Vpn IPsec vers dmz



  • Bonjour à tous, et d'avance merci à ceux qui voudront bien se pencher sur la question.

    Suite au décès d'un FW Netasq, je me suis penché sur PFsense. La migration c'est bien passé avec création des régles ad hoc et DMZ. Cependant un soucis se pose. Je m'explique

    D'abord les paramètres :

    Ip lan 10.1.0.0 /16
    Ip DMZ 192.168.15.0 /24
    ip @ 213.30.131.xxx

    Les postes de ma dmz doivent se connecter en vpn ipsec sur un serveur citrix dont le site distant à pour paramètre :

    ip lan 10.1.200.0 /24
    ip @ 86.66.17.yyy

    (la nécessité de la DMZ doit être plus claire maintenant  :) )

    Et la c'est le drame, pas de vpn qui monte

    Voici les logs :

    Dec 2 10:10:53 racoon: [vpn Publissimo]: INFO: ISAKMP-SA deleted 213.30.131.xxx[500]-86.66.17.9[500] spi:e8d0ed3300aba764:c53123a5ac1779ce
    Dec 2 10:10:52 racoon: ERROR: phase2 negotiation failed due to phase1 expired. e8d0ed3300aba764:c53123a5ac1779ce:00009941
    Dec 2 10:10:42 racoon: [vpn Publissimo]: INFO: ISAKMP-SA expired 213.30.131.xxx[500]-86.66.17.9[500] spi:e8d0ed3300aba764:c53123a5ac1779ce
    Dec 2 10:10:42 racoon: [vpn Publissimo]: INFO: initiate new phase 2 negotiation: 213.30.131.xxx[500]<=>86.66.17.yyy[500]
    Dec 2 10:10:41 racoon: [vpn Publissimo]: INFO: ISAKMP-SA established 213.30.131.xxx[500]-86.66.17.yyy[500] spi:e8d0ed3300aba764:c53123a5ac1779ce
    Dec 2 10:10:41 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Dec 2 10:10:41 racoon: WARNING: port 500 expected, but 0 Dec 2 10:10:41 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Dec 2 10:10:41 racoon: INFO: received Vendor ID: DPD
    Dec 2 10:10:41 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
    Dec 2 10:10:41 racoon: INFO: received Vendor ID: CISCO-UNITY
    Dec 2 10:10:41 racoon: INFO: begin Aggressive mode.
    Dec 2 10:10:41 racoon: [vpn Publissimo]: INFO: initiate new phase 1 negotiation: 213.30.131.xxx[500]<=>86.66.17.yyy[500]

    Bien sur les paramètre ont été maintes fois vérifiés.

    Je sèche. Merci encore pour votre aide.

    Peut être un pb de NAT (je n'ai rien créé dans cette partie )??? Les règles sont toutes mises en pass all pour la phases de test.



  • Quelles sont les rules?



  • Merci titof pour ta réponse mais, évidement, et comme souvent, il s'agissait d'un pb de cryptage. Le vpn monte.
    Merci



  • couldn't find the proper pskey

    Problème avec la psk ? ou dissymétrie dans les paramètres de chiffrement IKE ?


Log in to reply