Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC et le LAN

    Français
    3
    8
    3.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      etherny
      last edited by

      Bonjour à tous !
      J'ai un réseau pro qui se trouve en 192.168.0.0 (24) sur lequel j'ai mon PFSENSE (version 2.0.1) de connecté (192.168.0.5) avec un ip publique (disons 210.210.210.210).
      J'ai réussi à connecté un client SHREW SOFT VPN (version 2.1.7) en IPSEC à mon serveur via l'adresse publique.

      RX local (192.168.0.0/24) –--- <192.168.0.5> PFSENSE <210.210.210.210> ----- internet ---- FreeBox ( Rx : 192.168.5.0/24) ---- <192.168.5.12> client Shrew (ip VPN 5.5.5.1)

      Infos VPN :

      • réseau en 5.5.5.0 /24
      • dans la phase 2 j'ai bien mis lan subnet dans Local Network
      • j'ai temporairement laissé tout passer sur toutes les interfaces du PFSENSE (WAN, LAN et IPSEC)

      Lorsque je fait un ping a partie de la machine cliente (5.5.5.1) en 192.168.0.x cela ne fonctionne pas.
      J'ai essayé d'ajouter un route sur le client : route add 192.168.0.0 mask 255.255.255.0 5.5.5.1

      Un idée ?
      Merci d'avance.

      1 Reply Last reply Reply Quote 0
      • J
        Jey-B
        last edited by

        montre un screenshot des RULES pour IPsec stp (le seul onglet dans lequel mettre une règle dédiée au traffic IPsec)

        1 Reply Last reply Reply Quote 0
        • E
          etherny
          last edited by

          Je ne peux pas mettre de capture d'écran j'ai pas de serveur pour l'héberger.
          Sinon voici mes règles FireWall pour l'onglet IPSEC :
          Une seule règle en passe tout !

          ID Proto Source Port Destination Port Gateway Queue Schedule Description

                    • none
          1 Reply Last reply Reply Quote 0
          • J
            Jey-B
            last edited by

            cette règle est bien activée ? (on ne sait jamais)

            Quelque chose dans les logs IPsec côté pfSense, et dans les logs du client ?

            Le NAT-T est actif ? (je te laisse chercher pourquoi il est nécessaire dans ton cas)

            1 Reply Last reply Reply Quote 0
            • E
              etherny
              last edited by

              J'ai bien activé le NAT-T sur le tunnel dans la phase 1. J'ai même testé en mode FORCE (de chaque côté PFSENSE et CLIENT).
              La règle dans le FW onglet IPSEC est bien active.

              En fait exactement j'ai un délai d'attente dépassé. Je n'ai pas impossible de joindre l'hôte.
              Le protocole ICMP est ajouté dans les règles du FW (de toute façon je laisse tout passer quand je test, je referme après).

              Merci votre aide.

              PS : j'ai un VLAN sur la patte qui se trouve sur le LAN mais le PFSENSE est bien dans le VLAN, a partir du PFSENSE je ping mes machines qui sont sur le LAN.

              Voici mon log venant de IPSEC :

