VPN site à site



  • Bonjour,
    Est-il possible de relier pfsense et checkpoint par vpn site à site avec ipsec?

    J'ai fait la configuration coté pfsense mais le tunnel ne s'etablit pas avec les messages d'erreurs suivants:

    racoon: [Unknown Gateway/Dynamic]: INFO: 41.216.147.129[4500] used for NAT-T
    Apr 8 11:27:32 racoon: [Self]: INFO: 41.216.147.129[4500] used as isakmp port (fd=17)
    Apr 8 11:27:32 racoon: INFO: 41.216.147.129[500] used for NAT-T
    Apr 8 11:27:32 racoon: [Self]: INFO: 41.216.147.129[500] used as isakmp port (fd=18)
    Apr 8 11:27:32 racoon: INFO: unsupported PF_KEY message REGISTER
    Apr 8 11:27:32 racoon: ERROR: such policy already exists. anyway replace it: 10.10.1.250/32[0] 10.10.1.0/24[0] proto=any dir=out
    Apr 8 11:27:32 racoon: ERROR: such policy already exists. anyway replace it: 10.10.1.0/24[0] 10.10.1.250/32[0] proto=any dir=in



  • Rapidement, mais je crois que ce sujet peut vous aider : http://forum.pfsense.org/index.php?topic=10141.0
    Comme vous ne décrivez pas les configurations aux deux extrémités il est difficile de vous en dire plus.



  • Descriptions des deux extremités (pfsense et checkpoint)

    côté pfsense
    Interface: wan
    remote gateway: adresse_IP wan du firewall checkpoint

    Phase 1 proposal (Authentication)
    Authentication method: Mutual PSK
    .
    Negotiation mode: Main

    My identifier: My Ip address
    Peer identifier
    Pre-Shared Key: xxxxxxxxxx

    Proposal Checking: default
    Encryption algorithm: 3DES
    Hash algorithm: sha1

    DH key group: 2

    Lifetime:  86400

    Phase 2:
    Mode: tunnel
    Local Network: Lan subnet
    Type:  network

    Remote Network:  xx.xx.xx.xx.0/22
    Protocol: ESP

    Encryption algorithms: 3DES

    Hash algorithms: SHA1
    MD5
    PFS key group: 2

    Lifetime: 3600

    Ce sont ces informations que j'ai de mon côté. Bien sûr les différents paramètres sont identiques des deux cotés.
    J'ai mis des règles coté wan en esp, udp( 4500 et 500) et une regle sur l'interface ipsec

    Merci de l'aide


Log in to reply