VPN IPSEC entre freebox et business livebox

yoyozoide

Bonjour,

Dans le cadre professionnel je dois monter un VPNsite to site.

Sur mon premier site le pfsense est derrière une business livebox en bridge donc l'interface wan de mon pfsense est 10.0.0.2.
Sur mon second site le pfsense est derrière une freebox en routeur donc l'ip de la wan est l'ip public.

Je voudrais savoir si ce type de configuration rend possible le montage d'un VPN IPSEC ?

Désolé de ne pas respecter les règles du forum, si mon message n'est pas clair j'en reposterais un plus tard avec plus de temps pour etre plus clair.

chris4916

hormis le fait que tu t'es à priori trompé sur ce qui est bridge vs. routeur (ou trompé sur les IP… mais bref ça ne colle pas), oui tu peux bien sur faire un tunnel IPSec entre tes boitiers pfSense.

Il faut juste configurer la bonne IP publique de part et d'autre ;)

jdh

Désolé de ne pas respecter les règles du forum

Il est toujours préférable de respecter les règles, surtout pour un premier post, et d'autant que ce n'est pas bien long ! cf A LIRE EN PREMIER. Merci d'y penser …

Dans un cadre professionnel, et pour des petites sociétés, on rencontre des sites avec LiveBox ou Freebox ou ..., donc c'est possible.
Mais cela signifie que l'on est derrière de l'ADSL, il ne faudra pas s'attendre à des miracles en terme de vitesse : la vitesse d'upload sera le max en sortie !

L'idéal pour du 'site à site' est un VPN Ipsec.
Mais il y a des contraintes : le mieux, dans le cas, est que le WAN de chaque pfSense reçoive l'ip publique.
Donc si WAN derrière un routeur : cochez (de chaque côté) le NAT Traversal. De plus il faudra savoir transférer les ports nécessaires sur le routeur ou utiliser la fonction 'DMZ' de ces box !

Compte tenu de la perf médiocre dûe à l'ADSL, un VPN de type OpenVPN est aussi possible.
(Même remarque pour le routeur : savoir transférer le port nécessaire ou 'DMZ').

Le VPN étant via Internet, il est parfaitement clair qu'il est établi entre ip publiques.
Au besoin, si les ip publiques sont dynamiques, penser à un nom dns dynamique tombe sous le sens ...

Autre conseil : commencer par lire les docs, chercher dans le forum, et se sortir les doigts ... (=ne pas attendre tout du forum)

yoyozoide

Bonjour,

Un grand merci pour vos réponses, je prend en considération toutes vos conseils. Je sais que ce ne sera pas une liaison très performante mais je veux juste pouvoir accéder à des fichiers et à un serveur. A voir le schéma en PJ.

Voici la conf IPSEC de mes 2 pfsense:

pf1:

Interface: WAN
Local subnet: LAN subnet
Remote subnet: 192.168.1.0/24
Remote gateway: public pf2 62.160..

pf1 phase1:

Authentication method: Mutual PSK
Negotation mode: aggressive
My identifier: My IP address
Encryption algorithm: 3DES
Hash algorithm: SHA1
DH key group: 2 (1024 bit)
Lifetime: 28800
NAT Transversal: auto

pf1 phase 2:

Protocol: ESP
Encryption algorithm: AES
Hash algorithm: SHA1
PFS key group: 2 (1024 bit)
Lifetime: 86400

–------------

pf2:

Interface: WAN
Local subnet: LAN subnet
Remote subnet: 192.168.10.0/27
Remote gateway: public pf2 88.173..

pf2 phase1:

Authentication method: Mutual PSK
Negotation mode: aggressive
My identifier: My IP address
Encryption algorithm: 3DES
Hash algorithm: SHA1
DH key group: 2 (1024 bit)
Lifetime: 28800
NAT Transversal: auto

pf2 phase 2:

Protocol: ESP
Encryption algorithm: AES
Hash algorithm: SHA1
PFS key group: 2 (1024 bit)
Lifetime: 86400

–----------------------------------------------------------------------------------------------------------------------------------
Configuration pour les 2 pf:
(dans un premier temps pour test, j'affinerais quand ca fonctionnera)
Firewall -> Rules -> IPSEC
Proto Source Port Destination Port Gateway
ipv4 TCP * * * * *

