Vpn ipsec intersite derriere livebox et arkoon

Neo_t3

Que disent les logs dans System Logs > IPSec VPN ?

ghostdog 0

sur le master :

ghostdog 0

sur le slave

Neo_t3

Le tunnel essai de se monter entre ton @IP privée 172.16.200.xx et ton 2e site (@IP publique ça OK), du coup ça part en timeout.
Tu es certain que le trafic est bien routé vers tes pfSense ?

jdh

J'ai essayé de faire un IPSEC entre un pfSense avec ip publique (pppoe) et un pfSense derrière une Livebox (Pro).
Résultat : IMPOSSIBLE.

Il me semble qu'il n'est pas possible de monter un IPSEC derrière une Livebox (même avec configuration "DMZ").
(La raison est que le type de protocole utilisé par IPSEC, à savoir ESP+AH, n'est pas routé vers la machine dite "DMZ".)
(De même cela ne fonctionne pas derrière une Sfrbox=Neufbox !)

Du coup j'ai monté un tunnel OpenVPN.

ghostdog 0

ok
ben j'arrette de me cassé le c..l
j'attaque openvpn dés ce matin

Neo_t3

@jdh:

J'ai essayé de faire un IPSEC entre un pfSense avec ip publique (pppoe) et un pfSense derrière une Livebox (Pro).
Résultat : IMPOSSIBLE.

Il me semble qu'il n'est pas possible de monter un IPSEC derrière une Livebox (même avec configuration "DMZ").
(La raison est que le type de protocole utilisé par IPSEC, à savoir ESP+AH, n'est pas routé vers la machine dite "DMZ".)
(De même cela ne fonctionne pas derrière une Sfrbox=Neufbox !)

Du coup j'ai monté un tunnel OpenVPN.

Cela fonctionne très bien entre un IPCop en DMZ (@IP privée donc) derrière et une Livebox, et mon pfSense, mais avec deux pfSense, je n'ai jamais testé encore.
J'ai vu certain natter le port 500/udp vers la machine derrière la Livebox, en plus de la mettre en DMZ, mais je doute du résultat.

ghostdog 0

merci neo mais je suis passer à une solution open vpn
sauf que
mes 2 pfsense sont 2 machine strictement identique,
meme config du pfsense mais
quand je ping du lan sur le wan 1 repond l'autre pas
firewall en pass all
j'ai refait ca dans un reseau fermé pour eliminer les pb de livebox pendant la config

ghostdog 0

je m'autorepond
alors le pb venait du fait que mes 2 interface lan wan était toutes 2 sur du 10.43.10.xx
j'ai passer le lan en 10.43.11.xx et impec

Neo_t3

@ghostdog:

je m'autorepond
alors le pb venait du fait que mes 2 interface lan wan était toutes 2 sur du 10.43.10.xx
j'ai passer le lan en 10.43.11.xx et impec

Mdr, en effet si tes 2 interfaces étaient en adressage identique, ni l'IPSec, ni OpenVPN ne pouvait fonctionner, ni même le firewall en lui même par ailleurs ;)

jdh

Il faut de l'IPSEC avec "NAT traversal" (qui est 500/udp). Mais quid des échanges ESP + AH (protocole ip de n° 50 et 51) ?