accès vpn L2TP/IPSEC



  • Bonjour,

    Je me permets de poster car je souhaite accéder à mon nas synology en vpn depuis la 4G ou wifi.

    Pour accéder au LAN du nas je traverse ma box @IP WAN de la box pour arriver dans un premier réseau dont PFsense à son IP WAN.

    Je vois les flux autorisés dans les log système de psfense. mais le vpn ne monte pas.
    il ne s'agit pas d'un probleme de login/mdp.

    BOX
    @IP internet
    @IP LAN 192.168.28.254

    PFSENSE
    @IP WAN 192.168.28.247
    @IP LAN 192.168.19.254

    NAS
    @IP .19.251

    log que je vois dans les journaux pare feux:

    Nov 11 02:47:30 	WAN 	NAT vpn (1573344754) 	92.183.97.100:4500		192.168.19.251:4500		UDP 
    Nov 11 02:47:29 	WAN 	NAT vpn (1573344788) 	92.183.97.100:42946		192.168.19.251:500		UDP 
    

    A priori le NAT est OK?

    Cordialement,



  • Voici les regles NAT de pfsense:

    		WAN 	UDP 	* 	* 	WAN address 	1701 (L2TP) 	192.168.19.251 	1701 (L2TP) 	vpn 	
    		WAN 	UDP 	* 	* 	WAN address 	4500 (IPsec NAT-T) 	192.168.19.251 	4500 (IPsec NAT-T) 	vpn 	
    		WAN 	UDP 	* 	* 	WAN address 	500 (ISAKMP) 	192.168.19.251 	500 (ISAKMP) 	vpn


  • (Votre présentation n'est pas facile à lire : usage de la couleur ...)

    D'après https://www.steveneppler.com/blog/2005/12/07/pptp-and-l2tp-ports les ports nécessaire pour L2TP/Ipsec sont bien

    1701/udp + 4500/udp + 500/udp

    Donc les règles NAT semblent correctes
    De facto, on peut se poser la question du NAS : avez-vous essayé depuis un pc dans le lan avec l'adresse ip (LAN) du NAS ?

    Une autre façon, plus large, est de configurer sur le pfSense un accès VPN au lan : cela permettra d'accéder à la fois au NAS mais aussi à toute autre machine du LAN.



  • Bonsoir,
    Merci pour votre retour.

    Je viens de monter le serveur VPN L2TP sur pfsense:

    Adresse IP du serveur VPN 192.168.19.220
    Les règles firewall sont crées:
    0 /0 B IPv4+6 TCP/UDP * * 192.168.19.220 4500 (IPsec NAT-T) * aucun NAT
    0 /0 B IPv4+6 TCP/UDP * * 192.168.19.220 500 (ISAKMP) * aucun NAT
    0 /0 B IPv4+6 TCP/UDP * * 192.168.19.220 1701 (L2TP) * aucun NAT

    Le nat est crée aussi:
    WAN TCP/UDP * * WAN address 4500 (IPsec NAT-T) 192.168.19.220 4500 (IPsec NAT-T)
    WAN TCP/UDP * * WAN address 500 (ISAKMP) 192.168.19.220 500 (ISAKMP)
    WAN TCP/UDP * * WAN address 1701 (L2TP) 192.168.19.220 1701 (L2TP)

    j'ai cette erreur a chaque fois que tente une connexion VPN: que je ne comprends pas :(

    /rc.filter_configure_sync: New alert found: There were error(s) loading the rules: /tmp/rules.debug:139: rule expands to no valid combination - The line in question reads [139]: pass in log quick on $WAN reply-to ( re0 fe80::6aa3:78ff:fe63:ea8f ) inet6 proto { tcp udp } from any to 192.168.19.220 port 4500 tracker 1573599209 keep state label "USER_RULE: NAT "

    Si vous avez une idée je suis preneur.

    Cordialement,



  • Pas d'erreur, un serveur VPN sur pfSense qui fonctionne très vite, c'est OpenVPN, un point c'est tout !

    Je ne comprends pas : cela ne vous choque pas d'avoir et des règles wan et des règles NAT (pour les mêmes protocoles).

    Si j'ai écris de faire un VPN au niveau de pfSense (avec OpenVPN bien sûr), ce n'est pas pour avoir aussi un vpn sur le NAS. C'est ou l'un ou l'autre !



  • bonjour,
    il est évident que les deux serveurs vpn ne tournent pas en même temps. Le serveur VPN tourne uniquement sur PFSENSE.

    Si vous préférez openvpn c'est votre choix.
    Pour ma part je suis partis sur du L2TP car pas de client à installer sur un téléphone sous IOS.

    Cordialement,



  • Je suis intéressé par l'issue : serez vous découragé avant d'aboutir ?





  • Aucun des liens ne parle de L2TP/Ipsec ...

    Je ne dis pas que L2TP/Ipsec ne fonctionne pas.
    (Cela fonctionne entre un PC Windows et un serveur Windows, je l'ai testé, et avec quelques contraintes ...)
    Mais je ne sais pas si ça fonctionne entre un PC Windows et un pfSense : j'en doute fort.
    (Alors que des pfSense serveur OpenVPN, j'en ai fait des paquets.)



  • Il ne parle pas du protocole L2TP mais de l'erreur que je retrouve dans les logs vis à vis du NAT.

    A priori le problème n'est pas lié au VPN mais au NAT



  • Pourquoi ipv6 ?
    Pourquoi tcp/udp ? (alors que c'est udp)



  • Ces erreurs proviennent du blocage par defaut de pfsense sur l'interface WAN.

    Le problème n'est pas résolu, mais cela avance.


Log in to reply