Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Help: Ipsec entre 2 sites! pas de trafic

    Scheduled Pinned Locked Moved Français
    11 Posts 5 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dTrimon2
      last edited by

      Bonjour à tous.
      Assez nouveau dans le domaine j'essaye de comprendre le VPN et pour se faire j'essaye au sein de mon réseau d'en monter 1. (voir attachement)

      Mes 2 serveurs pfsense sont nouveaux, j'en ai un sur une machine physique et un sur une machine virtuelle.
      Mon objetif est de comprendre ou ca bloque afin d'en monter un vrai multisite.
      Je suppute des problèmes de routage, mais j'e n'arrive pas a comprendre ou.
      J'utilise pfSense 2.3.4
      ET j'ai configuré L''IPSEC directement après l'installtion, sans modifier les options
      La machine virtuelle tourne sur un PC windows avec HyperV

      J'ai suivi plein de tutos, et j'arrive a monter le tunnel en IKeV2, Phase 1 et 2 ok!
      Mais je n'ai pas de trafic!

      Totu d'abord sur mon LAN de test (le 3)
      J'ai configuré le pfSense en DHCP, permis le trafic dans le firewall (j'ai mis des allow partout
      Bilan de ma machine sur le reseau 3: Elle a son IP, elle vois internet! Elle ping le port Wan de mon pfsense et tous le reseau 1, donc le port Wan de l'autre pfsense
      Elle ping le port 258, port LAN de mon deuxieme pfsense
      Mais pas le reste du reseau 2

      Dans l'autre sens c'est pire J'ai supputé eds problemes de conflit entre mon serveur DHCP qui donnais une mauvaise gateway,
      J'ai donc configuré une machine virutelle (sur un autre host) avec une configuration statique, un gateway = 192168.2.58 (mon pfsense) mais en gardant mon dns
      Elle ping 192168.1.1 (livebox) 192.168.1.20 une autre machine du reseau 1 192.168.1.12, mon port WAN pfsense Mais pas 192.168.1.29 mon port WAN de l'autre pfsense
      Mais elle ping 192168.3.1, le port LAN de mon autre pfsense.

      Je ne vois rien de bloqué dans status > system logs> firewall! Je seche completement!
      Auriez vous une piste pour que je dépatouille cela
      Merci de votre aide

      vpn.png
      vpn.png_thumb

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Désolé mais je ne comprend pas grend chose à votre schéma. Bel effort mais difficile à lire. Je ne sais pas qui est connecté à qui avec tous ces trais qui dépassent.

        1 Reply Last reply Reply Quote 0
        • D
          dTrimon2
          last edited by

          Désolé, j'ai fait un peu de ménage, j'espère que c'est plus clair!

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            On s'y retrouve maintenant. Ma première suggestion serait de vérifier le routage. Que donne une série de ping de proche en proche ?
            Éventuellement en observant sur Pfsense (les deux) le trafic capturé.

            1 Reply Last reply Reply Quote 0
            • D
              dTrimon2
              last edited by

              Salut!
              Je n'ai pas les machiens sous la main aujourd'hui mais

              1. comment faire pour observer le trafic (tcpdump?) peut on restrainedre au trafic VPN?
              2. J'ai déjà réussi a pinger tout sauf l'autre réseau (a part le port du pfsense opposé).
                Donc ce serait un routage à la sortie de PFsense.
                J'ai pourtant une regle autorisant tout sur le LAN….
              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                Mais as tu bien une règle pour l'interface ipsec ?

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • D
                  dTrimon2
                  last edited by

                  Merci,
                  1 es 2 n'avais pas de regles IPsec.
                  J'ai mis tout port/ Any dans la regle et ca marche!

                  REste qu'au bout d'un certain temps je n'ai plus rien.
                  IPsec status indique OK, mais  les pings ne passent plus. Meme les 2 tcpdump sont silencieux.
                  Faut il mettre DPD a enable?

                  1 Reply Last reply Reply Quote 0
                  • M
                    mattv
                    last edited by

                    Bonjour,

                    Que disent les logs de chaque routeur ?

                    Vous pouvez contrôler si il y a du traffic via ipsec dans Status > ipsec et déployer votre tunnel pour voir la phase 2

                    Le DPD (dead peer detection) permet d'indiquer si le routeur d'en face est bien en vie.  en production cela est nécessaire.

                    Pouvez-vous donner vos règles pour la table LAN et IPSEC de chaque routeur ?
                    Pouvez-vous également donner votre configuration (fichier ipsec.conf)

                    Cordialement,

                    Mathieu

                    1 Reply Last reply Reply Quote 0
                    • D
                      dTrimon2
                      last edited by

                      Pour le cas ou des gens arrivent sur ce topic, le probleme venait de la Box orange qui faisait dropper les connections.
                      On a la fibre maintenant, et tout focntionne!
                      Merci

                      1 Reply Last reply Reply Quote 0
                      • B
                        baalserv
                        last edited by baalserv

                        Bonsoir,

                        @kalimo : Vous êtes venue faire de la pub pour "grosoft server" ? (je plaisante :) )

                        En vrac :

                        Pptp est totalement dépasser/in-sécure/has been
                        L2tp est un poil mieux mais tout autant has been
                        Il est très nettement préférable d'utiliser Ovpn pour les liaisons client to lan
                        Ipsec est quant à lui très vivement conseiller dans les liaisons lan to lan.

                        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                        1 Reply Last reply Reply Quote 0
                        • C
                          ccnet
                          last edited by

                          sous Windows 2003 est l'interopérabilité avec des routeurs ou des passerelles non Microsoft qui ne prennent pas en charge le protocole L2TP (Layer 2 Tunneling Protocol) IPSec ou la technologie de tunneling PPTP (Point-to-Point Tunneling Protocol) des réseaux privés virtuels (VPN).

                          Toutes les technologies et solutions évoquées dans cette phrase sont obsoletes et dépassées. A commencer pas win2003. Ce n'est pas se plaçant d'un point de vue Microsoft que l'on va pouvoir traiter des questions d'interoperabilité, mais plutôt en s'en tenant à l'écart.
                          Faire reposer dès solutions de sécurisation vpn sur des produits Microsoft est assez "baroque".

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.