Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    accès vpn L2TP/IPSEC

    Scheduled Pinned Locked Moved Français
    12 Posts 2 Posters 961 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      A Former User
      last edited by

      Bonjour,

      Je me permets de poster car je souhaite accéder à mon nas synology en vpn depuis la 4G ou wifi.

      Pour accéder au LAN du nas je traverse ma box @IP WAN de la box pour arriver dans un premier réseau dont PFsense à son IP WAN.

      Je vois les flux autorisés dans les log système de psfense. mais le vpn ne monte pas.
      il ne s'agit pas d'un probleme de login/mdp.

      BOX
      @IP internet
      @IP LAN 192.168.28.254

      PFSENSE
      @IP WAN 192.168.28.247
      @IP LAN 192.168.19.254

      NAS
      @IP .19.251

      log que je vois dans les journaux pare feux:

      Nov 11 02:47:30 	WAN 	NAT vpn (1573344754) 	92.183.97.100:4500		192.168.19.251:4500		UDP 
      Nov 11 02:47:29 	WAN 	NAT vpn (1573344788) 	92.183.97.100:42946		192.168.19.251:500		UDP 
      

      A priori le NAT est OK?

      Cordialement,

      1 Reply Last reply Reply Quote 0
      • ?
        A Former User
        last edited by

        Voici les regles NAT de pfsense:

        		WAN 	UDP 	* 	* 	WAN address 	1701 (L2TP) 	192.168.19.251 	1701 (L2TP) 	vpn 	
        		WAN 	UDP 	* 	* 	WAN address 	4500 (IPsec NAT-T) 	192.168.19.251 	4500 (IPsec NAT-T) 	vpn 	
        		WAN 	UDP 	* 	* 	WAN address 	500 (ISAKMP) 	192.168.19.251 	500 (ISAKMP) 	vpn
        
        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          (Votre présentation n'est pas facile à lire : usage de la couleur ...)

          D'après https://www.steveneppler.com/blog/2005/12/07/pptp-and-l2tp-ports les ports nécessaire pour L2TP/Ipsec sont bien

          1701/udp + 4500/udp + 500/udp

          Donc les règles NAT semblent correctes
          De facto, on peut se poser la question du NAS : avez-vous essayé depuis un pc dans le lan avec l'adresse ip (LAN) du NAS ?

          Une autre façon, plus large, est de configurer sur le pfSense un accès VPN au lan : cela permettra d'accéder à la fois au NAS mais aussi à toute autre machine du LAN.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • ?
            A Former User
            last edited by

            Bonsoir,
            Merci pour votre retour.

            Je viens de monter le serveur VPN L2TP sur pfsense:

            Adresse IP du serveur VPN 192.168.19.220
            Les règles firewall sont crées:
            0 /0 B IPv4+6 TCP/UDP * * 192.168.19.220 4500 (IPsec NAT-T) * aucun NAT
            0 /0 B IPv4+6 TCP/UDP * * 192.168.19.220 500 (ISAKMP) * aucun NAT
            0 /0 B IPv4+6 TCP/UDP * * 192.168.19.220 1701 (L2TP) * aucun NAT

            Le nat est crée aussi:
            WAN TCP/UDP * * WAN address 4500 (IPsec NAT-T) 192.168.19.220 4500 (IPsec NAT-T)
            WAN TCP/UDP * * WAN address 500 (ISAKMP) 192.168.19.220 500 (ISAKMP)
            WAN TCP/UDP * * WAN address 1701 (L2TP) 192.168.19.220 1701 (L2TP)

            j'ai cette erreur a chaque fois que tente une connexion VPN: que je ne comprends pas :(

            /rc.filter_configure_sync: New alert found: There were error(s) loading the rules: /tmp/rules.debug:139: rule expands to no valid combination - The line in question reads [139]: pass in log quick on $WAN reply-to ( re0 fe80::6aa3:78ff:fe63:ea8f ) inet6 proto { tcp udp } from any to 192.168.19.220 port 4500 tracker 1573599209 keep state label "USER_RULE: NAT "

            Si vous avez une idée je suis preneur.

            Cordialement,

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by jdh

              Pas d'erreur, un serveur VPN sur pfSense qui fonctionne très vite, c'est OpenVPN, un point c'est tout !

              Je ne comprends pas : cela ne vous choque pas d'avoir et des règles wan et des règles NAT (pour les mêmes protocoles).

              Si j'ai écris de faire un VPN au niveau de pfSense (avec OpenVPN bien sûr), ce n'est pas pour avoir aussi un vpn sur le NAS. C'est ou l'un ou l'autre !

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • ?
                A Former User
                last edited by

                bonjour,
                il est évident que les deux serveurs vpn ne tournent pas en même temps. Le serveur VPN tourne uniquement sur PFSENSE.

                Si vous préférez openvpn c'est votre choix.
                Pour ma part je suis partis sur du L2TP car pas de client à installer sur un téléphone sous IOS.

                Cordialement,

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Je suis intéressé par l'issue : serez vous découragé avant d'aboutir ?

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • ?
                    A Former User
                    last edited by

                    je pense trouver, des pistes içi:

                    https://forum.netgate.com/topic/98629/solved-error-notice-for-a-deleted-nat-that-had-a-rule/3

                    https://redmine.pfsense.org/issues/6211

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Aucun des liens ne parle de L2TP/Ipsec ...

                      Je ne dis pas que L2TP/Ipsec ne fonctionne pas.
                      (Cela fonctionne entre un PC Windows et un serveur Windows, je l'ai testé, et avec quelques contraintes ...)
                      Mais je ne sais pas si ça fonctionne entre un PC Windows et un pfSense : j'en doute fort.
                      (Alors que des pfSense serveur OpenVPN, j'en ai fait des paquets.)

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • ?
                        A Former User
                        last edited by A Former User

                        Il ne parle pas du protocole L2TP mais de l'erreur que je retrouve dans les logs vis à vis du NAT.

                        A priori le problème n'est pas lié au VPN mais au NAT

                        1 Reply Last reply Reply Quote 0
                        • J
                          jdh
                          last edited by

                          Pourquoi ipv6 ?
                          Pourquoi tcp/udp ? (alors que c'est udp)

                          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                          1 Reply Last reply Reply Quote 0
                          • ?
                            A Former User
                            last edited by

                            Ces erreurs proviennent du blocage par defaut de pfsense sur l'interface WAN.

                            Le problème n'est pas résolu, mais cela avance.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.