IPSec entre pfsense et un routeur Zyxel USG1100
-
Bonjour,
Pour le compte d’un de nos clients dont nous maintenons les infrastructures informatiques, nous devons déployer un tunnel IPSec entre ses infrastructures et celle d’un prestataire de solutions logiciels hébergés.
Notre client dispose d’un routeur pfSense virtualisé sur un serveur Proxmox disposant de deux cartes ethernet (une carte pour les LANs / une carte pour les WAN).
Le prestataire dispose d’un routeur Zyxel USG1100.Nous souhaitons mettre en oeuvre un tunnel IPSec entre le pfsense et le routeur Zyxel via la connexion Numéricable.
Au niveau de la box de l’opérateur, tous les flux provenant d’internet sont redirigés vers l’adresse IP du pfSense (192.168.0.254).Configuration IPSec du pfSense
Phase 1
General Information
-
Disabled : uncheck
-
Key Exchange version : V1
-
Internet Protocol : IPv4
-
Interface : em0_vlan10
-
Remote Gateway : Tunnel end-point IP Address
-
Description :
Phase 1 Proposal (Authentification)
-
Authentification Method : Mutual PSK
-
Negotiation mode : Main
-
My identifier : Distinguished name - NIORT
-
Peer identifier : Distinguished name - INFRACLOUD
-
Pre-Shared Key : #############
Phase 1 Proposal (Algorithms)
-
Encryption Algorithm : AES - 256 bits
-
Hash Algorithm : SHA256
-
DH Group : 1 (768bit)
-
Lifetime : 86400
Advanced Options
-
Disable rekey : Uncheck
-
Responder Only : Uncheck
-
NAT Traversal : auto
-
Dead Peer Detection : Check
-
Delay : 10
-
Max failures : 5
Phase 2
General Information-
Disabled : Uncheck
-
Mode : Tunnel IPv4
-
Local Network : Lan subnet
-
NAT/BINAT translation : None
-
Remote Network : Network - 172.16.71.0/24
-
Description :
Phase 2 Proposal (SA/Key Exchange)
-
Protocol : ESP
-
Encryption Algorithms : AES - 128 bits
-
Hash Algorithms : SHA1
-
PFS key group : off
-
Lifetime : 86400
Advanced Options
- Automatically ping host :
Configuration IPSec du Zyxel
Le prestataire nous a fait parvenir les captures d’écran suivantes pour vous exposer notre problème.
Log IPSec du pfsense
Nov 28 14:09:52 charon 15[IKE] <con1000|1>IKE_SA con1000[1] state change: CONNECTING => DESTROYING
Nov 28 14:09:52 charon 15[IKE] <con1000|1>received AUTHENTICATION_FAILED error notify
Nov 28 14:09:52 charon 15[ENC] <con1000|1>parsed INFORMATIONAL_V1 request 925911566 [ N(AUTH_FAILED) ]
Nov 28 14:09:52 charon 15[NET] <con1000|1>received packet: from 31.222.199.115[500] to 109.7.30.198[500] (91 bytes)
Nov 28 14:09:52 charon 15[NET] <con1000|1>sending packet: from 109.7.30.198[500] to 31.222.199.115[500] (164 bytes)</con1000|1></con1000|1></con1000|1></con1000|1></con1000|1>Tests
D’après la page https://doc.pfsense.org/index.php/IPsec_Troubleshooting le poblème viendrait de configuration du mode de négociation (main/aggressiv) pourtant les deux routeurs sont en mode main.
Nous avons essayer plusieurs choses sans changement d’état :
-
Changement du mode de négociation main/main à aggressiv/aggressiv
-
Utilisation de la liaison fibre
-
Changement des protocoles de chiffrements à la base 3DES vers de l’AES
-
Changer le type d’identification lors de la phase 1
-
pour passer de distinguished name à adresse ip
-
pour passer de distinguished name à KeyID
-
-
Salut salut
-
1 - Merci pour le respect de la charte dans l'exposition de votre problématique.
-
2 - juste une question.
Bien que le virtualisation d'une telle solution (pf) ne soit pas des plus adapté pour de la mise en production ainsi qu'une source de débat.
Vous est il possible de faire le test sur une machine physique avec ces paramétrages et par conséquent valider ou invalider une problématique liée avec le virtualiseur. -
3 - nous sommes bien dacord que c'est avec le meme mode de connexion que vous avez de bout en bout.
Cordialement.
-
-
Bonjour,
La box Numericable est en mode Bridge ou en mode routeur ?
=> IPSEC n'aime pas du tout le NAT -> Option : Nat traversalMy 2 Cents