IPSec traffic
-
Bonjour, voici mes configurations.
2 sites distant avec pfsense relié en IPSEC.
Sur chaque pfsense, il y a snort et pfblockerng-devel.Le tunnel se monte sans soucis.
Depuis le site B, je peux accéder aux ressources des serveurs web en http ou https sans soucis vers le site A.
Depuis le site A, je n'accède qu'a pfsense en web. Impossible d'utiliser les ressources web. par contre je peux me connecter en ssh sans soucis, ou autre port comme par exemple rsync.
Tout ce qui touche à une interface web impossible.Sur le pfsense du site A dans les states je vois ceci :
IPsec tcp 192.168.1.99:55316 -> 192.168.0.3:80 ESTABLISHED:FIN_WAIT_2 12 / 11 2 KiB / 910 BSur le site B, les serveurs ont bien le pfsense comme passerelle et DNS.
Avez-vous une piste à étudier ?
-
Le fil A LIRE EN PREMIER propose une présentation standardisée facilitant la lecture : merci de le lire.
On comprend votre problème, on voit même que vous avez fait un test (est ce suffisant ?) ... mais vous ne fournissez AUCUNE info de configuration (Firewall > Rules > onglet IPsec) : il est donc impossible de vous aider
De plus vous avez installer des packages : snort est généralement inutile (et pire est illusoire), pfblockng bloque-t-il ledit trafic ?
-
Bonjour.
Schéma :WAN (modem/routeur/box) : 2 WAN. Wan1 : Fibre optique. Wan2 : ADSL en cas de panne Fibre pfsense bascule sur WAN2
LAN : 1 LAN
DMZ : Aucun
Règles NAT :
Règles Firewall IPSEC :
Firewall WAN :
Packages ajoutés : snort / pfblockerng-devel
J'ai désinstaller pfblockerng sur le site A qui pose problème. Rien n'a changé.
Phase 1 ipsec :
Phase 2 :
Voilà mes configs
-
Quelques remarques :
- vous ne connaissez pas les alias, c'est (très) dommage car c'est très utile
- vous parlez de 2 sites, mais pour schéma et règles, vous n'en décrivez qu'1 !
- le problème est ipsec et je ne vois que FIREWALL > Rules > onglet Ipsec d'un seul côté (de plus mal configuré), pas d'info sur le tunnel Ipsec : est-il monté ? que disent les logs ?
- le règles NAT et WAN n'ont pas beaucoup d'utilité pour un problème d'Ipsec, non ?
Il manque d'informations.
Utilisez des alias et mettez une description à chaque règle
Soyez précis dans les règles : si dans une phase 2, il y a 2 réseaux reliés, il doit y avoir une règle avec les réseaux comme source et destination
Parlez vous à vous : ce qui de conçoit bien, s'énonce clairement et les mots pour le dire viennent aisément (Nicolas BOILEAU)
Une règle = un ou 2 tests qui correspondent,
Etape par étape : si une étape ne fonctionne pas, pas la peine de passer à la suivante ...