              an 13 16:23:33 racoon: [Self]: INFO: IPsec-SA established: ESP PUBLIC_IP_SERVER[500]->PUBLIC_IP_CLIENT[500] spi=1261494980(0x4b30e2c4)
              Jan 13 16:23:33 racoon: [Self]: INFO: IPsec-SA established: ESP PUBLIC_IP_SERVER[500]->PUBLIC_IP_CLIENT[500] spi=207969570(0xc655d22)
              Jan 13 16:23:33 racoon: INFO: Adjusting peer's encmode UDP-Tunnel(61443)->Tunnel(1)
              Jan 13 16:23:33 racoon: INFO: Adjusting my encmode UDP-Tunnel->Tunnel
              Jan 13 16:23:33 racoon: INFO: no policy found, try to generate the policy : 5.5.5.1/32[0] 0.0.0.0/0[0] proto=any dir=in
              Jan 13 16:23:33 racoon: [Self]: INFO: respond new phase 2 negotiation: PUBLIC_IP_SERVER[500]<=>PUBLIC_IP_CLIENT[500]
              Jan 13 16:23:28 racoon: ERROR: phase1 negotiation failed due to time up. 014f49e8d69a88b9:a2574ba0d60f11f9
              Jan 13 16:23:26 racoon: ERROR: Cannot open "/etc/motd"
              Jan 13 16:23:26 racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY
              Jan 13 16:23:26 racoon: INFO: Using port 0
              Jan 13 16:23:26 racoon: [PUBLIC_IP_CLIENT] INFO: received INITIAL-CONTACT
              Jan 13 16:23:26 racoon: [Self]: INFO: ISAKMP-SA established PUBLIC_IP_SERVER[500]-PUBLIC_IP_CLIENT[500] spi:f1bcec9a7d4c4344:a186853be8f629fb
              Jan 13 16:23:26 racoon: INFO: NAT detected: ME PEER
              Jan 13 16:23:26 racoon: INFO: NAT-D payload #1 doesn't match
              Jan 13 16:23:26 racoon: INFO: NAT-D payload #0 doesn't match
              Jan 13 16:23:26 racoon: [Self]: [PUBLIC_IP_SERVER] INFO: Hashing PUBLIC_IP_SERVER[500] with algo #2 (NAT-T forced)
              Jan 13 16:23:26 racoon: [PUBLIC_IP_CLIENT] INFO: Hashing PUBLIC_IP_CLIENT[500] with algo #2 (NAT-T forced)
              Jan 13 16:23:26 racoon: INFO: Adding remote and local NAT-D payloads.
              Jan 13 16:23:26 racoon: [PUBLIC_IP_CLIENT] INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-00
              Jan 13 16:23:26 racoon: INFO: received Vendor ID: CISCO-UNITY
              Jan 13 16:23:26 racoon: INFO: received Vendor ID: DPD
              Jan 13 16:23:26 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
              Jan 13 16:23:26 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-01
              Jan 13 16:23:26 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
              Jan 13 16:23:26 racoon: INFO: begin Aggressive mode.

              PS 2 : voici une erreur lorsque je redémarre le service racoon :
              Jan 13 16:37:33 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.0.0/24[0] 192.168.0.5/32[0] proto=any dir=in
              Jan 13 16:37:33 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy already exists. anyway replace it: 192.168.0.5/32[0] 192.168.0.0/24[0] proto=any dir=out
              Jan 13 16:37:33 racoon: INFO: unsupported PF_KEY message REGISTER

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                http://forum.pfsense.org/index.php?topic=10141.0

                Comme dit le post : "At least "try" to use the search"

                1 Reply Last reply Reply Quote 0
                • E
                  etherny
                  last edited by

                  Je n'ai rien dans la partie SPD.
                  Le réseau 192.168.0.x c'est mon LAN côté PFSENSE, celui auquel je veux que mes clients VPN puissent avoir accès, le même que celui qui est définit dans la phase 2 du tunnel VPN.
                  Merci pour ton dernier post mais celui-ci ne m'a pas aidé.

                  Mon IP est Fixe côté PFSENSE et mon IP est FIXE côté freebox.
                  IP LAN du pfsense fixe, et IP de la machine côté freebox en fixe aussi.

                  voici les informations dans mon fichier spd.conf (qui s'inscrivent à chaque redémarrage du service IPSEC) :
                  spdadd 192.168.0.5/32 192.168.0.0/24 any -P out none;
                  spdadd 192.168.0.0/24 192.168.0.5/32 any -P in none;

                  1 Reply Last reply Reply Quote 0
                  • E
                    etherny
                    last edited by

                    J'ai trouvé !
                    erreur toute con comme souvent en informatique.
                    Il suffisait de rajouter une route sur la machine dans le LAN vers le réseau VPN (5.5.5.0) avec comme passerelle le PFSENSE.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.