------------------------------

    Donc si WAN derrière un routeur : cochez (de chaque côté) le NAT Traversal. De plus il faudra savoir transférer les ports nécessaires sur le routeur ou utiliser la fonction 'DMZ' de ces box !

    Donc je dois changer    VPN -> IPsec -> Tunnels -> Edit Phase 1 -> NAT Transversal : Auto par force ?

    L'opération de transfère de ports 500 et 4500 UDP sur le routeur dois se faire via le pf2        Firewall -> NAT -> Port Forward ?


    </con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6>



  • Le NAT traversal doit être activé en effet.
    Le plus simple est de placer votre livebox en mode dmz (je crois que c'est comme cela qu’ils ont nommé l'option), de telle façon qu'elle forward tous les flux vers Pfsense.
    Une précision sur vos choix cryptographiques : SHA1, 3DES ne sont plus considérés comme sûrs et devraient ne plus être utilisés (tout comme MD5, DES, RC4). Prenez un groupe Diffie Hellman plutôt de 2048 bits. Et si votre version de Pfsense le propose utilisez plutôt ECDH.



  • Ok donc je force le NAT Tranversal.

    Pour le mode DMZ avec mon offre je n'ai pas accès à l'interface de gestion de ma livebox donc j'ai du appeler orange pour qu'ils le fassent.
    Après cette opération je mettrais mon interface WAN en DHCP et elle aura l'ip publique?

    Merci pour ces conseils de cryptages.



  • @yoyozoide:

    Pour le mode DMZ avec mon offre je n'ai pas accès à l'interface de gestion de ma livebox donc j'ai du appeler orange pour qu'ils le fassent.
    Après cette opération je mettrais mon interface WAN en DHCP et elle aura l'ip publique?

    Non pas du tout mais tout ce qui arrivera vers ton IP publique sera redirigé vers cette IP privée "en DMZ".
    Au passage je trouve cette expression particulièrement mal choisie mais c'est celle effectivement utilisée dans la plupart des interfaces.



  • Ok donc je viens d'avoir le technicien orange qui a mis la box en mode DMZ et ouvert les ports.

    Je vais donc pouvoir re tester ma liaison VPN.

    Je met en PJ mes règles pf2 pour le lan, je voulais savoir si cela vous semble correct?

    ![regles lan.jpg](/public/imported_attachments/1/regles lan.jpg)
    ![regles lan.jpg_thumb](/public/imported_attachments/1/regles lan.jpg_thumb)



  • Voici en PJ les changements que j'ai fait au niveau de la configuration VPN.

    Je n'arrive toujours pas à avoir de liaison  VPN je ne comprend pas, toujours pas de logs au niveau de mon pf2.

    Et toujours des logs au niveau de mon pf1 qui peuvent peut être m'aider mais j'ai bien du mal à les interpréter. Je les mets en PJ aussi.






  • Évitez le mode Agressif pour revenir au mode "Main".
    Il semble que vous ayez aussi un pb avec le NAT de Live box, et, ou de la config de ce côté ci : 10.0.0.2 does not match 62.160 …. dans vos logs.
    A tout hasard vérifiez votre PSK.



  • Bonjour! Je reviens a la guerre avec mon vpn!

    Du coup j'ai changé pour le mode main
    En m'aidant de https://doc.pfsense.org/index.php/IPsec_Troubleshooting  j'ai modifié    VPN–>IPsec-->Tunnels-->Edit Phase 1-->peer identifier par ip adress avec 10.0.0.2 ce qui m'a reglé mon problème de NAT .. si j'ai bien compris

