Connexion IPSec Site to Site



  • Bonjour

    Je veux connecter deux sites séparés géographiquement. Voici l'architecture :

    https://forum.netgate.com/assets/uploads/files/1545984476784-assa.png

    J'ai lit plusieurs tutoriels mais j'ai pas réussi à faire la connexion entre les deux sites

    j'ai fait cet configuration :
    Pfsense 1 :

    Disabled
    Key Exchange version : Ikev1
    Internet Protocol : IPv4
    Interface : WAN
    Remote Gateway : 117.X.X.X

    Phase 1 : Proposal (Authentication)
    Authentication Method : Mutual PSK
    Negotiation mode : Aggressive
    My identifier : 196.X.X.X
    Peer identifier : Peer IP address
    Pre-Shared Key : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    Phase 1 Proposal (Encryption Algorithm)
    Encryption Algorithm : AES
    Key length : 256 bits
    Hash : SHA256
    DH Group : 14(2048)

    phase 2 :
    Disabled : unchecked
    Mode : Tunnel IPV4
    Local Network : LAN subnet
    NAT/BINAT translation : none
    Remote Network : Network : 192.168.6.0/24

    j'ai fait la même configuration dans l'autre pfsense en changant les adresses mais ça n'a rien abouti

    j'ai ajouter deux règles dans les deux pare-feux au niveau l'interface Ipsec pour allouer le trafic

    quel qu'un peut m"aider ??



  • Sur le papier d'après votre schéma la configuration semble correcte. Je ne comprend pas le lien direct entre les firewalls. Il regarder ce que l'on trouve dans les logs lorsque vous essayez de monter le tunnel.



  • @joseph-watever-j
    Bonsoir
    Comme je l'ai déjà écrit, la seule possibilité de vous aider est de voir les logs complets des deux côtés du tunnel . Ce Que vous avez montré n'est pas suffisant .



  • J'avoue avoir eu un peu de mal à lire et interpréter le schéma.
    Sans log, c'est effectivement difficile. Si l'IP WAN de tes pfSense n'est pas ton IP publique, il faut une couche de NAT supplémentaire. Vérifie ce que tu as au niveau des options de NAT / Outbound.
    En mode automatique, tu dois avoir une règle générée pour ISAKMP.

    Le log devrait te dire si l'identifiant de l'autre extrémité du tunnel est bien l'adresse que tu as saisi. Dans le doute, met un identifiant de type distinguish name, au moins le temps du test ;-)



  • @chris4916 j'ai pas compris



  • @joseph-watever-j said in Connexion IPSec Site to Site:

    @chris4916 j'ai pas compris

    Qu'est-ce que vous ne comprenez pas ?
    La question est de vérifier si l' identifiant du système distant est bien l'ip publique du wan (distant).