Problème NAT VPN remote

Nasrox

Bonjour,

Je cherche à monter un vpn remote access.

INTERNET > FIREWALL > PFSENSE

Le firewall fait du nat 1:1 pour que nos équipements puissent sortir.

Quand je lance une connexion vpn et un tcpdump sur le pfsense, je vois bien les paquets arrivés sur le port 500 puis 4500

Le problème c'est que le pfsense ne renvoit jamais de paquet sur le port 4500

Les logs du VPN shrew soft :

15/12/11 11:54:02 -> : send IKE packet 192.168.1.35:500 -> X.X.X.X:500 ( 260 bytes )
15/12/11 11:54:02 DB : phase1 resend event scheduled ( ref count = 2 )
15/12/11 11:54:02 <- : recv IKE packet X.X.X.X:500 -> 192.168.1.35:500 ( 244 bytes )
15/12/11 11:54:02 DB : phase1 found
15/12/11 11:54:02 ii : processing phase1 packet ( 244 bytes )
15/12/11 11:54:02 =< : cookies 94636b6ca2f21097:471393a7d6106a36
15/12/11 11:54:02 =< : message 00000000
15/12/11 11:54:02 << : key exchange payload
15/12/11 11:54:02 << : nonce payload
15/12/11 11:54:02 << : nat discovery payload
15/12/11 11:54:02 << : nat discovery payload
15/12/11 11:54:02 ii : forcing nat-t to enabled ( rfc )
15/12/11 11:54:02 ii : switching to src nat-t udp port 4500
15/12/11 11:54:02 ii : switching to dst nat-t udp port 4500
15/12/11 11:54:02 == : DH shared secret ( 128 bytes )
15/12/11 11:54:02 == : SETKEYID ( 20 bytes )
15/12/11 11:54:02 == : SETKEYID_d ( 20 bytes )
15/12/11 11:54:02 == : SETKEYID_a ( 20 bytes )
15/12/11 11:54:02 == : SETKEYID_e ( 20 bytes )
15/12/11 11:54:02 == : cipher key ( 32 bytes )
15/12/11 11:54:02 == : cipher iv ( 16 bytes )
15/12/11 11:54:02 >> : identification payload
15/12/11 11:54:02 == : phase1 hash_i ( computed ) ( 20 bytes )
15/12/11 11:54:02 >> : hash payload
15/12/11 11:54:02 >= : cookies 94636b6ca2f21097:471393a7d6106a36
15/12/11 11:54:02 >= : message 00000000
15/12/11 11:54:02 >= : encrypt iv ( 16 bytes )
15/12/11 11:54:02 == : encrypt packet ( 78 bytes )
15/12/11 11:54:02 == : stored iv ( 16 bytes )
15/12/11 11:54:02 DB : phase1 resend event canceled ( ref count = 1 )
15/12/11 11:54:02 -> : send NAT-T:IKE packet 192.168.1.35:4500 -> X.X.X.X:4500 ( 124 bytes )
15/12/11 11:54:02 <- : recv IKE packet X.X.X.X:500 -> 192.168.1.35:500 ( 76 bytes )
15/12/11 11:54:02 DB : phase1 found
15/12/11 11:54:02 ww : initiator port values should only float once per session
15/12/11 11:54:02 ii : processing informational packet ( 76 bytes )
15/12/11 11:54:02 == : new informational iv ( 16 bytes )
15/12/11 11:54:02 =< : cookies 94636b6ca2f21097:471393a7d6106a36
15/12/11 11:54:02 =< : message e058af5c
15/12/11 11:54:02 =< : decrypt iv ( 16 bytes )
15/12/11 11:54:02 == : decrypt packet ( 76 bytes )
15/12/11 11:54:02 !! : validate packet failed ( reserved value is non-null )
15/12/11 11:54:02 !! : informational packet ignored ( packet decryption error )
15/12/11 11:54:02 <- : recv NAT-T:KEEP-ALIVE packet X.X.X.X:500 -> 192.168.1.35:500

Sur le pfsense, quand je filtre sur le port 4500 j'ai ça :

NONESP-encap: isakmp: phase 2/others ? inf[E]
NONESP-encap: isakmp: phase 1 ? ident[E]

Pour les tests, j'ai ouvert tous les flux sur le pfsense.

Merci à vous !

ccnet

Un  vpn remote access … hum. A vous lire on déduit que c'est d'un vpn IPSec qu'il s'agit. Mais comment et pour faire quoi ....

Le firewall fait du nat 1:1 pour que nos équipements puissent sortir.

Pas forcément nécessaire.

Au delà il n'y a aucune information pertinente pour comprendre votre configuration. Donc :
https://forum.pfsense.org/index.php?topic=79600.0 !

