Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN IPSEC multi lan se déconnecte et ne se reconnecte pas automatiquement

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 846 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Guens
      last edited by

      Bonjour à tous
      Contexte: milieu pro, pour remplacer un FW stormshield.
      L'installation à 2 semaines.
      Besoin : connecter 2 sites multi-lans à travers un vpn IPSEC
      Site 1 SITE 2
      IP publique IP publique
      BOX 4G Fibre IP directement sur FW Stormshield
      Pfsense
      Lan Serveur Lan SERV
      Lan PCW10 Lan W10PC
      Lan DMZ Lan Tel

      Je n'ai pas détaillé tous les autres sous réseau mais c'est pour illustrer le principe.
      Tous les SR (sous Réseaux) doivent se voir dans un premier temps. Je mettrai des restriction quand il n'y aura plus de déconnections.

      La machine PFSENSE :
      Version 2.4.4-RELEASE-p3 (amd64)
      12 cartes réseaux
      3 WAN et 7 lan
      règle ipsec
      325f6a9d-d660-4073-82f6-c83f2c04349a-image.png

      Règles du SR Imprimantes qui doit voir tous les SR du site2 et pour l'instant le site 2 ne doit voir que ce SR.
      61dd121a-7daa-4187-b0de-da9107202a2d-image.png
      Pour la configuration VPN IPSEC, j'ai fait une phase1 avec une Pré-share key identique sur les 2 FW.
      Par contre sur le PFSENSE j'ai une phase 2 pour chaque SR qui doivent communiquer ensemble.
      Tout ça pour dire que les connexions s'établissent bien mais qu'après le lifetime des 3600s c'est aléatoire ceux qui se reconnectent bien ou pas.
      Que faudrait il que je vous fournisse comme informations / log pour que vous puissiez m'aider à résoudre ce pb de déconnexion.
      Merci pour votre aide
      Guénolé Michel

      1 Reply Last reply Reply Quote 0
      • G
        Guens
        last edited by

        En complément, ça a l'air d'être au moment du rekey qu'il y a quelque chose qui se passe mal pour un ou plusieurs SR alors que dans le status VPN, tout est donné comme montés mais dans le lot il y a des SR que je ne ping pas alors qu'en déconnectant le SR soit disant monté le fait de le déconnecter reconnecter et ça fonctionne
        2f6451e4-20b1-4a92-b442-a7d3ae75abd2-image.png
        Si quelqu'un pouvait m'aider sur cette bizarerie.
        Bien sûr lors de la config des phases 2 j'ai mis le ping sur la patte du SR distant.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by jdh

          Comprendre IPSEC (généralités) :
          En phase 1 :

          • connexion entre 2 extrémités,
          • authentitification (initiale),
          • échange de clé au bout d'un certain temps

          En phase 2 :

          • établissement d'un SA tunnel par tunnel
          • à l'expiration d'un certain temps, ré-établissement des SA

          Enfin filtrage IP au niveau de chaque firewall

          Les règles de base (de bon sens) :

          • de chaque côté les paramètres doivent être ABSOLUMENT identiques (vérifier plusieurs fois !)
          • limiter les protocoles de chaque phase : un seul protocole suffit
          • vérifier les status et les logs en cas de difficulté : ajuster le niveau de logs (de plus détaillé à moins détaillé)
          • la détection utilise l'ip gateway (de l'autre extrémité) (et pas une ip d'un réseau distant)
          • préférer avoir l'ip publique sur chaque firewall.

          Autre règle de bon sens :

          • un firewall fait du filtrage ip et du vpn : ne l'alourdissez pas avec Squid et autre package ALC !!

          Ici le problème est décrit, les réponses sont nécessairement dans les logs puisque les liens ipsec montent mais ne se 'rekey' pas !

          (Je ne vous aiderais pas beaucoup plus : je n'ai plus aucun pfSense, je n'ai plus que des excellents et fiables StormShield !)

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • G
            Guens
            last edited by

            Merci je vais augmenter les logs afin de voir à quel niveau le rekey ne se fait pas bien .

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.