PfSense et VPN site a site depuis FREE … probleme
-
Bonsoir, j’essaie de réaliser ceci et je rencontre quelques problèmes. Je vais essayer de maintenir à jour ce premier post avec vos solutions, cela pourra peut être aider quelqu'un autre après moi.
BUT :
Réaliser une connexion VPN entre chez moi et mon meilleur ami. J'ai 2 machines dédiés pour installer mes pfSense, et sur chaque lieu géographique une connexion fibre 100 Mbit/s chez Free avec Free-Box V6.Topologie :
Lan I <===> pfSense I <===> Free-box V6 I <===> réseau Free <===> Free-box V6 II <===> pfSense II <===> Lan II
Le boitier Free-Player pouvant être un probleme, j'ai fait ceci :
Free-Player I <===> CPL1 <===> CPL2 <===> Free-box V6 I <===> réseau FreeSolution en OpenVPN :
J'ai suivi ce tuto pour mes tests : https://www.supinfo.com/articles/single/3103-creation-vpn-site-to-site-deux-pfsense-openvpn
( 1 ) Dans un premier temps j'ai réalisé une maquette chez moi avec les 2 Pc que je comptais utiliser pour installer mes pfSense (chaque machine m'a servi a réaliser virtuellement 1 pfSense et 1 client). Tout semblant bien fonctionner, donc je me suis lancé.
( 2 ) J'ai donc installé et configuré mes machines comme indiqué sur le tuto, mais avec mes Free-Box en mode routeur. Sauf que je me suis rendu compte qu'il y avait un problème de ports (sur le site I j'avais les port 1 à 16 000 et sur le site 2 j'avais accés seulement au port 16 000 a 32 000. En cherchant un peu j'ai trouvé une option chez Free pour ne avoir ce type de problème. J'ai donc passé les 2 Free-Box en full stack https://www.freenews.fr/freenews-edition-nationale-299/fibre-optique-125/loption-ip-fixe-finalement-disponible-freebox-fibre-zmd.
( 3 ) Suite de la réalisation de tests grandeur nature, cela ne fonctionne toujours pas. Les pfSense ont bien la partie openvpn au vert, mais cela ne fonctionne toujours pas pour les ping et tracert. En cherchant je trouve qu'il est pas possible de router les flux en avec la Free-Box en mode routeur. Il faut donc passer les Free-Box en mode Bridge : http://www.free.fr/assistance/5082.html.
( 4 ) Avec les modifications effectuées, je me retrouve avec un problème pour faire fonctionner la Free-Player. J'ai fait le choix de remettre en CPL la connexion entre les 2 boitiers de Free. Si comme moi vous avez des problèmes de stabilité du CPL, débranché petit a petit tout ce qui est branché sur vos prises électrique. Moi j'ai été obligé de débrancher une guirlande de Noël du sapin et une de mes ampoules à économie d'énergie pour que le CPL soit stable.Voila ou j'en suis actuellement :
( 5 ) Reprise de la réalisation de tests avec tous les ports disponibles, les Free-Box en mode bridge.Donc en théorie le lien VPN est monté. Je vais maintenant tester avec un ping sur les adresse ip suivante :
192.168.9.1 (passerelle 1) ==> ok
192.168.200.1 (passerelle vpn 1) ==> ok
192.168.200.2 (passerelle vpn 2) ==> ok
192.168.6.1 (passerelle 1) ==> ok
192.168.6.112 (pc distant) ==> delai d'attente de la demande depassé
www.free.fr ==> ok
Avec un ping tout répond bien sauf le Pc distant. Je vais donc faire un tracert pour en savoir un peu plus.tracert 192.168.9.1
1 1 ms 1 ms 1 ms Windows7.localdomain [192.168.9.1]
Itinéraire déterminé.tracert 192.168.200.1
1 1 ms 1 ms <1 ms Windows7.localdomain [192.168.9.1]
2 5 ms 5 ms 5 ms 192.168.200.1
Itinéraire déterminé.Pour le moment cela me parait correct, mais aprés ca se corse :
tracert 192.168.200.2
1 1 ms 1 ms 1 ms 192.168.200.2
Itinéraire déterminé.La je ne comprends pas pourquoi il y a une réponse de cette adresse mais aucun chemin.
tracert 192.168.6.1
1 1 ms 1 ms 1 ms Windows7.localdomain [192.168.9.1]
2 6 ms 6 ms 5 ms 192.168.6.1
Itinéraire déterminé.La par contre ce que je comprends c'est que c'est chez Free que cette adresse IP me répond.
tracert 192.168.6.112
1 1 ms 1 ms 1 ms Windows7.localdomain [192.168.9.1]
2 6 ms 5 ms 5 ms 192.168.200.1
3 * * * Délai d'attente de la demande dépassé.
4 * * * Délai d'attente de la demande dépassé.La pour le coup je comprends que mon liens VPN n'est pas totalement actif.
tracert www.free.fr
1 1 ms 2 ms 1 ms Windows7.localdomain [192.168.9.1]
2 8 ms 7 ms 7 ms 194.149.164.70
3 5 ms 15 ms 18 ms p11-9k-1-be1002.intf.routers.proxad.net [194.149.162.62]
4 4 ms 6 ms 4 ms bzn-9k-2-sys-be2001.intf.routers.proxad.net [194.149.161.246]
5 4 ms 4 ms 4 ms www.free.fr [212.27.48.10]
Itinéraire déterminé.La connexion internet reste viable, c'est deja ca.
Solution en IP'sec :
Si j'arrive a réaliser ceci de manière fonctionnel, je tenterai ceci comme le propose CCNET. -
Pour commencer le choix d'openvpn pour un lien site à site est possible, mais discutable. IPSec est préférable d'autant que les freebox sont en pont.
Comment avez vous traité le filtrage sur les interfaces openvpn ?cela ne fonctionne toujours pas pour les ping et tracert
On pourrait penser que cela fonctionne pour d'autres protocoles. Qu'en est il ?
-
Merci pour ton retour, je mets un peu de temps pour te répondre … je voulais finir le post initiale avant ;)
Je vais chercher pour IPsec face a OpenVPN.
Pour ce qui est du filtrage sur les interface openvpn, le plus simple possible pour le moment : aucune règle a part celle autorisant tout a passer.
Comment tester avec un autre protocole ? un petit indice stp.
-
Avez vous autorisé udp/1194 sur la wan distant ?