Problème NAT VPN remote



  • Bonjour,

    Je cherche à monter un vpn remote access.

    INTERNET > FIREWALL > PFSENSE

    Le firewall fait du nat 1:1 pour que nos équipements puissent sortir.

    Quand je lance une connexion vpn et un tcpdump sur le pfsense, je vois bien les paquets arrivés sur le port 500 puis 4500

    Le problème c'est que le pfsense ne renvoit jamais de paquet sur le port 4500

    Les logs du VPN shrew soft :

    15/12/11 11:54:02 -> : send IKE packet 192.168.1.35:500 -> X.X.X.X:500 ( 260 bytes )
    15/12/11 11:54:02 DB : phase1 resend event scheduled ( ref count = 2 )
    15/12/11 11:54:02 <- : recv IKE packet X.X.X.X:500 -> 192.168.1.35:500 ( 244 bytes )
    15/12/11 11:54:02 DB : phase1 found
    15/12/11 11:54:02 ii : processing phase1 packet ( 244 bytes )
    15/12/11 11:54:02 =< : cookies 94636b6ca2f21097:471393a7d6106a36
    15/12/11 11:54:02 =< : message 00000000
    15/12/11 11:54:02 << : key exchange payload
    15/12/11 11:54:02 << : nonce payload
    15/12/11 11:54:02 << : nat discovery payload
    15/12/11 11:54:02 << : nat discovery payload
    15/12/11 11:54:02 ii : forcing nat-t to enabled ( rfc )
    15/12/11 11:54:02 ii : switching to src nat-t udp port 4500
    15/12/11 11:54:02 ii : switching to dst nat-t udp port 4500
    15/12/11 11:54:02 == : DH shared secret ( 128 bytes )
    15/12/11 11:54:02 == : SETKEYID ( 20 bytes )
    15/12/11 11:54:02 == : SETKEYID_d ( 20 bytes )
    15/12/11 11:54:02 == : SETKEYID_a ( 20 bytes )
    15/12/11 11:54:02 == : SETKEYID_e ( 20 bytes )
    15/12/11 11:54:02 == : cipher key ( 32 bytes )
    15/12/11 11:54:02 == : cipher iv ( 16 bytes )
    15/12/11 11:54:02 >> : identification payload
    15/12/11 11:54:02 == : phase1 hash_i ( computed ) ( 20 bytes )
    15/12/11 11:54:02 >> : hash payload
    15/12/11 11:54:02 >= : cookies 94636b6ca2f21097:471393a7d6106a36
    15/12/11 11:54:02 >= : message 00000000
    15/12/11 11:54:02 >= : encrypt iv ( 16 bytes )
    15/12/11 11:54:02 == : encrypt packet ( 78 bytes )
    15/12/11 11:54:02 == : stored iv ( 16 bytes )
    15/12/11 11:54:02 DB : phase1 resend event canceled ( ref count = 1 )
    15/12/11 11:54:02 -> : send NAT-T:IKE packet 192.168.1.35:4500 -> X.X.X.X:4500 ( 124 bytes )
    15/12/11 11:54:02 <- : recv IKE packet X.X.X.X:500 -> 192.168.1.35:500 ( 76 bytes )
    15/12/11 11:54:02 DB : phase1 found
    15/12/11 11:54:02 ww : initiator port values should only float once per session
    15/12/11 11:54:02 ii : processing informational packet ( 76 bytes )
    15/12/11 11:54:02 == : new informational iv ( 16 bytes )
    15/12/11 11:54:02 =< : cookies 94636b6ca2f21097:471393a7d6106a36
    15/12/11 11:54:02 =< : message e058af5c
    15/12/11 11:54:02 =< : decrypt iv ( 16 bytes )
    15/12/11 11:54:02 == : decrypt packet ( 76 bytes )
    15/12/11 11:54:02 !! : validate packet failed ( reserved value is non-null )
    15/12/11 11:54:02 !! : informational packet ignored ( packet decryption error )
    15/12/11 11:54:02 <- : recv NAT-T:KEEP-ALIVE packet X.X.X.X:500 -> 192.168.1.35:500

    Sur le pfsense, quand je filtre sur le port 4500 j'ai ça :

    NONESP-encap: isakmp: phase 2/others ? inf[E]
    NONESP-encap: isakmp: phase 1 ? ident[E]

    Pour les tests, j'ai ouvert tous les flux sur le pfsense.

    Merci à vous !



  • Un  vpn remote access … hum. A vous lire on déduit que c'est d'un vpn IPSec qu'il s'agit. Mais comment et pour faire quoi ....

    Le firewall fait du nat 1:1 pour que nos équipements puissent sortir.

    Pas forcément nécessaire.

    Au delà il n'y a aucune information pertinente pour comprendre votre configuration. Donc :
    https://forum.pfsense.org/index.php?topic=79600.0 !