Configuration pour les 2 pf:
Firewall -> Rules -> WAN
Proto Source Port Destination Port Gateway
ipv4 UDP * * * 4500 *

Proto Source Port Destination Port Gateway
ipv4 UDP * * * 500 *

Voici les Status -> System Logs -> IPSEC pf1

charon 02[IKE] <16> 62.160.. is initiating a Aggressive Mode IKE_SA
charon 02[CFG] <16> looking for pre-shared key peer configs matching 88.173..…62.160..[10.0.0.2]
charon 02[IKE] <16> found 1 matching config, but none allows pre-shared key authentication using Aggressive Mode
charon 02[ENC] <16> generating INFORMATIONAL_V1 request 4034996461 [ N(AUTH_FAILED) ]
charon 02[NET] <16> sending packet: from 88.173..[500] to 62.160..[1023] (56 bytes)
charon 13[IKE] <con1000|6>sending retransmit 4 of request message ID 0, seq 1
charon 13[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 11[IKE] <con1000|6>sending retransmit 5 of request message ID 0, seq 1
charon 11[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 13[IKE] <con1000|6>giving up after 5 retransmits
charon 13[IKE] <con1000|6>peer not responding, trying again (3/3)
charon 13[IKE] <con1000|6>initiating Aggressive Mode IKE_SA con1000[6] to 62.160..
charon 13[ENC] <con1000|6>generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
charon 13[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 13[IKE] <con1000|6>sending retransmit 1 of request message ID 0, seq 1
charon 13[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160*.[500] (356 bytes)
charon 07[IKE] <con1000|6>sending retransmit 2 of request message ID 0, seq 1
charon 07[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 04[IKE] <con1000|6>sending retransmit 3 of request message ID 0, seq 1
charon 04[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 11[IKE] <con1000|6>sending retransmit 4 of request message ID 0, seq 1
charon 11[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 04[IKE] <con1000|6>sending retransmit 5 of request message ID 0, seq 1
charon 04[NET] <con1000|6>sending packet: from 88.173..[500] to 62.160..[500] (356 bytes)
charon 11[IKE] <con1000|6>giving up after 5 retransmits
charon 11[IKE] <con1000|6>establishing IKE_SA failed, peer not responding
charon 04[CFG] rereading secrets
charon 04[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
charon 04[CFG] loaded IKE secret for %any 62.160..*
charon 04[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
charon 04[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
charon 04[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
charon 04[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
charon 04[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
charon 09[CFG] received stroke: unroute 'bypasslan'
ipsec_starter 10530 shunt policy 'bypasslan' uninstalled
charon 04[CFG] received stroke: delete connection 'bypasslan'
charon 04[CFG] deleted connection 'bypasslan'
charon 03[CFG] received stroke: unroute 'con1000'
ipsec_starter 10530 configuration 'con1000' unrouted
charon 04[CFG] received stroke: delete connection 'con1000'
charon 04[CFG] deleted connection 'con1000'
charon 04[CFG] received stroke: add connection 'bypasslan'
charon 04[CFG] added configuration 'bypasslan'
charon 06[CFG] received stroke: route 'bypasslan'
ipsec_starter 10530 'bypasslan' shunt PASS policy installed
charon 06[CFG] received stroke: add connection 'con1000'
charon 06[CFG] added configuration 'con1000'
charon 12[CFG] received stroke: route 'con1000'
ipsec_starter 10530 'con1000' routed

Par contre il 'y a aucun Status -> System Logs -> IPSEC pf 2

–----------------------------------------------------------------------------------------------------------------------------------

Donc si WAN derrière un routeur : cochez (de chaque côté) le NAT Traversal. De plus il faudra savoir transférer les ports nécessaires sur le routeur ou utiliser la fonction 'DMZ' de ces box !

Donc je dois changer VPN -> IPsec -> Tunnels -> Edit Phase 1 -> NAT Transversal : Auto par force ?

