Serveur VPN Cisco et Client Pfsense



  • Bonjour à tous, je suis nouveau sur ce forum, et je n'ai pas trouvé de réponse à ma question.

    Alors voilà, j'ai une infrastructure avec un boitier ALIX équipé de Pfsense directement connecté à un routeur lui même connecté à un autre routeur qui fait le VPN.

    Uploaded with ImageShack.us]

    RouterVPN : Serveur VPN Ipsec

    ALIX : Client VPN

    L'idée est d'utiliser Pfsense comme client VPN "transparent" et de forcer le routing en fonction de la source (user / ip) sur le VPN ou sur le réseau classique.

    Il s'agit d'un prototype de laboratoire pour intercepter les données qui transitent sur le réseau pour un utilisateur spécifié au travers du VPN.

    Sur mon router vpn, j'ai activé l'authentification AAA (Xauth) mais je sais pas ou insérer le login/pwd pour le Xauth sur Pfsense.

    Je précise que je ne veux pas faire de RoadWarrior, j'ai remarqué qu'en activant "IPsec mobile" il était possible de spécifier PSK+Xauth..

    J'ai également essayé de créer un client OpenVPN sur Pfsense sans succès. Impossible de spécifier la Pre-Shared key.

    Avec IPSec, la phase 1 fonctionne parfaitement et lors du debug crypto sur le CISCO il m'indique qu'il attend un XAUTH.

    J'indique également que mon tunnel VPN fonctionne parfaitement et a été testé avec un client VPN sur un PC.

    Je met également la config du routeur VPN Cisco :

    
    Current configuration : 2878 bytes
    
    !
    
    version 12.4
    
    service timestamps debug datetime msec
    
    service timestamps log datetime msec
    
    service password-encryption
    
    !
    
    hostname RT-VPN
    
    !
    
    boot-start-marker
    
    boot-end-marker
    
    !
    
    enable secret 5 $1$x3ns$vD8wA/zGOIjn8g4/IWTAV/
    
    !
    
    aaa new-model
    
    !
    
    !
    
    aaa authentication login default local
    
    aaa authentication login usergroupfull local
    
    aaa authorization network usergroupfull local group usergroupfull
    
    !
    
    aaa session-id common
    
    memory-size iomem 15
    
    no network-clock-participate slot 1
    
    no network-clock-participate wic 0
    
    ip cef
    
    !
    
    !
    
    ip auth-proxy max-nodata-conns 3
    
    ip admission max-nodata-conns 3
    
    !
    
    !
    
    ip domain name ceti.etat-ge.ch
    
    !
    
    !
    
    !
    
    !
    
    username cisco password 7 cisco
    
    !
    
    !
    
    !
    
    crypto keyring easyvpn-full
    
      pre-shared-key address 0.0.0.0 0.0.0.0 key 6 MaCleAMoi
    
    crypto logging session
    
    !
    
    crypto isakmp policy 10
    
     encr 3des
    
     hash md5
    
     authentication pre-share
    
     group 2
    
     lifetime 86399
    
    crypto isakmp invalid-spi-recovery
    
    !
    
    crypto isakmp client configuration group full
    
     key 6 MaCleAMoi
    
     dns 8.8.8.8
    
     domain ceti.etat-ge.ch
    
     pool addressfull
    
     save-password
    
     netmask 255.255.255.224
    
    crypto isakmp profile full
    
       keyring easyvpn-full
    
       match identity group full
    
       client authentication list usergroupfull
    
       isakmp authorization list usergroupfull
    
       client configuration address respond
    
    !
    
    !
    
    crypto ipsec transform-set ts1 esp-3des esp-sha-hmac
    
    !
    
    crypto ipsec profile full
    
     set transform-set ts1
    
     set isakmp-profile full
    
    !
    
    !
    
    crypto dynamic-map dmapfull 10
    
     set security-association lifetime seconds 7200
    
     set security-association idle-time 86400
    
     set transform-set ts1
    
     set isakmp-profile full
    
     reverse-route
    
    !
    
    !
    
    crypto map dmvpn-full 1 ipsec-isakmp dynamic dmapfull
    
    !
    
    !
    
