VPN site à site avec même sous réseau
-
Bonjour,
J' ai lu qu'il est possible de réaliser une connexion VPN site à site type N:N et 1:N même lorsque les sous réseaux sont identiques.
Maintenant je cherche à réaliser ceci avec pfsense mais je ne vois pas trop comment faire
D'après les informations que j'ai pu trouver :
N- réseau A : 192.168.0.x
- réseau B : 192.168.0.x
Il faut créer un sous réseau virtuel 192.168.1.x pour A et 192.168.2.x pour B chaque réseau virtuel doit avoir exactement la même taille que le sous réseau physique correspondant.
Ensuite il faut faire un NAT avant VPN
L'objectif étant de pouvoir initialiser la connexion VPN depuis A ou B
Je ne suis pas un spécialiste de pfsense et des firewall.
Donc comment transcrire les informations ci dessus par rapport à pfsense 2
Merci
-
Non, en général, on créé des réseaux distincts de façon à pouvoir (au contraire) router sans ambiguité entre les différents sites.
Par exemple, avec des sites à Lyon, Marseille, Lille et Nantes, on choisira les adressages suivant :
- Lyon : 192.168.69.0/24
- Marseille : 192.168.13.0/24
- Lille : 192.168.59.0/24
- Nantes : 192.168.44.0/24
Un tel adressage est parfaitement clair et aisé à gérer avec un pfsense central (et des pfsense sur les autres sites).
Un adressage unique ne posera que des problèmes puisqu'il faudra réserver des parties d'un même réseau à chaque site !
-
Je sais qu'il est préférable de mettre des sous réseaux différents car cela est plus simple.
Mais là j'ai un cas où je ne peux pas modifier les plans d adressage car je n'ai pas la gestion de ces réseaux.
Je ne peux intervenir que sur les firewall.Sur cette doc netasq on parle explicitement du cas de la même plage mais je cherche la transport pour pfsense.
http://nanabozo2.free.fr/docs/infos/netasq/vpn_plage_ip_recouvrante.pdfEt je pense que je ne dois pas être le seul que cela intéresse
Merci de votre aide
-
La fonctionnalité recherchée est le NAT before VPN qui n'est pas disponible en v2.0 et qui ne le sera pas. Il faudra passer en v2.1 (qui pour l'instant est en BETA et qui ne contient pas encore cette fonctionnalité: http://redmine.pfsense.org/issues/1855).
Au delà de ça, je conseille plus que vivement d'éviter les plages recouvrantes pour du VPN: ça devient très très vite cauchemardesque en production…
Peut-être me trompes-je.
Hope this helps.
-
Je confirme totalement et je déconseille tout autant. Risque d'erreurs graves induits pas cette configuration ésotérique en terme de routage donc d'incidents de sécurité sur tous les critères.
-
Il me semble très difficile de mettre en place une solution à cause de
je n'ai pas la gestion de ces réseaux
.
Ces réseaux doivent absolument devenir "compatibles" c'est à dire différents.
Ce contournement (NAT before VPN) est "une cautère sur une jambe de bois" selon l'expression.
-
Alors il existe une solution, mais c'est sale, très. Moi je l'utilise pour des situations temporaire de migration.
Configurer le mode "transport" IPSEC entre chacun des WAN des pfsense et un pfsense central.
Monter un tunnel GRE sur le transport IPSEC.Bravo, vous avez un réseau de niveau2 étendu geographiquement via internet.
Bravo, vous avez ruiné votre bande passante et votre sécurité car vous ne maitrisez plus rien.
Bravo, vous avez des conflits IP de partout;D