IPSEC VPN SITE TO SITE



  • BONJOUR premiérement je tiens à remercier l'équipe PFSENSE pour ce fabuleux travail qui prouve leur sens de dynamisme et comme je suis débutant sur le produit et j'aimerai bien quelqu'un qui m'aide à résoudre mon problème.Alors la situation c'est que je veux créer un tunnel IPSEC VPN SITE TO SITE, ma configuration est celle-ci:

    192.168.1.1–Pfese1---11.0.0.0.1/30--------------------11.0.0.2/30--pfsense2--192.168.2.1

    Au niveau Firewall:
    --> tout est ouvert (seulement pour le test )

    Au niveau IPSEC: (pfsense1)
    --> phase 1:
    Mode  Tunnel

    NAT-T pas cochez
    DPD interval  vide
    Local subnet my network
    Remote subnet    192.168.2.0
    Remote gateway 11.0.0.2

    Negotiation    main
    My identifier cisco@local.fr
    Encryption algorithm  3DES
    Hash algorithm SHA1
    DH key group .2
    Lifetime 28800 seconds
    Authentication method .  preshared-key
    Key cisco
    Phase 2 proposal (SA/Key Exchange)
    Protocol ESP
    Encryption algorithms 3DES
    Hash algorithms SHA1

    la meme chose sur le pfsense2 sauf le changement au niveau de remote G.W + network.

    aprés un ping voici les logs de pfsense:

    racoon: INFO: delete phase 2 handler.
    May 28 12:23:56 racoon: [vpnpfsense site to site]: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 11.0.0.1[500]->11.0.0.2[500]
    May 28 12:23:47 racoon: ERROR: phase1 negotiation failed due to time up. 40ff32beba7b629b:0000000000000000
    May 28 12:23:26 racoon: [vpnpfsense site to site]: INFO: phase2 sa deleted 11.0.0.2-11.0.0.1
    May 28 12:23:25 racoon: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
    May 28 12:23:25 racoon: [vpnpfsense site to site]: INFO: phase2 sa expired 11.0.0.2-11.0.0.1
    May 28 12:22:57 racoon: INFO: begin Identity Protection mode.
    May 28 12:22:57 racoon: [vpnpfsense site to site]: INFO: initiate new phase 1 negotiation: 11.0.0.2[500]<=>11.0.0.1[500]
    May 28 12:22:57 racoon: [vpnpfsense site to site]: INFO: IPsec-SA request for 11.0.0.1 queued due to no phase1 found.

    merci d'avance



  • Ils ne communiquent visiblement pas ensemble, la phase 1 est en timeout.

    Que donne un tcpdump sur pfsense2 ? voyez vous arriver les paquets UDP port 500 à destination de pfsen2?
    Il n'est pas nécessaire de spécifier un identifiant textuel, l'identifiant par défaut (MyIPAddress) suffit dans un premier temps.



  • Merci pour votre réponse mais Hamdollilah j'ai rénitialisé la configuration et sa marcher et SVP j'aimerai bien savoir les points forts et faible entre  l'IPSEC et openvpn.


Log in to reply