VPN IPSEC multipoint - EQUIVALENT MPLS



  • Bonsoir à tous,
    je souhaiterai mettre en place dans ma société un VPN IPSEC entre nos différents 4 sites par contre je ne souhaite pas mettre en place un vpn mpls opérateur. mon objectif est de pouvoir depuis chaque site accéder au différents sites par contre je ne souhaiterai pas surcharger mes "serveurs" pfsense avec de multiples tunnels IPSEC en forme d'étoile.

    ma question est la suivante :

    Est il possible avec pfsense de définir 1 site comme principal (appelé A) et ensuite de définir d'un genre de routage statique dans le pfsense A pour indiquer aux autres réseaux par exemple que le site B discute avec le C. (j'ai cherché coté des routes statiques mais je n'ai pas l'interface IPSEC dans le menu déroulant)

    Schéma :

    1 tunnel IPSEC : A VERS B
    1 tunnel IPSEC : A VERS C
    1 tunnel IPSEC : A VERS D

    l'idée est donc depuis le site B avoir accès à C (finalement un genre de réseau MPLS mais privé avec une IP statique publique sur chaque site)

    merci pour vos idées car la je sèche vraiment :)



  • de multiples tunnels IPSEC en forme d'étoile.

    et

    1 tunnel IPSEC : A VERS B
    1 tunnel IPSEC : A VERS C
    1 tunnel IPSEC : A VERS D

    Je ne vois pas la différence. La seconde topologie est biuen une étoile …



  • @ccnet:

    Je ne vois pas la différence. La seconde topologie est bien une étoile …

    ;D
    Je suis d'accord mais c'est parce ce que ce que Polux-01 entend par "étoile", ce n'est pas "hub & spoke" mais plutôt un réseau "maillé"

    Pour répondre à la question initiale: oui bien sûr c'est possible. Il suffit de construire le réseau "hub & spoke" tel que tu le décrits vers le site A et de définir des routes pour les sites distants pour explicitement les faire passer par "A".



  • On demandera à Castor ce qu'il en pense.
    Pour en revenir à Pfsense c'est possible et c'est en gros essentiellement un problème de routage en espérant que tous les réseau locaux ne sont pas 192.168.0.0/24 ou 192.168.1.0/24. Comme trop souvent.



  • Merci pour vos réponse voila quelques précision :

    les réseaux locaux des sites A / B ET C sont respectivement en 192.168.1.X / 192.168.2.X / 192.168.3.X en /24 donc 255.255.255.0

    en faite je souhaite uniquement monter des tunnels IPSEC entre A ET B et A ET C.

    –--SITE B ---- > SITE A <------SITE C-------

    il n'y a pas de tunnel entre B ET C

    la finalité de ma problématique est de pouvoir avoir accès au serveur C depuis le site B
    car quand je ping le réseau 192.168.3.X (SITE C) depuis le réseau B donc 192.168.2.X cela ne répond pas. par contre le ping de 192.168.1.X (SITE A) depuis le SITE B cela fonctionne.

    pourquoi ce montage ? car nous allons prochainement avoir d'autres agence et cela m'éviterai de monter un tunnel entre chaque site et donc de tout centralier par le SITE A et de ne pas passer par les problèmes de MPLS opérateurs ...

    merci pour vos idées ! :)



  • En fait (et non pas "en faite", ceci dit en passant  ;)), nous t'avions déjà, ccnet et moi, donné la réponse mais d'une manière probablement pas assez claire puisque tu reposes la question.

    Ton explication était déjà assez claire la première fois.

    Lorsque nous te disons que c'est un problème de routage, cela ne signifie pas qu'il faut établir de nouveaux tunnels mais qu'il faut juste définir des routes qui n'existent pas aujourd'hui.

    Soit tu pousses, dans les options des tunnels, le fait que la route vers le réseau C passe par le réseau A pour que B sache qu'il faut passer d'abord par le tunnel B=>A (et il faut aussi la route inverse), soit tu ne le fais pas au niveau de la définition des tunnels mais sous forme de route statique.



  • J'avais bien aussi intégré que c’était possible … mais je vois pas comment et ou dans quels options de IPSEC ?

    car j'ai bien essayé de faire une route statique mais je n'ai que mon interface WAN de visible et non l'interface IPSEC pour affecter une route ... dois je créer une nouvelle gateway ? si oui avec quels IP ?

    sinon plus simplement ou est l'option dans IPSEC sinon ?

    je nage vraiment là



  • Avec IPSec, tu peux:

    • définir un scope de subnet qui englobe les différents réseaux cible
    • définir plusieurs phases 2 pour les différents réseaux

    Par exemple si tu configures ta phase 2 avec 0.0.0.0, tout va passer dans le tunnel IPSec