    Cependant j'ai encor un problème d'auth et je ne comprend pas .. voici les logs

    Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[1023] to 88.173..[500] (180 bytes)
    Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ SA V V V V V ]
    Oct 24 11:17:05 charon 05[IKE] <36> received XAuth vendor ID
    Oct 24 11:17:05 charon 05[IKE] <36> received DPD vendor ID
    Oct 24 11:17:05 charon 05[IKE] <36> received FRAGMENTATION vendor ID
    Oct 24 11:17:05 charon 05[IKE] <36> received NAT-T (RFC 3947) vendor ID
    Oct 24 11:17:05 charon 05[IKE] <36> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
    Oct 24 11:17:05 charon 05[IKE] <36> 62.160.. is initiating a Main Mode IKE_SA
    Oct 24 11:17:05 charon 05[ENC] <36> generating ID_PROT response 0 [ SA V V V V ]
    Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[500] to 62.160..[1023] (160 bytes)
    Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[1023] to 88.173..[500] (244 bytes)
    Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
    Oct 24 11:17:05 charon 05[IKE] <36> remote host is behind NAT
    Oct 24 11:17:05 charon 05[ENC] <36> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
    Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[500] to 62.160*.[1023] (244 bytes)
    Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160.
    .[33195] to 88.173..[4500] (100 bytes)
    Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
    Oct 24 11:17:05 charon 05[CFG] <36> looking for pre-shared key peer configs matching 88.173.
    .…62.160..[10.0.0.2]
    Oct 24 11:17:05 charon 05[IKE] <36> found 1 matching config, but none allows pre-shared key authentication using Main Mode
    Oct 24 11:17:05 charon 05[ENC] <36> generating INFORMATIONAL_V1 request 3906799063 [ HASH N(AUTH_FAILED) ]
    Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173.
    .[4500] to 62.160..*[33195] (84 bytes)



  • Quelles sont les version Pfsense de part et d'autre ? Sont ce des installations dans ces versions, ou bien y a t il eu des upgardes ?



  • 2.3.2-RELEASE-p1 (i386)
    built on Tue Sep 27 12:13:32 CDT 2016
    FreeBSD 10.3-RELEASE-p9

    2.3.2-RELEASE-p1 (amd64)
    built on Tue Sep 27 12:13:07 CDT 2016
    FreeBSD 10.3-RELEASE-p9

    J'ai installé les 2 en 2.3.2



  • Yata! Ca fonctionne enfin!

    Mon erreur a été de remplir le "peer identifier" dans le mauvais pf..

    Cependant je rencontre encor un problème, ma connection bien établie voie en PJ, je n'arrive pas à pinger les machines au bout du VPN..

    Voici la règles que j'ai ajouté sur les 2 pf:

    Firewall -> Rules -> IPSEC
    Proto          Source        Port    Destination          Port        Gateway
    ipv4 ICMP      *              *              *                    *                *

    Les règles WAN sur les 2 pf:

    Firewall -> Rules -> WAN
    Proto          Source        Port    Destination          Port        Gateway
    ipv4 ESP          *              *            *                      *                *

    Proto          Source        Port    Destination          Port        Gateway
    ipv4 UDP          *              *      WAN ADDRESS      500              *

    Je pense encor que c'est un problème de NAT sur mon pf2…

    Me faut il pas configurer dans la phase 2 de mon pf2 le NAT/BINAT translation?




  • Je passe par là vite fait. Vérifiez aussi votre routage selon ce que vous voulez faire.



  • Bonjour,

    Je suis un peu entrain de sécher..

    Je n'arrive toujours pas à pinger à l'autre bout du vpn ..

    J'ai essayé de crée une route static sur mon pf2 (192.168.1.0/24):
    Network                 Gateway                 Interface 
    192.168.10.0/27 WANGW - 10.0.0.1 WAN

    La configuration du NAT/BINAT translation ne règle pas non plus le problème..

    De plus sur mon pf1 je n'ai aucun logs (system, firewall, ipsec ….) aucun ..



  • Bon j'y suis enfin arriver!

    Il me manquait:
    -la configuration de vpn ipsec phase 2 : nat/binat seulement pour le pf2
    -les règles firewall de lan vers remote network
    -routes des 2 pf

    Je me lance maintenant dans le partage de documents.



