Pf 2.0.1 - ajout de route vers tunnel IPsec impossible ?



  • Hello,

    J'ai 2 sites en pfSense 2.0.1 reliés par un tunnel Lan2Lan IPsec (pfSense1 = une agence, pfSense2 = le siège contenant plusieurs sous réseaux :DMZ, Sous réseau OpenVPN, etc.)

    Je veux ajouter une route sur pfSense1 pour joindre un sous-réseau relié à pfSense2 (pour commencer, la DMZ de pfsense2 puis le sous réseau OpenVPN)

    Seulement, quand je vais dans SYSTEM > ROUTING > onglet ROUTES > nouvelle route, je ne peux choisir que l'unique gateway de pfSense1 (WAN).
    Je m'attendais à voir, soit le tunnel IPsec comme gateway, soit la possibilité de mettre l'IP de pfSense2 (vu qu'il est connu dans les tables de routage internes de pfSense1).

    Je suis aussi allé dans la config du tunnel IPsec voir si on pouvait ajouter des routes qui sont poussées quand le VPN est monté (comme dans OpenVPN pour ses clients), rien.

    Et sur le net, pour l'instant je n'ai rien trouvé correspond à mon besoin.

    Comment vous y prenez-vous ?

    C'est pourtant un besoin basique en routage. Je suis un peu perdu là…

    D'avance, merci !



  • J'ai eut moi aussi ce problème, n'ayant plus le résoudre, j'ai mis en place un VPN sous OpenVPN, ça fonctionne très bien :)



  • eh beh, ça fait du bien de manger !

    Bien que je ne sois pas du tout à l'aise, pour l'instant, avec les principes de phase1 et phase2 d'IPsec, j'ai eu une petite idée.. et ça a marché.

    J'ai créé une nouvelle phase2 des 2 côtés avec les subnets correspondants, puis j'ai ajouté la règle (firewall) correspondant à ce trafic des 2 côtés, et ça marche !

    J'espère que ça aidera quelqu'un… dont toi peut-être chocoboss, si tu veux retenter.



  • En fait ma question est toujours valable, enfin ma recherche d'explications. Car ce n'est pas clair pour l'instant sur comment router vers d'autres sous réseaux.

    Par ex, les sous réseaux DMZ et OpenVPN sont "connectés" à pfSense2, mais si demain un 3e site distant (de la société ou non, comme un presta ou machine hébergée) doit être connecté (au siège, pfSense2), comment dire à pfSense1 quelle route prendre ? (réseau en étoile) Même principe, il faut déclarer des Phase2 même si les WAN ne sont pas directement connectés ?
    En gros, ça me trouble ma vision "simple" du routage classique et des réseaux interconnectés.



  • Je relance mon sujet, c'est d'actualité, je dois mettre en prod !

    Suite au message de majorxtrem ici : http://forum.pfsense.org/index.php/topic,44742.msg241220.html#msg241220
    @majorxtrem:

    hum je pense avoir trouvé :)

    http://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F

    en gros

    il faut créer une gateway sur l'interface LAN avec comme ip elle même

    en suite il faut ajouter une route static pour le subnet distant via cette GW

    ++

    J'ai testé, mais ça ne marche pas.

    Sur PFSENSE1 (agence de la société), J'ai ajouté une nouvelle gateway (GW_LAN) sur l'interface du LAN (INT_LAN), avec l'IP du LAN de PFSENSE1, puis une route "réseau VPN de PFSENSE2/24" (au siège) avec comme passerelle GW_LAN de PFSENSE1 (agence de la société).

    Mais sur PFSENSE1, nulle part je n'ai déclaré que le réseau VPN de PFSENSE2 était sur PFSENSE2. Nulle part je n'ai déclaré d'utiliser PFSENSE2 comme routeur distant pour atteindre le réseau OpenVPN. Donc PFSENSE1 ne peux savoir où envoyer les paquets…

    Nulle part je ne peux déclarer PFSENSE2 comme gateway.

    Comment faites-vous ?



  • J'ai trouvé !

    Serait-ce un bug de l'interface de création de gateways ?

    Je ne peux ajouter une nouvelle Gateway via SYSTEM > ROUTING > GATEWAYS > ajout d'une GW, j'ai le message :
    "The gateway address 10.38.8.8 does not lie within the chosen interface's subnet."

