Vpn ipsec intersite derriere livebox et arkoon



  • Bonjour
    voilà je suis en train de monter un vpn inter site comme suis : pfsense(master)–---->arkoon---->wan--->livebox---->pfsense
    pour l'arkoon j'ai tout ouvert au pfsense
    pour la livebox j'ai mis le pfsense en DMZ
    ensuite j'ai suivi le tuto
    je precise que j'ai des ip fixe des 2 cotés
    voilà ds les règles de firewall j'ai mis en pass all (étoile partout) dans l'onglet ipsec sur les 2
    j'ai relié 1 client derriere chaque
    je sort sur internet sans soucis avec les 2
    par contre ils ne se voient pas et je n'arrive pas à monter le tunnel
    rien n'apparait dans statut, ipsec SAD rien !!!!
    j'ai du oublié un truc mais quoi , mystère ca fait 3 fois que je refais tout et, pareil
    si quelqu'un à une idée,
    j'espère avoir été clair
    Merci d'avance



  • Que disent les logs dans System Logs > IPSec VPN ?



  • sur le master :



  • sur le slave



  • Le tunnel essai de se monter entre ton @IP privée 172.16.200.xx et ton 2e site (@IP publique ça OK), du coup ça part en timeout.
    Tu es certain que le trafic est bien routé vers tes pfSense ?



  • J'ai essayé de faire un IPSEC entre un pfSense avec ip publique (pppoe) et un pfSense derrière une Livebox (Pro).
    Résultat : IMPOSSIBLE.

    Il me semble qu'il n'est pas possible de monter un IPSEC derrière une Livebox (même avec configuration "DMZ").
    (La raison est que le type de protocole utilisé par IPSEC, à savoir ESP+AH, n'est pas routé vers la machine dite "DMZ".)
    (De même cela ne fonctionne pas derrière une Sfrbox=Neufbox !)

    Du coup j'ai monté un tunnel OpenVPN.



  • ok
    ben j'arrette de me cassé le c..l
    j'attaque openvpn dés ce matin



  • @jdh:

    J'ai essayé de faire un IPSEC entre un pfSense avec ip publique (pppoe) et un pfSense derrière une Livebox (Pro).
    Résultat : IMPOSSIBLE.

    Il me semble qu'il n'est pas possible de monter un IPSEC derrière une Livebox (même avec configuration "DMZ").
    (La raison est que le type de protocole utilisé par IPSEC, à savoir ESP+AH, n'est pas routé vers la machine dite "DMZ".)
    (De même cela ne fonctionne pas derrière une Sfrbox=Neufbox !)

    Du coup j'ai monté un tunnel OpenVPN.

    Cela fonctionne très bien entre un IPCop en DMZ (@IP privée donc) derrière et une Livebox, et mon pfSense, mais avec deux pfSense, je n'ai jamais testé encore.
    J'ai vu certain natter le port 500/udp vers la machine derrière la Livebox, en plus de la mettre en DMZ, mais je doute du résultat.



  • merci neo mais je suis passer à une solution open vpn
    sauf que
    mes 2 pfsense sont 2 machine strictement identique,
    meme config du pfsense mais
    quand je ping du lan sur le wan 1 repond l'autre pas
    firewall en pass all
    j'ai refait ca dans un reseau fermé pour eliminer les pb de livebox pendant la config



  • je m'autorepond
    alors le pb venait du fait que mes 2 interface lan wan était toutes 2 sur du 10.43.10.xx
    j'ai passer le lan en 10.43.11.xx et impec



  • @ghostdog:

    je m'autorepond
    alors le pb venait du fait que mes 2 interface lan wan était toutes 2 sur du 10.43.10.xx
    j'ai passer le lan en 10.43.11.xx et impec

    Mdr, en effet si tes 2 interfaces étaient en adressage identique, ni l'IPSec, ni OpenVPN ne pouvait fonctionner, ni même le firewall en lui même par ailleurs ;)



  • Il faut de l'IPSEC avec "NAT traversal" (qui est 500/udp). Mais quid des échanges ESP + AH (protocole ip de n° 50 et 51) ?


Log in to reply