    !
    
    interface FastEthernet0/0
    
     description * Vers SW-3550 sur Fa0/3 *
    
     ip address 172.31.254.18 255.255.255.248
    
     duplex auto
    
     speed auto
    
     crypto map dmvpn-full
    
    !
    
    interface BRI0/0
    
     no ip address
    
     encapsulation hdlc
    
     shutdown
    
    !
    
    interface FastEthernet0/1
    
     description * Vers SW-2950-Storage sur Fa0/3 *
    
     ip address 172.31.254.10 255.255.255.248
    
     ip policy route-map repvpn
    
     duplex auto
    
     speed auto
    
    !
    
    interface Ethernet1/0
    
     no ip address
    
     shutdown
    
     half-duplex
    
    !
    
    interface Ethernet1/1
    
     no ip address
    
     shutdown
    
     half-duplex
    
    !
    
    interface Ethernet1/2
    
     no ip address
    
     shutdown
    
     half-duplex
    
    !
    
    interface Ethernet1/3
    
     no ip address
    
     shutdown
    
     half-duplex
    
    !
    
    ip local pool addressfull 192.168.254.34 192.168.254.62
    
    ip forward-protocol nd
    
    ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 172.31.254.9
    
    ip route 192.168.254.32 255.255.255.224 FastEthernet0/0 172.31.254.17
    
    !
    
    ip http server
    
    no ip http secure-server
    
    !
    
    access-list 100 permit ip host 172.31.254.18 any
    
    access-list 100 permit ip any 192.168.254.32 0.0.0.31
    
    route-map repvpn permit 10
    
     match ip address 100
    
     set ip next-hop 172.31.254.17
    
    !
    
    !
    
    !
    
    control-plane
    
    !
    
    !
    
    !
    
    !
    
    line con 0
    
     password 7 110A1016141D
    
    line aux 0
    
     password 7 02050D480809
    
    line vty 0 4
    
     password 7 13061E010803
    
    !
    
    !
    
    end
    
    

    J'ai essayé de créer un utilisateur Pfsense avec le même login que le AAA de mon routeur sans succès.

    J'ai également créer une règle qui autorise tout le trafic TCP/UDP de ANY vers ANY.

    Si quelqu'un peut m’expliquer comment monter un client VPN sur Pfsense pour faire transiter mes utilisateur dessus, car je sèche complétement.

    Merci !

    [EDIT] Désolé pour la dimension de l'image. Click droit -> afficher l'image pour la voir en grand.



  • Bonjour,

    un schema avec adressage nous donnerai une meilleure lisibilité de votre infra.

    cordialement



  • Merci pour ta réponse !

    Les adresses sont indiquées sur chaque interface en rouge ainsi que le VLAN correspondant sur la liaison.

    La liste des VLANs se trouve en haut à droite du plan.

    La plage d'adresse du VPN est 192.168.254.32/27.

    Le seul qui n'est pas présent est le réseau à gauche de l'ALIX. Il s'agit d'un réseau en 192.168.11.0/24.

    Cordialement



  • @mykee:

    Les adresses sont indiquées sur chaque interface en rouge ainsi que le VLAN correspondant sur la liaison.

    Schéma non visible de mon côté…



  • Hébergeur de l'image modifié.

    Ça devrait jouer maintenant.

    [Edit] : Je me suis rabatue sur une solution de secours, un VPN site-à-site qui fonctionne parfaitement. Ca me permettra de faire mes interception sur UNE station.

    L'idée pour la mise en production est d'avoir un VPN pour l'ensemble des stations qui se connecteront.

    Merci encore pour votre aide future.

    PS : Il s'agit d'un travail de diplôme .



  • L'utilisation du XAuth est obligatoire?

    Sinon, voici une doc expliquant le tout mais sans xauth:
    https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS

    My 2 cents



  • Merci pour le lien, c'est celui que j'ai utilisé pour monter le site-à-site.

    Mais cela ne règle pas mon problème puisque je veux pouvoir authentifier tout les utilisateur du VPN sur le même

    Avec la méthode décrite dans ton lien, je dois monter un VPN pour chaque client.

    [EDIT] Oui le Xauth est obligatoire pour authentifier tout les utilisateurs du VPN.



  • @mykee:

    Merci pour le lien, c'est celui que j'ai utilisé pour monter le site-à-site.

    Mais cela ne règle pas mon problème puisque je veux pouvoir authentifier tout les utilisateur du VPN sur le même

    Avec la méthode décrite dans ton lien, je dois monter un VPN pour chaque client.

    [EDIT] Oui le Xauth est obligatoire pour authentifier tout les utilisateurs du VPN.

    Que voulez-vous faire? Un tunnel VPN site à site? SI c'est un VPN site à site, vous ne pourrez pas au travers "utiliser le VPN pour authentifier les utilisateurs"!

    Vous pouvez par contre utiliser des règles de filtrage au niveau du pfSense. Je ne sais pas s'il est possible d'utiliser une authentification user dans les règles de filtrage…

    My 2 cents.



  • L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

    Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.

    Du coups, l'idée aurait été de monter un VPN pour une plage d'adresses avec un login commun.

    Ce n'est peut-être pas la solution, je m'y prend peut-être mal.

    Peut-être qu'un VPN classique site-à-site et une règle de gestion me permettrait d'arriver au même résultat. Je suis tout ouïe.

    Salutations.



  • @mykee:

    L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

    Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.

    Du coups, l'idée aurait été de monter un VPN pour une plage d'adresses avec un login commun.

    Ce n'est peut-être pas la solution, je m'y prend peut-être mal.

    Peut-être qu'un VPN classique site-à-site et une règle de gestion me permettrait d'arriver au même résultat. Je suis tout ouïe.

    Salutations.

    Heuuuuu… Suis-je le seul à trouver que le VPN ne correspondra absolument pas à votre demande...



  • Je ne peu pas changer le routage dynamiquement en fonction de l'ordre que je recoi pour faire passer la machine par la station d'interception.

    Alors je monte un VPN pour faire passer la machine à intercepter par la station d'interception.

    Mais je ne sais pas comment authoriser qu'un utilisateur du portail captif à passer par le VPN et lorsque je traceroute ma sortie depuis pfSense avec le VPN actif, il ne passe pas par le chemin d'interception.

    Je dois manquer quelque chose.



  • L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

    Qu'est ce que cela signifie ? On est en plein délire : "je reçois un ordre d'interception par les autorités". Il me semblerait opportun de mettre de l'ordre dans ce fil un peu délirant. En aucun cas en France ce type de pratique n'a sa place ailleurs que dans les services de police. Je doute fort que ceux ci viennent poser des questions ici pour avoir comment faire. On est en plein guignol.
    Au surplus cette idée baroque démontre une méconnaissance des techniques disponibles. On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.



  • Je suis en suisse, je ne doit mettre sur écoute que l'utilisateur sélectionné, m'assurer qu'il n'y a que lui qui transite pour l'écoute du flux réseau.

    On est pas en plein "Guignol" pour preuve le lien de la "Lawful Interception" en Suisse …
    https://www.li.admin.ch/fr/documentation/downloads/trts_oar.html

    La méconnaissance technologique, c'est possible.

    On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.

    Au lieu de me dire qu'on a pas besoin de tout cela, on a besoin de quoi alors ?

    La topologie réseau est intrinsèque à l'entreprise. La partie à gauche de l'ALIX (compris) correspond au réseau des clients. A droite, l'entreprise. Je doit limiter l'usage de la bande passante pour l'interception des données, cela doit être le plus transparent possible. Voilà pourquoi je voulais intercepter uniquement ce qui passait par le VPN.

    PS: Merci pour cette réponse condescendante au possible.

    Salutations



  • @ccnet:

    L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

    Qu'est ce que cela signifie ? On est en plein délire : "je reçois un ordre d'interception par les autorités". Il me semblerait opportun de mettre de l'ordre dans ce fil un peu délirant. En aucun cas en France ce type de pratique n'a sa place ailleurs que dans les services de police. Je doute fort que ceux ci viennent poser des questions ici pour avoir comment faire. On est en plein guignol.
    Au surplus cette idée baroque démontre une méconnaissance des techniques disponibles. On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.

