Problème "ping" PFSENSE

Nicolas83

Bonjour à toutes et tous,

Actuellement en stage je débute avec PFSENSE et je rencontre ainsi quelques difficultés avec ce dernier. Vous trouverez ci-dessous les réglages que j'ai faits ainsi que le schéma de la configuration (désolé je ne suis pas un artiste…).

Mon problème est le suivant : tout semble fonctionner sur les deux ordinateurs client (connexion à internet) mais lorsque je souhaite pinger le PC CLIENT 1 à partir du PC CLIENT 2, ça ne veut pas alors que j'arrive à pinger à partir du PC CLIENT 2 l'interface LAN du PC CLIENT 1 ???
De plus, lorsque je pinge le PC CLIENT 2 à partir du PC CLIENT 1, là tout fonctionne :/

Si vous avez une explication, je suis preneur ;)
Merci d'avance pour votre aide.

PF SENSE 1

Interfaces :
WAN
Type : Static
Static IP configuration
IP address : 192.168.205.252/24
Gateway : 192.168.205.253
LAN
IP address : 172.16.200.2

VPN IPSEC :
Interface WAN
Local Subnet : LAN subnet
Remote subnet : 10.0.0.0/16
Remote gateway : 217.108.X.X

Phase 1 proposal (Authentication)
Negotiation mode : aggressive
My identifier : My IP address IP address
Encryption algorithm : 3DES
Hash algorithm : SHA1
DH key group : 2
Lifetime : 28800
Authentication method : Pre-shared key

Phase 2 proposal (SA/Key Exchange)
Protocol : ESP
Encryption algorithms : 3DES
.Hash algorithms :SHA1
PFS key group: 2

PF SENSE 2

Interfaces :
WAN
Type : Static
Static IP configuration
IP address : 217.108.X.X/29
Gateway : 217.108.X.X
LAN
IP address : 10.0.1.250

VPN IPSEC :
Interface WAN
Local Subnet : LAN subnet
Remote subnet : 172.16.200.0/24
Remote gateway : 193.252.X.X

Phase 1 proposal (Authentication)
Negotiation mode : aggressive
My identifier : My IP address IP address
Encryption algorithm : 3DES
Hash algorithm : SHA1
DH key group : 2
Lifetime : 28800
Authentication method : Pre-shared key

Phase 2 proposal (SA/Key Exchange)
Protocol : ESP
Encryption algorithms : 3DES
.Hash algorithms :SHA1
PFS key group: 2

Firewall Rules :
Tout a été autorisé « pass » sur les trois interfaces LAN, WAN et IPSEC

PFSENSE.JPG_thumb

jdh

IPSEC ne tolère pas les LiveBox, NeufBox, … en mode routeur et en l'état actuel de pfSense.

Il est par contre possible de créer un lien OpenVPN équivalent (très approximativement).
Il y a sur ce forum une doc (en anglais ?) avec un .pdf de 20 pages dont les 3 dernières décrivent le cas.

Avant de faire un ping, il faut regarder si le lien IPSEC est monté : avec une LiveBox, je n'ai réussi à le monter !

(NB : équivalent ?

il n'y a pas d'onglet OpenVPN dans Firewall > Rules donc filtrage limité,
expérimentalement, cela me semble moins stable : je ne mettrais pas cela en prod avec 10 users d'un côté)
(NB : Ne JAMAIS oublier qu'avec ADSL, c'est le débit montant qui compte !)

Juve

Pour info moi j'ai reussi a monter des tunel IPSEC a travers des livebox Pro (sagem) uniquement.