Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec Site to Site, règles WAN

    Scheduled Pinned Locked Moved Français
    3 Posts 2 Posters 720 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      meirick
      last edited by

      Bonjour

      Contexte : Evolution avant mise en service pour deux sites PME.
      Mon niveau amateur, utilisation depuis 4 ans de pfSense pour mes besoins personnels.
      J’ai testé en local, avec deux machines physiques, un lien VPN Site To Site avec IPsec. Pas de problème de fonctionnement.

      Mon besoin concerne la sécurité en ouvrant les ports UDP 500, 4500 et ESP dans le WAN.

      PfSense 1 (site 1)
      WAN : IPV4 configuration type PPPOE, IP static
      LAN : DHCP 192.168.1.1/24
      NAT : Automatic outbound NAT rule generation (IPsec passthrough incluted) validé uniquement. Pas de règle créée manuellement
      Pas de package installé

      PfSense 2 (site 2)
      WAN : IPV4 configuration type PPPOE, IP dynamique
      LAN : DHCP 172.16.1.1/24
      NAT : Automatic outbound NAT rule generation (IPsec passthrough incluted) validé uniquement. Pas de règle créée manuellement
      Pas de package installé
      DNS Dynamic: configurer avec freeDNS

      Question :
      Pour le site 1, comment dois-je créer les règles en WAN pour n’autoriser que le site 2 (avec une adresse dynamique) à y accéder?
      Les règles de mes WAN sont en pièce jointe.

      Si c’est impossible, quel est le risque s’il y en un ?

      Merci
      Capture.PNG
      Capture.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Une solution qui pourrait fonctionner (je ne l'ai pas testée), c'est d'utiliser un alias qui décrit le FQDN (DNS dynamique bien sur) du site 2.

        Le problème potentiel avec cette approche est que la translation du FQDN en IP (puisque le FW ne sait bien sûr gérer que des IP) est un mécanisme asynchrone, donc il se peut qu'à un moment ce ne soit pas aligné.

        Mais à ce problème près, tu peux ensuite décrire cet alias dans la source.

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • M
          meirick
          last edited by

          Merci de ta réponse rapide.

          Je n'avais jamais fait attention, ni pensé, qu'on pouvait mettre un FQDN public dans les alias.

          La doc indique, qu'on peut configurer la période de résolution dans System > Advanced puis Firewall/nat (300s par défault)

          Le question d'asynchronisme peut être réglé en obligeant la connexion PPPOE à se faire de façon périodique, et à un moment sans contrainte. Ex tous les jours a 0h00. Dans Interface > WAN : PPPoE configuration reset at each day ('0 0 * * *')
          Même si à ce moment la liaison IPSsec est tombée, pas de problème puisque personne ne travail à pendant cette période.

          Merci

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.