IPSEC VPN SITE TO SITE



  • BONJOUR premiérement je tiens à remercier l'équipe PFSENSE pour ce fabuleux travail qui prouve leur sens de dynamisme et comme je suis débutant sur le produit et j'aimerai bien quelqu'un qui m'aide à résoudre mon problème.Alors la situation c'est que je veux créer un tunnel IPSEC VPN SITE TO SITE, ma configuration est celle-ci:

    192.168.1.1–Pfese1---11.0.0.0.1/30--------------------11.0.0.2/30--pfsense2--192.168.2.1

    Au niveau Firewall:
    --> tout est ouvert (seulement pour le test )

    Au niveau IPSEC: (pfsense1)
    --> phase 1:
    Mode  Tunnel

    NAT-T pas cochez
    DPD interval  vide
    Local subnet my network
    Remote subnet    192.168.2.0
    Remote gateway 11.0.0.2

    Negotiation    main
    My identifier cisco@local.fr
    Encryption algorithm  3DES
    Hash algorithm SHA1
    DH key group .2
    Lifetime 28800 seconds
    Authentication method .  preshared-key
    Key cisco
    Phase 2 proposal (SA/Key Exchange)
    Protocol ESP
    Encryption algorithms 3DES
    Hash algorithms SHA1

    la meme chose sur le pfsense2 sauf le changement au niveau de remote G.W + network.

    aprés un ping voici les logs de pfsense:

    racoon: INFO: delete phase 2 handler.
    May 28 12:23:56 racoon: [vpnpfsense site to site]: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 11.0.0.1[500]->11.0.0.2[500]
    May 28 12:23:47 racoon: ERROR: phase1 negotiation failed due to time up. 40ff32beba7b629b:0000000000000000
    May 28 12:23:26 racoon: [vpnpfsense site to site]: INFO: phase2 sa deleted 11.0.0.2-11.0.0.1
    May 28 12:23:25 racoon: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
    May 28 12:23:25 racoon: [vpnpfsense site to site]: INFO: phase2 sa expired 11.0.0.2-11.0.0.1
    May 28 12:22:57 racoon: INFO: begin Identity Protection mode.
    May 28 12:22:57 racoon: [vpnpfsense site to site]: INFO: initiate new phase 1 negotiation: 11.0.0.2[500]<=>11.0.0.1[500]
    May 28 12:22:57 racoon: [vpnpfsense site to site]: INFO: IPsec-SA request for 11.0.0.1 queued due to no phase1 found.

    merci d'avance



  • Ils ne communiquent visiblement pas ensemble, la phase 1 est en timeout.

    Que donne un tcpdump sur pfsense2 ? voyez vous arriver les paquets UDP port 500 à destination de pfsen2?
    Il n'est pas nécessaire de spécifier un identifiant textuel, l'identifiant par défaut (MyIPAddress) suffit dans un premier temps.



  • Merci pour votre réponse mais Hamdollilah j'ai rénitialisé la configuration et sa marcher et SVP j'aimerai bien savoir les points forts et faible entre  l'IPSEC et openvpn.


Locked