VPN IPSEC + ajout d'une route vers un autre routeur



  • Bonjour à tous,

    J'utilise des routeurs avec pfsense pour connecter mes différents sites (VPN en IPSEC).
    Tout fonctionne bien, à part qu'aujourd'hui j'ai besoin que mes sites distants accède à ma dmz… et la je galère.

    Mon site distant est en 192.168.2.x/24, mon site principal en 172.16.x.x/16 et ma dmz sur 10.16.0.x/24
    J'ai un routeur sur linux sur mon réseau local qui fait les différentes routes (on va dire en 172.16.1.1).

    Ce que je veux c'est rajouter une route pour le réseau 10.16.0.x vers cette adresse 172.16.1.1

    Si quelqu'un peut m'aider,

    Merci d'avance



  • Un petit schéma ? avec le flux désiré ?



  • D'accord, voila le schéma :

    Site1 (192.168.2.x) –-> PFSENSE (192.168.2.254) <---INTERNET---> PFSENSE (172.16.4.254) ---> Firewall Linux (172.16.1.1) ---> local
                                                                                                                                                      |
                                                                                                                                                      |
                                                                                                                                                      /
                                                                                                                                                    DMZ (10.16.0.X)

    Ce que je souhaite ces que les pc sur le site 1 puisse accéder à une machine sur la dmz.
    J'arrive bien depuis le boitier Pfsense (172.16....) a pinguer une adresse sur la DMZ

    Merci.



  • Ce que tu demande ne se fait pas en IPSec, tu dois créer un nouveau tunnel pour se faire. C'est pas possible de faire du routage ou de la NAT à travers un tunel ipsec.



  • Tout à fait, un tunnel IPSEC prend en charge un domaine de cryptage lié à une étendue réseau. Ici seul les flux en direction et provenance de 172.16/16 peuvent passer dans le tunnel.
    Rien de plus simple pour permettre l'accès à la plage 10.16.0/24 depuis le réseau distant, il suffit de créer un tunnel supplémentaire sur les deux pfsense qui aura comme subnet local 10.16.0 sur la "pfsense de droite" et en distant sur la "pfsense de gauche", ne pas oulier une route statique sur le pfsense de droite pour diriger le trafic à destination de 10.16.0/24 vers 172.16.1.1, et l'inverse pour diriger 192.168.2/24 vers 172.16.4.254.



  • Merci pour vos réponses


Log in to reply