IPSEC VPN SITE TO SITE
-
BONJOUR premiérement je tiens à remercier l'équipe PFSENSE pour ce fabuleux travail qui prouve leur sens de dynamisme et comme je suis débutant sur le produit et j'aimerai bien quelqu'un qui m'aide à résoudre mon problème.Alors la situation c'est que je veux créer un tunnel IPSEC VPN SITE TO SITE, ma configuration est celle-ci:
192.168.1.1–Pfese1---11.0.0.0.1/30--------------------11.0.0.2/30--pfsense2--192.168.2.1
Au niveau Firewall:
--> tout est ouvert (seulement pour le test )Au niveau IPSEC: (pfsense1)
--> phase 1:
Mode TunnelNAT-T pas cochez
DPD interval vide
Local subnet my network
Remote subnet 192.168.2.0
Remote gateway 11.0.0.2Negotiation main
My identifier cisco@local.fr
Encryption algorithm 3DES
Hash algorithm SHA1
DH key group .2
Lifetime 28800 seconds
Authentication method . preshared-key
Key cisco
Phase 2 proposal (SA/Key Exchange)
Protocol ESP
Encryption algorithms 3DES
Hash algorithms SHA1la meme chose sur le pfsense2 sauf le changement au niveau de remote G.W + network.
aprés un ping voici les logs de pfsense:
racoon: INFO: delete phase 2 handler.
May 28 12:23:56 racoon: [vpnpfsense site to site]: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 11.0.0.1[500]->11.0.0.2[500]
May 28 12:23:47 racoon: ERROR: phase1 negotiation failed due to time up. 40ff32beba7b629b:0000000000000000
May 28 12:23:26 racoon: [vpnpfsense site to site]: INFO: phase2 sa deleted 11.0.0.2-11.0.0.1
May 28 12:23:25 racoon: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
May 28 12:23:25 racoon: [vpnpfsense site to site]: INFO: phase2 sa expired 11.0.0.2-11.0.0.1
May 28 12:22:57 racoon: INFO: begin Identity Protection mode.
May 28 12:22:57 racoon: [vpnpfsense site to site]: INFO: initiate new phase 1 negotiation: 11.0.0.2[500]<=>11.0.0.1[500]
May 28 12:22:57 racoon: [vpnpfsense site to site]: INFO: IPsec-SA request for 11.0.0.1 queued due to no phase1 found.merci d'avance
-
Ils ne communiquent visiblement pas ensemble, la phase 1 est en timeout.
Que donne un tcpdump sur pfsense2 ? voyez vous arriver les paquets UDP port 500 à destination de pfsen2?
Il n'est pas nécessaire de spécifier un identifiant textuel, l'identifiant par défaut (MyIPAddress) suffit dans un premier temps. -
Merci pour votre réponse mais Hamdollilah j'ai rénitialisé la configuration et sa marcher et SVP j'aimerai bien savoir les points forts et faible entre l'IPSEC et openvpn.