    Par contre, si je passe par la création d'une nouvelle route (SYSTEM > ROUTING > ROUTES > Add), et que je créé une nouvelle Gateway par ici, j'ai mon routeur distant (PFSENSE2 / centre de l'étoile) comme gateway !



  • Trouvé, mais ça ne marche pas…

    Je ne communique pas avec le réseau VPN du site central.

    Je ne peux pas non plus éditer la gateway fraichement créée, je me prends le même msg d'erreur qu'au dessus, donc impossible de changer la description, mais surtout, de couper le monitoring de la gateway distante (PFSENSE2).



  • @Jey-B:

    […]
    Bien que je ne sois pas du tout à l'aise, pour l'instant, avec les principes de phase1 et phase2 d'IPsec, j'ai eu une petite idée.. et ça a marché.
    […]

    Pour faire court:

    • Phase 1: échange des clés de chiffrement pour la(les) Phase(s) 2

    • Phase(s) 2: Trafics sécurisés

    Donc, pour chaque réseau qui doit être joignable au travers d'un VPN, il faut une Phase 2.

    Exemple:
    Site 1: Réseaux A, B, C & D
    Site 2: Réseau E

    Il faudra donc… 4 phases 2:

    • Entre A et E

    • Entre B et E

    • Entre C et E

    • Entre D et E

    Concernant le routage, dans tous les autres firewalls que j'ai utilisé avant (Netasq, Checkpoint, Cisco ASA & Juniper), le firewall gère lui-même le routage de ses tunnels IPSec. Par là, je veux dire qu'étant donné qu'il connaît les phases 2 de ses tunnels IPSec, il n'était pas nécessaire d'ajouter de routes statiques. Par contre, il fallait ajouter les règles de filtrages ad-hoc… Pour ce qui est de pfSense, je ne sais pas comment ça fonctionne: je n'en ai qu'un usage domestique...

    Hope this helps.



  • Merci.

    La question initiale de ce sujet concerne du routage basique que je n'arrive pas à faire avec pfSense pour l"instant.

    La solution des tuyaux IPsec Phase2 est un contournement. Ca n'est pas du routage simple, basique.

    J'aimerai trouver comment gérer le routage sur IPsec pour déclarer et joindre des sous réseau lointains. Tous ne sont pas obligatoirement joignables par tunnels IPsec.

    La déclaration de routes est un besoin basique.



  • @Jey-B:

    Merci.

    La question initiale de ce sujet concerne du routage basique que je n'arrive pas à faire avec pfSense pour l"instant.

    La solution des tuyaux IPsec Phase2 est un contournement. Ca n'est pas du routage simple, basique.

    J'aimerai trouver comment gérer le routage sur IPsec pour déclarer et joindre des sous réseau lointains. Tous ne sont pas obligatoirement joignables par tunnels IPsec.

    La déclaration de routes est un besoin basique.

    Si des réseaux "doivent passer" par un tunnels VPN, une phase 2 doit être déclarée pour chacun de ces réseaux.

    Un schéma de ce que vous voulez faire serait utile.



  • Pour moi, un tunnel IPsec entre 2 routeurs n'est qu'un lien support connectant ces 2 points.
    Ensuite on doit pouvoir y faire transiter ce que l'on veut tant que les routes sont déclarées.

    Mais ça semble impossible avec pfSense, alors que c'est du routage basique (je me répète ? :D) tel que je l'ai connu il y a bien longtemps (13 ans) sur des BayNetworks et LS pour réseaux privés chez TransPac/Oleane.



  • @Jey-B:

    Pour moi, un tunnel IPsec entre 2 routeurs n'est qu'un lien support connectant ces 2 points.
    Ensuite on doit pouvoir y faire transiter ce que l'on veut tant que les routes sont déclarées.

    Mais ça semble impossible avec pfSense, alors que c'est du routage basique (je me répète ? :D) tel que je l'ai connu il y a bien longtemps (13 ans) sur des BayNetworks et LS pour réseaux privés chez TransPac/Oleane.

    In pfSense 2.0 you add additional subnets by adding an additional Phase 2 entry.
    

    Source: http://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

    Donc, pfSense a le même comportement que les firewalls que je connais: vous devez avoir une phase 2 par sous réseaux qui passe dans le tunnel IPSec ou alors vous devez faire du "Supernetting".



  • Bon, bah, ok.
    :D

    Merci bcp !


Locked