  • Cela a peu être déjà été abordé dans un autre ticket ou autre forum mais j'ai du mal à trouver des informations concernant l'accès aux partages de fichiers via vpn IPSEC.

    Si quelqu'un a un lien ou des infos je suis preneur.



  • ouch  :o

    c'est quoi cette histoire de "partage de document au travers d'un lien IPSec" ?

    J'avoue être surpris par la question. De quoi s'agit-il, concrètement ?
    tu as un serveur sur un site, des clients sur un autre, je suppose. Quel est le protocole entre les 2 ? NFS, CIFS ? Dans le monde Windows, il y a également quelques petites "surprises" avec WINS, potentiellement, mais en dehors de ça, sauf si tu fais du NetBeui  ;D ;D ;D je ne vois pas quelle est la nature de ton problème.

    Peux-tu préciser un peu ta question ?

    Petit point de détail qui peut avoir son importance une fois que ça va fonctionner: SMB est un protocole conçu pour fonctionner sur le LAN, pas sur le WAN. Il est très sensible à la latence car très bavard avec de nombreux ACK.  :'( 8)
    Donc en terme de performance… ne pas s'attendre à des miracles.



  • En faite sur mon lan principal j'ai un NAS Synology pour gérer le partage de fichiers et j'aimerais que mes clients VPN puissent consulter les fichiers.

    Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.

    Pour l'instant je n'ai rien configuré je suis en phase de recherche. Merci pour ces pistes.



  • @yoyozoide:

    Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.

    Non.
    Je ne pense pas que vous utilisiez NFS. Si vous le 'utilisez pas vous n'avez pas à le configurer.
    C'est doute le cas aujourd'hui. Pour utilisez smb au travers d'un vpn, prendre en compte les remarques de Chris.



  • @yoyozoide:

    Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.

    Comme le dit ccnet (on se renvoie la balle), avec un NAS Synology (et des clients Windows  ;)), c'est très probablement du SMB.
    Donc attention aux performances (pour autant que ce critère soit important, ce n'est pas nécessairement le cas)

    Donc en SMB, tu peux accéder directement à ton NAS à partir de son adresse IP.
    Ou à partir d'un fqdn (quid de ta conf DNS)
    Ou encore à partir du nom UNC, mais dans ce cas, ça fait appel à NetBios et donc la conf client qui décrit si NetBios over TCP/IP est activé ou pas.

    Avec toutes ces infos, quel est ton problème exactement ?
    ou est-ce que tu poses la question en avance de phase en te disant que au final tu pourrais peut-être avoir un problème ?  ;D



  • Bonjour,

    En effet je pensais que j'allais au devant de plus de problème en faite rien de compliqué..

    J'ai juste ouvert le port 445 en tcp et ca fonctionne.

    Pour l'instant tous roule, un grand merci pour le temps passé à me debuger,  ;)



  • @yoyozoide:

    Pour l'instant tous roule, un grand merci pour le temps passé à me debuger,  ;)

    A ce stade, compte tenu du titre initial du fil, tu devrais:

    1 - modifier le sujet du premier message pour le marqué comme [RESOLU]
    2 - ouvrir de nouveaux fils pour les problèmes ou questions que tu aurais mais qui n'ont rien à voir avec les aspects IPSec

    ;)



  • Bonjour ! J'hésite entre plusieurs VPN : - PureVPN - NordVPN - ExpressVPN.  En utilisez vous un ?Lequel pouvez vous me conseiller ?

    http://comparatifantivirus.net/meilleur-vpn-payant/



  • @bud:

    Bonjour ! J'hésite entre plusieurs VPN : - PureVPN - NordVPN - ExpressVPN.  En utilisez vous un ?Lequel pouvez vous me conseiller ?

    http://comparatifantivirus.net/meilleur-vpn-payant/

    Ouvrez un nouveau fil si vous le souhaitez mais ce n'est pas l'endroit idéal pour votre question. Le sujet n'a qu'un rapport lointain avec Pfsense.


Log in to reply