Nasrox

Effectivement c'est bien du IPsec.

J'ai suivi une documentation sur le site pour créer une connexion pour les clients mobile.

Le NAT 1:1 est forcément nécessaire, sinon le pfsense ne peut pas être joignable depuis l'extérieur. (Donc VPN inutilisable)

Ma configuration est tout ce qu'il y a de plus classique.
Un client cherche à se connecter depuis n'importe où, il passe par internet, arrive sur mon firewall qui fait du nat et ça tombe sur le pfsense.

Ce que je cherche à comprendre c'est pourquoi le pfsense ne renvoi jamais de paquet UDP 4500 après en avoir reçu ?
Il renvoi uniquement des UDP 500… Or comme il y a du NAT ça ne fonctionne pas.

Pour information, nous sommes dans un contexte professionnel.

ccnet

Le NAT 1:1 est forcément nécessaire, sinon le pfsense ne peut pas être joignable depuis l'extérieur. (Donc VPN inutilisable)

Absolument pas.

Un client cherche à se connecter depuis n'importe où, il passe par internet

Pour cela le choix d'IPSec n'est pas le plus pertinent. Le VPN SSL (OpenVPN) est beaucoup plus indiqué. IPSec pose des difficultés d'interopérabilité. Quel client IPSec utilsez vous ?

arrive sur mon firewall qui fait du nat et ça tombe sur le pfsense.

Pfsense n'est pas le firewall ??
https://forum.pfsense.org/index.php?topic=79600.0 ! et un schéma. On ne comprend rien.

Or comme il y a du NAT ça ne fonctionne pas.

Sans nat traversal le problème est connu avec IPSec. Si toutefois c'est bien le problème. Mais encore une fois comme vous ne donnez aucune information technique précise on ne peut pas deviner les spécificités de votre configuration.

Nasrox

J'ai des contraintes clients qui font que je me suis orienté vers IPSec.
Nous utilisons Shrew Soft.
Non Pfsense n'est pas le firewall. D'où mon explication : INTERNET < FIREWALL < PFSENSE

Pour information, hier soir cela fonctionnait parfaitement.

ccnet

En l'état je ne vois aucune information permettant d'aller plus loin. Ce sont les logs du client qui ne semble pas en mesure de terminer la phase 1. Possiblement parce que Pfsense ne lui répond pas. Pour une raison impossible à comprendre avec les informations disponibles.
Il ne vous reste plus qu'à chercher ce qui a été modifié.
Terminé pour moi.

Nasrox

Bonjour,

Je reviens vers vous suite à mon problème. Voici mon analyse.

J'ai réinstallé pfsense. Une fois configuré, le VPN IPsec mobile client fonctionne bien.

J'ai pris un snapshot pour ne pas me faire avoir encore une fois.

A ce stade, j'ai un seul compte et PSK pour m'y connecter.

Lorsque que j'ajoute une dizaine de compte (PSK), impossible de se reconnecter au VPN. (Pour tester, j'avais laissé un ping puis créé les 10 comptes. J'ai ensuite tenté une déconnexion/reconnexion mais impossible de s'y connecter)

Je ne sais pas l'expliquer.

Savez vous si la dernière version présente un bug de ce genre ? Un bug qui ferait qu'avec un certain nombre de PSK ça ne fonctionne plus.

Merci d'avance

EDIT : Après d'autres tests, je peux créer jusqu'à 4 PSK sans problème.
Au delà, impossible de se connecter.
Je suis en version 2.2.5

EDIT 2 : En fait, ça ne doit pas être un bug, j'ai pu créer plusieurs identifiants mais il faut absolument qu'ils aient tous la même PSK.
Je peux donc m'y connecter.

Tatave

Salut salut

Pourquoi je n'ai rien compris des explications ?
Enfin bon je ne pense qu'il faille comprendre quelques choses ici

ha si j'ai cru lire ipsec et vpn passant par un pf, avec un doute sur de la mise ne virtualisation quelques part somewhere (cf ce qui est en quote)  @Nasrox:

J'ai pris un snapshot pour ne pas me faire avoir encore une fois.

Y a t il un soucis résolut ou pas ? Je ne saurais dire.
Comme mes camarades pas vu plus d'information à part çà un post qui  ne sert à rien.

Non sens déconner !!!!!!!!!!!!!!!!!!!!!!!! vous nous prenez pour des madames irma ou madame soleil  ou bien ?

nota, reportez vous au https://forum.pfsense.org/index.php?topic=79600.0 ! et un schéma.
pour vous se n'est pas une option, mais plus une obligation.

Non cordialement (je reste poli mais cela me pique d'en dire plus mais moins courtoise).