Problème connexion VPN IPSEC site à site après déconnexion Internet
-
Bonsoir à tous,
Contexte : milieu professionnel
Niveau d'expertise de l'administrateur : très débutantBesoin : Superviser des équipements sur un site distant via une connexion site à site VPN IPSEC
Schéma : LAN (site1) –- VM Pfsense --- Livebox Orange Pro 3 ---- Internet ---- Modem ADSL netgear ---- VM Pfsense --- LAN (site2)
Je relie actuellement deux sites physiques par une connexion VPN IPSEC.
Ma question :
Mon infrastructure dans les grandes lignes est la suivante :
Site 1 :
Connexion Internet : VDSL2 Orange Caraïbes
Modem / routeur : Livebox Orange Sagem
VM pfsense 2.2.5WAN : L'ensemble du trafic est routé depuis la Livebox Orange via une DMZ vers une machine virtuelle pfsense
NAT : certaines règles NAT sont définies pour atteindre des Machine en RDPSite 2:
Connexion Internet : ADSL Orange
Modem / routeur : Modem Netgear
VM pfsense 2.2.5WAN : Interface WAN PPOE configurée
Les 2 sites ont été configurés au niveau IPSEC de manière standard.
Je rencontre depuis 2 mois des déconnexions Internet sur le site 1, ces déconnexions sont très courtes sont aléatoires et quotidiennes.
Le tunnel VPN deviens alors inactif et la seule façon que j'ai trouvé pour relancer la connexion est de rebooter la livebox Orange du site 1.
En lisant les log IPSEC j'ai l'impression de voir que le site 1 de se reconnecter au site 2 automatiquement suite à la coupure.
La phase 1 semble opérationnelle, contrairement à la phase 2.
Cette infrastructure m'a été proposée par un prestataire qui n'a pas réussi à solutionner le problème et me demande maintenant de supprimer mon abonnement VDSL et passer par un abonnement plus classique ADSL à l'identique du site 2.
Étant peu qualifié en infra réseau, je cherche donc des informations sur ce problème et sa résolution.
Cordialement,
Khalil
-
Quelques questions complémentaires.
rebooter la livebox Orange du site 1
Il faut comprendre que par ailleurs la liaison n'est pas rompue (et cela a t il été vérifié) ?
Sur le site 1 nous avons donc un nat avant l'interface wan de Pfsense ? Ou bien c'est do pro avec l'ip publique sur wan ?Les 2 sites ont été configurés au niveau IPSEC de manière standard.
Je ne sais ce que cela signifie tant les possibilités sont grandes dans le choix des algorithmes.
En lisant les log IPSEC j'ai l'impression de voir que le site 1 de se reconnecter au site 2 automatiquement suite à la coupure.
Il manque un ou des mots ? "Tente" par exemple.
Cette infrastructure m'a été proposée par un prestataire qui n'a pas réussi à solutionner le problème et me demande maintenant de supprimer mon abonnement VDSL et passer par un abonnement plus classique ADSL à l'identique du site 2.
Faute d'autres élément je ne suis pas convaincu par la proposition de votre prestataire, d'autant que sa solution avec pfsense virtualisé est à mon sens tout à fait douteuse.
Avons nous autre chose dans les logs de Pfsense de part et d'autre ? Lorsque le lien ipsec est perdu, le service est il actif des deux côtés ?
Un changement, même mineur a t il été réalisé ? -
Bonsoir ccnet merci pour votre réponse rapide. Je ne suis pas encore très clair dans toutes mes explications.
Question 1 :
Actuellement la liaison site à site fonctionne normalement sauf lorsqu'il y a une coupure de la connexion VDSL du site 1
Je vérifie ce point en consultant sur le dashboard Pfsense au niveau des deux sites au niveau du widget IPsec.
Et sur l'interface de la Livebox je constate que le compteur Connexion à Internet est remis à zéro.La configuration WAN du site est 1 configuré comme suit, je ne comprends pas bien ce que signifie do pro avec ip publique sur WAN :
Question 2 :
Configuration VPN IPsec des deux sites :
Question 3 :
Effectivement ma phrase est incomplète est :
En lisant les log IPSEC j'ai l'impression de voir que le site 1 tente de se reconnecter au site 2 automatiquement suite à la coupure.
Je peux fournir les logs ?
Question 4 :
Je n'ai pas de retour d'expérience sur l'utilisation de pfsense virtualisé sachant que sur site dans chaque baie informatique il a également installé 2 routeurs mikrotik qui peuvent à priori également être configurés pour faire du routage VPN etc.
J'ai apporté un changement à l'infrastructure afin de permettre un accès à distance au site 2 à des clients mobiles via OpenVPN.
Mon problème de liaison IPsec est antérieur à ces modifications.
En espérant que mes réponses à vos questions soient claires.
Cordialement,
Khalil
-
Cette infrastructure m'a été proposée par un prestataire qui n'a pas réussi à solutionner le problème et me demande maintenant de supprimer mon abonnement VDSL et passer par un abonnement plus classique ADSL à l'identique du site 2.
Change de prestataire ;)
Plaisanterie mise à part, cette proposition de repasser en ADSL vs. VDSL montre, sauf si il a des éléments tangibles liés à ton implémentation géographique loin du DSLAM, une méconnaissance de cette technologie.
Si tu es à une distance raisonnable du répartiteur, la différence entre le A et le V de xDSL est très importante, surtout pour le flux montant, ce qui est particulièrement intéressant en cas d'inter-connexion de sites.
De plus, si la distance au DSLAM est assez courte, tu bénéficies, en VDSL, d'un débit franchement meilleur.Ne pas hésiter donc à rester dans cette technologie, voire à passer en VDSL à l'autre extrémité dès que possible !
Cela ne résout pas ton problème de reconnexion du lien IPsec après perte ponctuelle de l'accès internet mais je pense qu'il est préférable d'investiguer coté IPSec et Livebox plutôt que de tenter un retour arrière hasardeux.
Ce que je n'arrive pas bien à comprendre dans tes explications, c'est si, du point de vue du site 1, seul le lien IPsec ne remonte pas, ce qui reviendrait à dire que l'accès internet tombe (à cause de la Livebox ?), remonte et redevient fonctionnel derrière pfSense du point de vue du LAN mais pas pour IPSec ? C'est bien cela ?
-
Il serait dommage de ne pas contribuer à un fil avec formulaire : C'est bien on a des informations !
Le VPN Ipsec est le bon moyen pour connecter 2 sites.
Néanmoins, il y a quelques éléments habituels à prendre en compte :- il est très préférable que le WAN de chaque pfSense soit réellement en ip publique,
- le débit obtenu si les extrémités utilisent de l'ADSL (ou VDSL) sera faible voire décevant.
Il vaut mieux utiliser des modems ADSL/VDSL et que WAN soit configuré en PPPoE (généralement) : cela limite le fonctionnement parfois erratique de la box fournie par le FAI.
L'ADSL contrairement au SDSL ou à la fibre a un débit 'asymétrique' (descendant >> montant).
De facto, le VPN site-2-site sera impacté car, en sus du cryptage, le descendant d'un côté correspondra au montant de l'autre côté.
D'où un débit limité au plus faible débits montants, c'est à dire moins d'1 Mb/s ou moins de 100 ko/s ! -
Bonjour,
Pour répondre à vos différentes questions chris4916 :
Au niveau du site 1 je suis très proche du DSLAM (< 150m)
Le fait d'avoir une VDSL est intéressant même si le déploiement est récent ici (je suis en Guadeloupe). Les débits descendant sont en moyenne de 70Mbps et 20Mbps en montant.
Du point de vue du site 1 à priori seul le lien IPsec ne remonte pas. Comme vous le décrivez, Internet tombe un très court instant ensuite redeviens fonctionnel au niveau du LAN (mes machines peuvent naviguer sur Internet) par contre le lien IPsec reste KO.
Voici une capture d'écran de la page IPsec status
On voit que la connexion est en cours … mais n'aboutit jamais.
J'ai tenté de relancer la connexion via le bouton "redémarrer le service" sans succès, aujourd'hui la seule manière que j'ai trouvé pour faire de nouveau fonctionner le lien IPsec est de rebooter la livebox du site 1.
Au niveau des logs lors de la reconnexion j'obtiens le log suivant :
charon: 14[IKE] <con1000|4958>IKE_SA con1000[4958] established between IP_LAN_PFSENSE[IP_PUBLIC_SITE1] … IP_PUBLIC_SITE1[IP_PUBLIC_SITE1]
Comme conseillé par jdh, j'envisage de mettre un modem VDSL à la place de la livebox Orange mais je ne suis pas sur du résultat.</con1000|4958>