Help: Ipsec entre 2 sites! pas de trafic



  • Bonjour à tous.
    Assez nouveau dans le domaine j'essaye de comprendre le VPN et pour se faire j'essaye au sein de mon réseau d'en monter 1. (voir attachement)

    Mes 2 serveurs pfsense sont nouveaux, j'en ai un sur une machine physique et un sur une machine virtuelle.
    Mon objetif est de comprendre ou ca bloque afin d'en monter un vrai multisite.
    Je suppute des problèmes de routage, mais j'e n'arrive pas a comprendre ou.
    J'utilise pfSense 2.3.4
    ET j'ai configuré L''IPSEC directement après l'installtion, sans modifier les options
    La machine virtuelle tourne sur un PC windows avec HyperV

    J'ai suivi plein de tutos, et j'arrive a monter le tunnel en IKeV2, Phase 1 et 2 ok!
    Mais je n'ai pas de trafic!

    Totu d'abord sur mon LAN de test (le 3)
    J'ai configuré le pfSense en DHCP, permis le trafic dans le firewall (j'ai mis des allow partout
    Bilan de ma machine sur le reseau 3: Elle a son IP, elle vois internet! Elle ping le port Wan de mon pfsense et tous le reseau 1, donc le port Wan de l'autre pfsense
    Elle ping le port 258, port LAN de mon deuxieme pfsense
    Mais pas le reste du reseau 2

    Dans l'autre sens c'est pire J'ai supputé eds problemes de conflit entre mon serveur DHCP qui donnais une mauvaise gateway,
    J'ai donc configuré une machine virutelle (sur un autre host) avec une configuration statique, un gateway = 192168.2.58 (mon pfsense) mais en gardant mon dns
    Elle ping 192168.1.1 (livebox) 192.168.1.20 une autre machine du reseau 1 192.168.1.12, mon port WAN pfsense Mais pas 192.168.1.29 mon port WAN de l'autre pfsense
    Mais elle ping 192168.3.1, le port LAN de mon autre pfsense.

    Je ne vois rien de bloqué dans status > system logs> firewall! Je seche completement!
    Auriez vous une piste pour que je dépatouille cela
    Merci de votre aide




  • Désolé mais je ne comprend pas grend chose à votre schéma. Bel effort mais difficile à lire. Je ne sais pas qui est connecté à qui avec tous ces trais qui dépassent.



  • Désolé, j'ai fait un peu de ménage, j'espère que c'est plus clair!



  • On s'y retrouve maintenant. Ma première suggestion serait de vérifier le routage. Que donne une série de ping de proche en proche ?
    Éventuellement en observant sur Pfsense (les deux) le trafic capturé.



  • Salut!
    Je n'ai pas les machiens sous la main aujourd'hui mais

    1. comment faire pour observer le trafic (tcpdump?) peut on restrainedre au trafic VPN?
    2. J'ai déjà réussi a pinger tout sauf l'autre réseau (a part le port du pfsense opposé).
      Donc ce serait un routage à la sortie de PFsense.
      J'ai pourtant une regle autorisant tout sur le LAN….


  • Mais as tu bien une règle pour l'interface ipsec ?



  • Merci,
    1 es 2 n'avais pas de regles IPsec.
    J'ai mis tout port/ Any dans la regle et ca marche!

    REste qu'au bout d'un certain temps je n'ai plus rien.
    IPsec status indique OK, mais  les pings ne passent plus. Meme les 2 tcpdump sont silencieux.
    Faut il mettre DPD a enable?



  • Bonjour,

    Que disent les logs de chaque routeur ?

    Vous pouvez contrôler si il y a du traffic via ipsec dans Status > ipsec et déployer votre tunnel pour voir la phase 2

    Le DPD (dead peer detection) permet d'indiquer si le routeur d'en face est bien en vie.  en production cela est nécessaire.

    Pouvez-vous donner vos règles pour la table LAN et IPSEC de chaque routeur ?
    Pouvez-vous également donner votre configuration (fichier ipsec.conf)

    Cordialement,

    Mathieu



  • Pour le cas ou des gens arrivent sur ce topic, le probleme venait de la Box orange qui faisait dropper les connections.
    On a la fibre maintenant, et tout focntionne!
    Merci



  • Vous pouvez utiliser la sécurité IP (IPSec) en mode tunnel afin d'encapsuler les paquets IP (Internet Protocol) et de les crypter (en option). La raison principale en faveur de l'utilisation du mode tunnel IPSec (parfois appelé tunnel IPSec pur) sous Windows 2003 est l'interopérabilité avec des routeurs ou des passerelles non Microsoft qui ne prennent pas en charge le protocole L2TP (Layer 2 Tunneling Protocol) IPSec ou la technologie de tunneling PPTP (Point-to-Point Tunneling Protocol) des réseaux privés virtuels (VPN).



  • Bonsoir,

    @kalimo : Vous êtes venue faire de la pub pour "grosoft server" ? (je plaisante :) )

    En vrac :

    Pptp est totalement dépasser/in-sécure/has been
    L2tp est un poil mieux mais tout autant has been
    Il est très nettement préférable d'utiliser Ovpn pour les liaisons client to lan
    Ipsec est quant à lui très vivement conseiller dans les liaisons lan to lan.



  • sous Windows 2003 est l'interopérabilité avec des routeurs ou des passerelles non Microsoft qui ne prennent pas en charge le protocole L2TP (Layer 2 Tunneling Protocol) IPSec ou la technologie de tunneling PPTP (Point-to-Point Tunneling Protocol) des réseaux privés virtuels (VPN).

    Toutes les technologies et solutions évoquées dans cette phrase sont obsoletes et dépassées. A commencer pas win2003. Ce n'est pas se plaçant d'un point de vue Microsoft que l'on va pouvoir traiter des questions d'interoperabilité, mais plutôt en s'en tenant à l'écart.
    Faire reposer dès solutions de sécurisation vpn sur des produits Microsoft est assez "baroque".


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy