Le flux IPSec ne sort pas par la bonne interface… (multi-WAN)



  • Bonjour à tous !!!

    J'ai un soucis avec un tunnel IPSEC :

    D'abord, un tour d'horizon de la configuration :

    PfSense 2.1.3-RELEASE (i386) sur Alix 2D13+carte accélératrice

    2 lien ADSL configuré en PPPoE sur la PfSense + 1 LAN :

    • ADSL1 : 123.45.67.10 (GW : 123.45.67.254)
    • ADSL2 : 123.45.67.20 (GW : 123.45.67.254)
    • LAN : 10.0.0.0/24

    (Les ADSL sont chez le même FAI, et la gateway des deux liens est la même.)

    Utilisation du lien ADSL2 comme route par défaut, puis de la redirection de certains flux dans les rules LAN…
    NAT Outbound en automatique.

    J'ai 4 tunnels IPSEC :

    • Site A : sur ADSL2 : 123.45.67.10 <-> IP_SiteA (OK)

    • Site B : sur ADSL2 : 123.45.67.10 <-> IP_SiteB (OK)

    • Site C : sur ADSL2 : 123.45.67.10 <-> IP_SiteC (OK)

    • Site D : sur ADSL1 : 123.45.67.20 <-> IP_SiteD (Problème)

    Logs IPSEC pour Site D : racoon: ERROR: phase1 negotiation failed due to time up.

    Ce qui est bizarre, c'est que sur mes captures de trames faites sur les interfaces ADSL, je voit bien le flux IPSEC distant "IP_SiteD -> 123.45.67.20" sur l'interface ADSL1, mais pas de réponse de ma PfSense.

    Sur ADSL2 par contre, je voit bien le flux IPSEC : "123.45.67.20 -> IP_SiteD" AVEC l'IP ADSL1...

    Il semblerait donc que le tunnel IPSEC sorte par la mauvaise interface, mais avec la bonne adresse IP publique... ???

    J'ai vérifié : Le VPN est bien configuré avec l'interface ADSL1.

    J'ai redémarré le service IPSEC, fait un "Filter Reload", mais le problème est toujours présent. Pas de reboot pour l'instant (prod, etc...)

    Lors de la mise en place, ça marchait bien...  :(

    Votre verdic ? Bug ? Mauvaise configuration ?

    Une solution à me proposer ?

    merci d'avance pour votre aide  :)



  • Bonjour,

    Personnellement je passe toujours en "manuel" l'outbound NAT et je n'ai jamais rencontré ton problème.

    J'ai encore mis en route là un pfsense à 3 WAN et 2 WAN servent pour les tunnels sans aucun problème.
    Par contre moi j'ai des FAI différents…

    Guldil



  • Bonjour,

    Au final, j'ai trouvé une "solution" :

    Le reboot n'a pas marché, idem pour le changement du Onbound en Manual…

    Ma solution : désactiver les phases 2 des autres VPN IPSEC pour ne garder que celui qui pose problème, reboot du service "racoon".
    Là, le VPN a monté comme il faut...
    Après, j'ai juste eu à ré-activer les phases 2 désactivées.

    Par contre, j'ai toujours aucune idée de ce qu'il s'est passé...  :(

    Merci quand même Guldil !  :)

    SamY_42



  • Bonjour,

    Pf est connu pour apprécier très moyennement d'avoir la même gateway pour 2 wan
    -> intercaller un routeur de base sur 1 des 2 wan pour avoir une gateway différente ^^

    Solution à tester si le pb se répète ^^

    Cordialement

    (perso en multi-wan j'ai pour habitude de laisser les box/modem des fai en mode routeur histoire d'avoir des réseazu différent sur les wan et j'active les pseudo dmz pour ne pas avoir à gérer de double nat)



  • Chaque WAN doit avoir une Gateway différente pour un fonctionnement fiable et pérenne.
    C'est une question de logique technique vis à vis du fonctionnement du routage IPV4.


Log in to reply