    Contacte E. Snowden - il aura certainement la réponse à ton problème !

    Sinon tu peux regarder SecurityOnion ou faire l'acquisition du dernier livre de Richard Bejtlich : "The practice of Network Security Monitoring".
    Tu peux aussi essayer de déployer pfflowd (mais tu n'auras que les trames et pas le contenu).

    En tout cas, je ne sais pas qui te donne des "ordres d'interception" mais c'est illégal dans la plupart des pays Européens de capter le trafic Internet d'un utilisateur à son insu (cf. post de CCNet).
    C'est intéressant de voir qu'en Suisse cela peut être légal !



  • Pour les trames il me faut effectivement le contenu.

    Au fait c'est un projet pour une entreprise qui a des Hotspot : Pour faire simple, elle est propriétaire de ces adresses IP, si un utilisateur va sur du contenu illicite (ex: pédophilie), le propriétaire des adresses est l'entreprise. Elle doit donc mettre à disposition des autorités une solution d'interception.

    Cette entreprise a un "pseudo" statut de provider, ce qui l'oblige à mettre en place une solution de ce type.

    Mon but est d'en démontrer la faisabilité dans le cadre de mon travail de Bachelor.

    [Edit] Les ordres d'interception sont envoyés en format XML par l'Etat.



  • Ok.

    Alors, la solution VPN n'est pas la bonne solution. Par contre, ces utilisateurs, ils ont en wifi ou en câblés?

    Si en câblé, il est possible de faire du SPAN de port (copie du traffic réseau d'un port vers un autre port local ou non).

    Pour du WiFi, ça va être plus compliqué…

    Restera "accessoirement" le cassage du HTTPS...



  • Pas de WiFi, uniquement filaire.

    Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.

    Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.

    L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?

    Salutations et merci pour les réponses.



  • @mykee:

    Pas de WiFi, uniquement filaire.

    Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.

    Et? Si vous n'avez qu'une machine connectée au port du switch, vous n'aurez le trafic à destination et en provenance de cette machine plus le broadcast et le multicast… Après, c'est à l'pplicatif qui tourne derrière de faire le tri entre ces trafic... Idem si plusieurs machines sont connectées, un applicatif peut faire le tri...

    Par contre, vous allez multiplier le trafic par le nombre de port "spannés"!

    @mykee:

    Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.

    L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?

    Tout se trouve dans les 2 derniers mots…



  • Pour commencer, si vous aviez précisé votre contexte (Suisse et un travail d'étudiant) il se peut que les choses eut été reçues différemment. A titre d'exemple, je ne reçois pas de la même façon une demande d'un client qui s'inquiète de tentative d'intrusion et celle de celui qui veut la liste des sites visités par ses collaborateurs. De même un officier de police judiciaire, muni d'un commission délivrée par un juge, ne reçoit pas le même accueil. Voilà pour le premier point.

    Deuxième point dans le lien que vous donnez il y a une liste de 1 liens directs. Si vous êtes en mesure de préciser le document qui stipule ces dispositions, j'en prendrai connaissance avec intérêt. Je demande donc à voir la disposition qui vous autoriserait ce type d'action. C'est quand même un point assez critique.

    Venons en aux aspects techniques.

    Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.

    Je ne comprend pas. Dit de cette façon cela n'a pas de sens. J'image qu'il y en a un pour vous mais je ne le comprend pas.

    Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.

    Comment peut on penser qu'un vpn peut permettre l'écoute du trafic ? C'est quand même le contraire, par nature même du vpn. Charles, va comprendre … En quoi rediriger un trafic (ce qui est basiquement un problème de routage) vers un vpn permet l'écoute du trafic en question dans le vpn. Diffie, Hellman et d'autres se sont quand bien cassé la tête pour que ce ne soit pas possible cette attaque de l'homme du milieu. Je me dis que vous avez une conception toute particulière du vpn. A partir du moment où le client monte un tunnel, le trafic vous échappe et selon le type de vpn vous ne connaitrez que les passerelles aux extrémités et même pas les ip sources et destinations. Ne parlons même pas des adresses mac dès lors qu'elles traversent les dites passerelles.

