VPN IP-Sec Mobile

igloox

Bonjour à tous,

j'ai mis en place pfsense pour mon réseau perso et je bloque sur la configuration du VPN IP-Sec.

Ma config est peut-être un peu particulière puisque mon pfsense (virtualisé) se situe dans la DMZ d'une box, celle ci ne gérant pas le bridge. A l'heure actuelle, mon pfsense fonctionne dans le sens ou mes users ont accès au net. Peu de règle en place pour le moment.

Voici mon schéma réseau:

Contexte : Usage perso, Niveau admin moyen

Besoin : Je souhaite mettre en place un VPN IP-sec afin d'accéder à mon LAN de l'extérieur.

LAN : 1 LAN (sans VLan), dhcp pfsense et dns local.
LAN: 192.168.2.0/24

WIFI : point d'accès wifi sur LAN

Règles NAT : peu de connaissance sur le sujet mi à part le NAT simple des BOX.

Règles Firewall :
IPv4 UDP * * WAN address 4500 (IPsec NAT-T) * none VPN IPsec Nat
IPv4 UDP * * WAN address 500 (ISAKMP) * none VPN ISAKMP
IPv4 ESP * * WAN address * * none

Packages ajoutés : squid, squidguard

Autres fonctions assignées au pfSense : néant

Question : Création du vpn selon plusieurs tuto mais toujours un  problème en phase 1. Ou de gateway. (voir log)
Dois je mettre en place du NAT au vu de la configuration de mon pfsense en DMZ de laBOX? si oui lequel?

Pistes imaginées:  Problème de NAT

Logs et tests :

Oct 1 21:28:32	racoon: [192.168.1.254] NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Oct 1 21:28:32	racoon: [192.168.1.254] ERROR: couldn't find the pskey for 192.168.1.254.
Oct 1 21:28:32	racoon: [192.168.1.254] ERROR: failed to process ph1 packet (side: 1, status: 2).
Oct 1 21:28:32	racoon: [192.168.1.254] ERROR: phase1 negotiation failed.

racoon: [Unknown Gateway/Dynamic]: DEBUG: 774 bytes message received from 80.xx.xx.xx [1011] to 192.168.1.45[500]

Un gros merci d'avance pour votre aide…  ;)

jdh

(Bravo pour ce premier post très bien présenté !)

Ipsec n'aime pas le NAT, c'est certain !
Or il y a du NAT dans la Box.
Mais il faut aussi faire attention à la virtualisation !

Possibilité de solution :

Avez vous fait un essai de VPN avec OpenVPN ?
Cela aurait l'avantage de faire une solution alternative et surtout de simplifier (openVPN = 1 seul flux de type UDP = bien plus simple pour traverser tout).

Est-il possible de passer la box en mode bridge (plutôt que routeur) ?
L'ip publique serait alors directement au niveau du WAN de pfSense …

Je conçois que la réponse n'est pas forcément celle attendue ...

Tatave

salut salut

@jdh

Je me doutais que vous alliez nous trouver une solution.
Bien que n'étant pas à l'origine du poste je me posais aussi la question (vm excepté, j'ai de quoi faire cela en physique), je ne suis pas familiarisé avec l'installation de vpn , mais plus dans l'usage.

@igloox

Question :
Pourquoi ne pas avoir recyclé un pc pour faire ce type de test ? (sans prendre en compte l'encombrement).

@all
Question :
En est il de même pour toutes les box ?
Pour ma part sauf erreur avec les bbox, je n'ai pas trouvé la possibilité de basculer en mode bridge. et je ne connais que les freebox qui le permettent ( à ma connaissance biensûr).

Cordialement.

igloox

Bonsoir,

effectivement ma Box (bouygues) ne fait pas de Bridge c'est pourquoi je n'ai pas fait le choix de cette config.
Je n'ai pas testé avec open vpn mais l'iphone ne gérant pas "nativement" openVPN je préférais opter pour ip-sec. Je vais tester avec open vpn et/ou L2TP pour voir.

D'autre part, pourquoi faut il se méfier de la virtualisation?

@Tatave
Je n'ai pas de vieux PC sous la main et encore moins avec deux cartes réseau. ;)

D'autres pistes à explorer….?

jdh

Se méfier de la virtualisation ?
Oui parce que cela complique la perception de ce qu'il se passe !
Tous les paquets sont-ils bien remontés à la VM ? Pas sûr !
Exemple : avec KVM, une VM type Debian avec un serveur VPN OpenVPN pour accès au réseau interne, nécessite une petite règle iptables !

OpenVPN est un VPN parfaitement fiable et solide, il passe aisément les routeurs NAT (box), mais il n'est pas standard Windows ou iphone !
(A l'inverse Windows ou iphone sont-ils standard ?)
(Est ce bien utile que les smartphones accèdent par VPN au réseau interne ?)
(OpenVPN est dispo pour smartphone/tablette android rooté et bien sûr tout PC/portable Windows !)

igloox

Re-

install Openvpn et tout fonctionne.

Merci à vous.

PS: il semblerait que mon problème viennent du fait que ma box ne gere pas le NAT du protocol ESP d'Ip-sec.

;)