Pfsense/watchguard M300 - vpn ipsec



  • Bonjour,

    J'ai un tunnel ipsec monté entre un watchguard M300 et un pfsense version 2.3.4

    Mon LAN site A: 10.0.0.0/20
    VLAN site A pour le réseau Wifi: 192.168.8.0/26

    LAN site B: 192.168.3.0/24

    Le tunnel Ipsec fonctionne très bien entre le 10.0.0.0/20 vers le 192.168.3.0/24
    J'ai tenté de rajouter une route supplémentaire dans le tunnel ipsec existant de 192.168.8.0/26 vers 192.168.3.0/24 > ça ne fonctionne pas. Côté site B (pfsense version 2.3.4) j'ai rajouté

    Site A (watchguard M300)

    J'ai l'impression que les routes sont bonnes et quand je fais un test de diagnostic vpn ipsec:

    Tunnel Name: ovh
          tunnel route#1(192.168.8.0/26<->192.168.3.0/24) - Not established
        Unable to find any active Phase 2 Security Associations (SAs) for tunnel route (192.168.8.0/26<->192.168.3.0/24).
        Recommendation: Confirm whether either side is currently sending traffic through the tunnel.
          tunnel route#2(10.0.0.0/20<->192.168.3.0/24) - Established
        Incoming VPN traffic was detected for this tunnel after the diagnostic report started.
        Outgoing VPN traffic was detected for this tunnel after the diagnostic report started.
        The firewall policy "BOVPN-Allow.out-00" is matched for the outgoing traffic.
        The firewall policy "BOVPN-Allow.in-00" is matched for the incoming traffic.

    On constate bien que le réseau 10.0.0.0/20 arrive à joindre le réseau 192.168.3.0/24
    En revanche le réseau 192.168.8.0/26 n'arrive pas à joindre le réseau 192.168.3.0/24

    Site B ("Pfsense" version 2.3.4)

    J'ai l'impression que le routeur "pfsense" ne connaît pas la route 192.168.8.0/26
    Quand je vais dans "Diagnostics > "routes"
    Je ne vois aucune route à destination de 192.168.8.0/26, mais logiquement, vu que le site A connait toute les routes, il devrait la connaître non ?

    Auriez-vous une idée ?

    Cordialement



  • Est-ce que la réponse n'est pas simplement là

    Unable to find any active Phase 2 Security Associations (SAs) for tunnel route (192.168.8.0/26<->192.168.3.0/24)

    ???

    Quelle est la définition de ton tunnel IPSec ?



  • @chris4916:

    Est-ce que la réponse n'est pas simplement là

    Unable to find any active Phase 2 Security Associations (SAs) for tunnel route (192.168.8.0/26<->192.168.3.0/24)

    ???

    Quelle est la définition de ton tunnel IPSec ?

    Bonjour,

    Merci pour votre retour :)

    Je m'excuse mais qu'entendez-vous par "définition du tunnel IPsec  ?  sa configuration ?

    Cordialement



  • oui  ;D

    Qu'as-tu défini en phase 2 ?



  • @chris4916:

    oui  ;D

    Qu'as-tu défini en phase 2 ?

    Rebonjour,

    Phase 2 sur le watchguard m300 en pièce jointe :)






  • Nous ne voyons rien des paramètres cryptographiques choisis de part et d'autre. Mais bref . Manifestement il ne parvient pas à construire une SA. Il manque probablement des informations de configuration. Le message est clair : Unable to find any active Phase 2 Security Associations (SA).



  • Bonjour,

    Merci pour votre retour, je reprend un peu la main sur le routeur, désolé

    Voici les informations phase 1 et phase 2 côté watchguard et pfsense en pièce jointe en esperant que cela soit un tout petit peu plus clair :)

    Cordialement