    Bien évidement la mise en place d'un span port sur les équipements de commutation est la solution et l'on active la copie en fonction des demandes. cette copie est dirigée vers un réseau spécifique qui évite en premier lieu la pollution du réseau en terme de charge (est vraiment sensible ?) et surtout rend la détection de l'écoute impossible depuis le réseau normal : pas de trafic supplémentaire généré. Comme proposé par Psylo un applicatif peut faire le tri.

    Après il y des solutions plus immédiates, moins élégantes ... scapy en quelques lignes de commande est capable d'écouter un réseau commuté.

    Rien de tout cela ne concerne directement Pfsense. L'approche manque de pragmatisme et de discernement. Snowden est peut être un peu "tendu" en ce moment mais il aurait surement un bon outils à proposer, pas forcément disponible en téléchargement.



  • Le VPN ne me permet pas en soit l'écoute du trafic. Je l'utilise pour faire passer le trafic par un autre endroit d'où j'intercepte les communication. Je route différemment en fonction de l'adresse source. Si elle fait partie du réseau VPN, je route vers l'interception, sinon directement vers la sortie.

    Pour le lien de la "Guideline" si cela vous intéresse, le voici : https://www.li.admin.ch/download/TR_TS_v3_1_20121109.pdf‎.

    Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.

    @mykee:

    Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.

    L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?

    Tout se trouve dans les 2 derniers mots…

    Donc impossible de faire transiter uniquement une mac-adresse ou un utilisateur PFS dans le VPN. Merci pour l'info. Peut-être que l'on peut scripter l'ajout d'un utilisateur PFS ou d'une mac-adresse à un groupe VPN ?

    C'est vrai que le contexte n'était pas forcément clair, j'ai indiqué qu'il s'agissait d'un travail d'étude mais un peu tard dans le fil de discussion.

    Merci pour vos réponses.

    Salutations



  • Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.

    Je ne suis pas d'accord car dans la configuration du span port (Cisco, Hp, …) on choisi le port dont le trafic est copié vers le span port. C'est un seul utilisateur qui sera concerné. On peut aussi imaginer que l'applicatif de collecte est paramétrable pour ne capturer que ce qui est autorisé.
    je n'ai pas regardé sous cet angle ce qu'il serait possible de faire avec un switch niveau 3 ...

    Je vais par ailleurs consulter le document indiqué. Effectivement cela m’intéresse.



  • @mykee:

    […]
    Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.

    […]

    @psylo:

    Et? Si vous n'avez qu'une machine connectée au port du switch, vous n'aurez le trafic à destination et en provenance de cette machine plus le broadcast et le multicast… Après, c'est à l'pplicatif qui tourne derrière de faire le tri entre ces trafic… Idem si plusieurs machines sont connectées, un applicatif peut faire le tri

    […]

    De toutes façons, pour analyser le trafic capturé, vous devrez passer par un applicatif… Donc...



  • @mykee:

    Cela fait vraiment partie des directives, je ne peu pas intercepter les communications d'une machine qui n'est pas incriminée.

    C'est bien ce qui se passera avec un port de copie puisque que l'on doit désigner le ou les ports dont le trafic est copié vers le "span port".
    Après il faut ré assembler tout cela pour que ce soit exploitable, ce qui n'est pas trivial. Il faut donc un applicatif qui va être capable de "comprendre" les différents protocoles.



  • Autre directive, l'infrastructure à gauche de l'Alix (compris) ne doit pas être modifié, il s'agit de la partie client de l'infra. Pour des raisons de budget, l'ajout d'équipement doit se faire uniquement à droite de l'Alix (réseau de l'entreprise hotspot).

    La vitesse de l'UPLINK sur un raccordement ADSL ne me permet pas cette solution chez le client. Le "span port" sera effectué mais sur le switch entre RT-VPN et RT-PAT.



  • @mykee:

    Autre directive, l'infrastructure à gauche de l'Alix (compris) ne doit pas être modifié, il s'agit de la partie client de l'infra. Pour des raisons de budget, l'ajout d'équipement doit se faire uniquement à droite de l'Alix (réseau de l'entreprise hotspot).