L'opération de transfère de ports 500 et 4500 UDP sur le routeur dois se faire via le pf2 Firewall -> NAT -> Port Forward ?

res.jpg_thumb </con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6></con1000|6>

ccnet

Le NAT traversal doit être activé en effet.
Le plus simple est de placer votre livebox en mode dmz (je crois que c'est comme cela qu’ils ont nommé l'option), de telle façon qu'elle forward tous les flux vers Pfsense.
Une précision sur vos choix cryptographiques : SHA1, 3DES ne sont plus considérés comme sûrs et devraient ne plus être utilisés (tout comme MD5, DES, RC4). Prenez un groupe Diffie Hellman plutôt de 2048 bits. Et si votre version de Pfsense le propose utilisez plutôt ECDH.

yoyozoide

Ok donc je force le NAT Tranversal.

Pour le mode DMZ avec mon offre je n'ai pas accès à l'interface de gestion de ma livebox donc j'ai du appeler orange pour qu'ils le fassent.
Après cette opération je mettrais mon interface WAN en DHCP et elle aura l'ip publique?

Merci pour ces conseils de cryptages.

chris4916

@yoyozoide:

Pour le mode DMZ avec mon offre je n'ai pas accès à l'interface de gestion de ma livebox donc j'ai du appeler orange pour qu'ils le fassent.
Après cette opération je mettrais mon interface WAN en DHCP et elle aura l'ip publique?

Non pas du tout mais tout ce qui arrivera vers ton IP publique sera redirigé vers cette IP privée "en DMZ".
Au passage je trouve cette expression particulièrement mal choisie mais c'est celle effectivement utilisée dans la plupart des interfaces.

yoyozoide

Ok donc je viens d'avoir le technicien orange qui a mis la box en mode DMZ et ouvert les ports.

Je vais donc pouvoir re tester ma liaison VPN.

Je met en PJ mes règles pf2 pour le lan, je voulais savoir si cela vous semble correct?

![regles lan.jpg](/public/imported_attachments/1/regles lan.jpg)
![regles lan.jpg_thumb](/public/imported_attachments/1/regles lan.jpg_thumb)

yoyozoide

Voici en PJ les changements que j'ai fait au niveau de la configuration VPN.

Je n'arrive toujours pas à avoir de liaison VPN je ne comprend pas, toujours pas de logs au niveau de mon pf2.

Et toujours des logs au niveau de mon pf1 qui peuvent peut être m'aider mais j'ai bien du mal à les interpréter. Je les mets en PJ aussi.

vpncfg.jpg_thumb

loglast.jpg_thumb

ccnet

Évitez le mode Agressif pour revenir au mode "Main".
Il semble que vous ayez aussi un pb avec le NAT de Live box, et, ou de la config de ce côté ci : 10.0.0.2 does not match 62.160 …. dans vos logs.
A tout hasard vérifiez votre PSK.

yoyozoide

Bonjour! Je reviens a la guerre avec mon vpn!

Du coup j'ai changé pour le mode main
En m'aidant de https://doc.pfsense.org/index.php/IPsec_Troubleshooting j'ai modifié VPN–>IPsec-->Tunnels-->Edit Phase 1-->peer identifier par ip adress avec 10.0.0.2 ce qui m'a reglé mon problème de NAT .. si j'ai bien compris

Cependant j'ai encor un problème d'auth et je ne comprend pas .. voici les logs

Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[1023] to 88.173..[500] (180 bytes)
Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ SA V V V V V ]
Oct 24 11:17:05 charon 05[IKE] <36> received XAuth vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received DPD vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received FRAGMENTATION vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received NAT-T (RFC 3947) vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Oct 24 11:17:05 charon 05[IKE] <36> 62.160.. is initiating a Main Mode IKE_SA
Oct 24 11:17:05 charon 05[ENC] <36> generating ID_PROT response 0 [ SA V V V V ]
Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[500] to 62.160..[1023] (160 bytes)
Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[1023] to 88.173..[500] (244 bytes)
Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Oct 24 11:17:05 charon 05[IKE] <36> remote host is behind NAT
Oct 24 11:17:05 charon 05[ENC] <36> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[500] to 62.160*.[1023] (244 bytes)
Oct 24 11:17:05 charon 05[NET] <36> received packet: from 62.160..[33195] to 88.173..[4500] (100 bytes)
Oct 24 11:17:05 charon 05[ENC] <36> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Oct 24 11:17:05 charon 05[CFG] <36> looking for pre-shared key peer configs matching 88.173..…62.160..[10.0.0.2]
Oct 24 11:17:05 charon 05[IKE] <36> found 1 matching config, but none allows pre-shared key authentication using Main Mode
Oct 24 11:17:05 charon 05[ENC] <36> generating INFORMATIONAL_V1 request 3906799063 [ HASH N(AUTH_FAILED) ]
Oct 24 11:17:05 charon 05[NET] <36> sending packet: from 88.173..[4500] to 62.160..*[33195] (84 bytes)

ccnet

Quelles sont les version Pfsense de part et d'autre ? Sont ce des installations dans ces versions, ou bien y a t il eu des upgardes ?