  • Effectivement c'est bien du IPsec.

    J'ai suivi une documentation sur le site pour créer une connexion pour les clients mobile.

    Le NAT 1:1 est forcément nécessaire, sinon le pfsense ne peut pas être joignable depuis l'extérieur. (Donc VPN inutilisable)

    Ma configuration est tout ce qu'il y a de plus classique.
    Un client cherche à se connecter depuis n'importe où, il passe par internet, arrive sur mon firewall qui fait du nat et ça tombe sur le pfsense.

    Ce que je cherche à comprendre c'est pourquoi le pfsense ne renvoi jamais de paquet UDP 4500 après en avoir reçu ?
    Il renvoi uniquement des UDP 500… Or comme il y a du NAT ça ne fonctionne pas.

    Pour information, nous sommes dans un contexte professionnel.



  • Le NAT 1:1 est forcément nécessaire, sinon le pfsense ne peut pas être joignable depuis l'extérieur. (Donc VPN inutilisable)

    Absolument pas.

    Un client cherche à se connecter depuis n'importe où, il passe par internet

    Pour cela le choix d'IPSec n'est pas le plus pertinent. Le VPN SSL (OpenVPN) est beaucoup plus indiqué. IPSec pose des difficultés d'interopérabilité. Quel client IPSec utilsez vous ?

    arrive sur mon firewall qui fait du nat et ça tombe sur le pfsense.

    Pfsense n'est pas le firewall ??
    https://forum.pfsense.org/index.php?topic=79600.0 ! et un schéma. On ne comprend rien.

    Or comme il y a du NAT ça ne fonctionne pas.

    Sans nat traversal le problème est connu avec IPSec. Si toutefois c'est bien le problème. Mais encore une fois comme vous ne donnez aucune information technique précise on ne peut pas deviner les spécificités de votre configuration.



  • J'ai des contraintes clients qui font que je me suis orienté vers IPSec.
    Nous utilisons Shrew Soft.
    Non Pfsense n'est pas le firewall. D'où mon explication : INTERNET < FIREWALL < PFSENSE

    Pour information, hier soir cela fonctionnait parfaitement.



  • En l'état je ne vois aucune information permettant d'aller plus loin. Ce sont les logs du client qui ne semble pas en mesure de terminer la phase 1. Possiblement parce que Pfsense ne lui répond pas. Pour une raison impossible à comprendre avec les informations disponibles.
    Il ne vous reste plus qu'à chercher ce qui a été modifié.
    Terminé pour moi.



  • Bonjour,

    Je reviens vers vous suite à mon problème. Voici mon analyse.

    J'ai réinstallé pfsense. Une fois configuré, le VPN IPsec mobile client fonctionne bien.

    J'ai pris un snapshot pour ne pas me faire avoir encore une fois.

    A ce stade, j'ai un seul compte et PSK pour m'y connecter.

    Lorsque que j'ajoute une dizaine de compte (PSK), impossible de se reconnecter au VPN. (Pour tester, j'avais laissé un ping puis créé les 10 comptes. J'ai ensuite tenté une déconnexion/reconnexion mais impossible de s'y connecter)

    Je ne sais pas l'expliquer.

    Savez vous si la dernière version présente un bug de ce genre ? Un bug qui ferait qu'avec un certain nombre de PSK ça ne fonctionne plus.

    Merci d'avance

    EDIT : Après d'autres tests, je peux créer jusqu'à 4 PSK sans problème.
    Au delà, impossible de se connecter.
    Je suis en version 2.2.5

    EDIT 2 : En fait, ça ne doit pas être un bug, j'ai pu créer plusieurs identifiants mais il faut absolument qu'ils aient tous la même PSK.
    Je peux donc m'y connecter.



  • Salut salut

    Pourquoi je n'ai rien compris des explications ?
    Enfin bon je ne pense qu'il faille comprendre quelques choses ici

    ha si j'ai cru lire ipsec et vpn passant par un pf, avec un doute sur de la mise ne virtualisation quelques part somewhere (cf ce qui est en quote)  @Nasrox:

    J'ai pris un snapshot pour ne pas me faire avoir encore une fois.

    Y a t il un soucis résolut ou pas ? Je ne saurais dire.
    Comme mes camarades pas vu plus d'information à part çà un post qui  ne sert à rien.

    Non sens déconner !!!!!!!!!!!!!!!!!!!!!!!! vous nous prenez pour des madames irma ou madame soleil  ou bien ?

    nota, reportez vous au https://forum.pfsense.org/index.php?topic=79600.0 ! et un schéma.
    pour vous se n'est pas une option, mais plus une obligation.

    Non cordialement (je reste poli mais cela me pique d'en dire plus mais moins courtoise).


Log in to reply