    La vitesse de l'UPLINK sur un raccordement ADSL ne me permet pas cette solution chez le client. Le "span port" sera effectué mais sur le switch entre RT-VPN et RT-PAT.

    Heuuuu… Oui mais non... Enfin, je comprends plus rien...

    Quelle est l'infra générale? S'il y a des sites distants avec de simples lignes ADSL (sous-entendu dont le trafic ne repasse pas par un site central), comment voulez-vous capturer les trafics avec un span sur un switch du site central?!?!?!

    Ou alors, les trafics des hotspot repassent par un site central... Et là, ok, c'est possible. Et dépendant des info à conserver, il faut étudier une solution "qui va bienTM"



  • D’où l'idée du VPN !

    Normalement, les sites distants avec de simples lignes ADSL ne passe pas par le site central ….

    Sauf, celui à intercepter, qui au travers du VPN repasse par le site central pour interception avant de repartir sur la lignes ADSL.

    D'ailleurs, j'avance dans mon proto de laboratoire, j'ai créer un Alias dans lequel j'ajoute les adresses IP des machines à intercepter, et j'autorise cet alias sur le réseau VPN et uniquement lui. L'idée me semble pas trop mauvaise mais je dois manquer quelque chose dans la config puisque lorsque je traceroute le trafic ne passe pas par ma zone d'interception.  Surement une erreur dans ma règle.

    A méditer.

    Salutations.



  • Je ne suis toujours pas convaincu, c'est le moins que l'on puisse dire, par votre approche. Regardez si le Policy routing peut vous aider. Basiquement, encore et toujours, c'est un problème de routage.



  • Mon VPN fonctionne, j'ai traceroute pour voir si je passait bien par le point d'interception avant de sortir, et c'est le cas.

    J'ai créer une règle qui autorise tout les protocoles, toutes les destinations et toutes les sources dans IPsec.

    J'arrive à ping la sortie et un site comme google, mais lorsque je veux y accéder, je suis bloqué par le firewall. Il indique qu'il applique la règle par défaut : DENY alors que j'ai spécifié une règle qui autorise tout le trafic.

    J'ai vu dans la doc IPSec troubleshooting qu'il fallait parfois activer le MSS Clamping, ce que j'ai fait, avec une valeur a 1300, mais aucun changement.

    Les logs du firewall indique pour l'interface enc0 (que je suppose être celle de l'IPsec) le blocage de l'adresse ip source (google) pour ma station de destination.

    L'information indiqué pour le blocage est :

    @1 scrub in on vr0 all fragment reassemble
    @1 block drop in log all label "Default deny rule"

    Je ne comprend pas puisque j'ai une règle qui autorise tout le trafic IPsec…

    Si quelqu'un a une explication ...

    Un problème de routage asymétrique ?

    Merci pour vos réponses et salutations !



  • Je viens au nouvelles.

    Toujours pas trouvé de solution pour ce qui semble être un blocage intempestif du firewall.

    Ce qui est étrange c'est que je peu accéder à certains site (je dirais, ceux hébergés par le même fournisseur, comme le site du canton de Genève) mais impossible d’accéder à d'autres comme google.ch par exemple.

    Je trouve ce comportement très étrange, je me suis renseigné auprès de l'administrateur réseau du canton qui m'a affirmé qu'il ne s'agissait pas d'un blocage chez eux.

    En espérant avoir des éléments de réponse.

    Salutations à vous !



  • J'ai trouvé la solution.

    Il s'agissait d'un problème de fragmentation des trames. J'ai du changer de routeur cisco pour un plus récent qui gère la fragmentation.

    J'ai suivi ce lien : http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml

    Il faut activer sur les interfaces du routeur Cisco la commande :

    (conf-if) ip virtual-reassembly
    

    Puis régler le MSS de l'interface du VPN avec la commande :

    (conf-if) ip tcp adjust-mss [valeur]
    

    J'ai ajusté le MSS à 1300 et dans pfsense –> Advanced --> Misc : ajuster le MSS clamping à la même valeur.

    Voilà ma solution, j'espère qu'elle sera utile à d'autres utilisateurs rencontrant le même problème !

    Salutations !


Log in to reply