yoyozoide

2.3.2-RELEASE-p1 (i386)
built on Tue Sep 27 12:13:32 CDT 2016
FreeBSD 10.3-RELEASE-p9

2.3.2-RELEASE-p1 (amd64)
built on Tue Sep 27 12:13:07 CDT 2016
FreeBSD 10.3-RELEASE-p9

J'ai installé les 2 en 2.3.2

yoyozoide

Yata! Ca fonctionne enfin!

Mon erreur a été de remplir le "peer identifier" dans le mauvais pf..

Cependant je rencontre encor un problème, ma connection bien établie voie en PJ, je n'arrive pas à pinger les machines au bout du VPN..

Voici la règles que j'ai ajouté sur les 2 pf:

Firewall -> Rules -> IPSEC
Proto Source Port Destination Port Gateway
ipv4 ICMP * * * * *

Les règles WAN sur les 2 pf:

Firewall -> Rules -> WAN
Proto Source Port Destination Port Gateway
ipv4 ESP * * * * *

Proto Source Port Destination Port Gateway
ipv4 UDP * * WAN ADDRESS 500 *

Je pense encor que c'est un problème de NAT sur mon pf2…

Me faut il pas configurer dans la phase 2 de mon pf2 le NAT/BINAT translation?

yata.jpg_thumb

ccnet

Je passe par là vite fait. Vérifiez aussi votre routage selon ce que vous voulez faire.

yoyozoide

Bonjour,

Je suis un peu entrain de sécher..

Je n'arrive toujours pas à pinger à l'autre bout du vpn ..

J'ai essayé de crée une route static sur mon pf2 (192.168.1.0/24):
Network Gateway Interface
192.168.10.0/27 WANGW - 10.0.0.1 WAN

La configuration du NAT/BINAT translation ne règle pas non plus le problème..

De plus sur mon pf1 je n'ai aucun logs (system, firewall, ipsec ….) aucun ..

yoyozoide

Bon j'y suis enfin arriver!

Il me manquait:
-la configuration de vpn ipsec phase 2 : nat/binat seulement pour le pf2
-les règles firewall de lan vers remote network
-routes des 2 pf

Je me lance maintenant dans le partage de documents.

yoyozoide

Cela a peu être déjà été abordé dans un autre ticket ou autre forum mais j'ai du mal à trouver des informations concernant l'accès aux partages de fichiers via vpn IPSEC.

Si quelqu'un a un lien ou des infos je suis preneur.

chris4916

ouch :o

c'est quoi cette histoire de "partage de document au travers d'un lien IPSec" ?

J'avoue être surpris par la question. De quoi s'agit-il, concrètement ?
tu as un serveur sur un site, des clients sur un autre, je suppose. Quel est le protocole entre les 2 ? NFS, CIFS ? Dans le monde Windows, il y a également quelques petites "surprises" avec WINS, potentiellement, mais en dehors de ça, sauf si tu fais du NetBeui ;D ;D ;D je ne vois pas quelle est la nature de ton problème.

Peux-tu préciser un peu ta question ?

Petit point de détail qui peut avoir son importance une fois que ça va fonctionner: SMB est un protocole conçu pour fonctionner sur le LAN, pas sur le WAN. Il est très sensible à la latence car très bavard avec de nombreux ACK. :'( 8)
Donc en terme de performance… ne pas s'attendre à des miracles.

yoyozoide

En faite sur mon lan principal j'ai un NAS Synology pour gérer le partage de fichiers et j'aimerais que mes clients VPN puissent consulter les fichiers.

Si je comprend il faut que je me renseigne sur le protocole NFS pour réaliser mon besoin.

Pour l'instant je n'ai rien configuré je suis en phase de recherche. Merci pour ces pistes.