VPN sur une liason ADSL



  • Bonsoir,
    je suis nouveau dans le domaine donc j'aimerai avoir un coup de main de la part des  pionniers  :) :)
    j'aimerai creer une liaison vpn entre deux sites ayant chacun une liaison WAN (ADSL)
    pour ce faire j'ai dejà installé la version 2.2.6 release de pfsence sur la première site et suis sur le second de la seconde site
    voici la config du site1:
    modem/router adsl: 192.168.2.1
    pfsence wan: 192.168.2.254
    pfsense lan: 192.168.1.1  donc le LAN de mon site est sur (192.168.1.0/24)

    le site 2 sera
    modem/router adsl: 192.168.10.1
    pfsence wan: 192.168.10.254
    pfsense lan: 192.168.20.1  donc le LAN de mon site est sur (192.168.20.0/24)

    Mon problème est comment configurer le tunnel? etant donnée que je dispose pas d'adresse ip publique fixe mais plutot dynamiques
    quel des protocols IPSEC ou OPEN VPN sera adapté?
    j'attends votre precieuse aide SVP :( :( :(
    Si c'est pas possible j'aimerais aussi le savoir pour ne pas perdre mon temps sur sa



  • Bonsoir

    En 1er : https://forum.pfsense.org/index.php?topic=79600.0

    @vourouson:

    Mon problème est comment configurer le tunnel? etant donnée que je dispose pas d'adresse ip publique fixe mais plutot dynamiques

    => avec un hote de type Dyndsn, No-ip, …

    @vourouson:

    quel des protocols IPSEC ou OPEN VPN sera adapté?

    => Ipsec



  • @baalserv:

    @vourouson:

    Mon problème est comment configurer le tunnel? etant donnée que je dispose pas d'adresse ip publique fixe mais plutot dynamiques

    => avec un hote de type Dyndsn, No-ip, …

    indiscutablement  ;D

    @vourouson:

    quel des protocols IPSEC ou OPEN VPN sera adapté?

    => Ipsec

    Probablement mais ça mérite quand même attention.

    Selon la nature et la stabilité de l'accès ADSL, la performance (et la technologie) des boitiers pfSense, OpenVPN peut se révéler plus adapté.

    Les 2 grosses différences (au delà des aspects techniques de double encryption etc) sont :

    • la possibilité de ne faire que du TCP avec OpenVPN (sous entendu pas de UDP). C'est plus lourd en terme de protocole mais plus résistant aux pertes de paquets parfois fréquentes en ADSL
    • sur pfSense, le support de AES-NI avec IPSec qui permet une performance bien meilleure sans surcharger le CPU (si celui-ci supporte AES-NI bien sûr)

    A noter que si tu peux passer de ADSL à VDSL, ton débit sera bien meilleur grâce à un flux montant plus important.



  • @Chris

    L'utilisateur n'a pas dénier faire l'effort d'utiliser le formulaire afin que l'on puisse lui apporter une réponse précise.

    Je ne ferais donc pas l'effort de lui tirer les vers du nez ni d'expliquer le ''pourquoi du comment'', d'ou mon post brut de fonderie ;)



  • Grand merci à vous tous qui m’ont répondu et je m’excuse de n’avoir pas donner assez d’information sur mon sujet en respectant les règles du forum, j'ai joint à ce message le schéma de mon réseau avec l'adressage, je n'ai pas vu le formulaire de remplissage dont vous parlez. Merci

    Maintenant je sais que je dois utiliser IPSEC avec dynamic dns pour créer mon tunnel, quand au débit du net je trouverai une solution pourvu que mon interco marche  :) :) :).

    J’ai dejà créer un hostname sur NO-IP avec le nom de mon Pfsense 1 (exemple : monfpsense 1.ddns.net) maintenant je veux savoir s’il faut deux hostnames c’est-à-dire un pour chaque pfsense et ou les configurer ? dans l’onglet dynamic dns de chaque pfsense ? j’ai essayé sur le PFsense1 et il m’affiche mon IP public dynamique de l’ADSL

    Je vous joint les captures de mes config IPSEC que j’ai commencé sur le pfsense 1 en suivant un tuto et aussi le schéma synoptique de mon réseau avec les IP
    J’attends à présent vos réponses si précieuses pour moi
    Merci  :D :D :D

    ![IPSEC edit phase 2_ SA key exchange+options avancé.JPG](/public/imported_attachments/1/IPSEC edit phase 2_ SA key exchange+options avancé.JPG)
    ![info general+phase 1 proposal authentification.JPG_thumb](/public/imported_attachments/1/info general+phase 1 proposal authentification.JPG_thumb)
    ![info general+phase 1 proposal authentification.JPG](/public/imported_attachments/1/info general+phase 1 proposal authentification.JPG)
    ![schema reseau.JPG_thumb](/public/imported_attachments/1/schema reseau.JPG_thumb)
    ![schema reseau.JPG](/public/imported_attachments/1/schema reseau.JPG)
    ![IPSEC edit phase 2_ SA key exchange+options avancé.JPG_thumb](/public/imported_attachments/1/IPSEC edit phase 2_ SA key exchange+options avancé.JPG_thumb)
    ![IPSEC edit phase 2_tunnel.JPG](/public/imported_attachments/1/IPSEC edit phase 2_tunnel.JPG)
    ![IPSEC edit phase 2_tunnel.JPG_thumb](/public/imported_attachments/1/IPSEC edit phase 2_tunnel.JPG_thumb)
    ![phase 1 proposal algoritms+ advance options.JPG](/public/imported_attachments/1/phase 1 proposal algoritms+ advance options.JPG)
    ![phase 1 proposal algoritms+ advance options.JPG_thumb](/public/imported_attachments/1/phase 1 proposal algoritms+ advance options.JPG_thumb)



  • @baalserv:

    L'utilisateur n'a pas dénier faire l'effort d'utiliser le formulaire afin que l'on puisse lui apporter une réponse précise.
    Je ne ferais donc pas l'effort de lui tirer les vers du nez ni d'expliquer le ''pourquoi du comment'', d'ou mon post brut de fonderie ;)

    Aucun souci de mon point de vue.
    Ma réponse n'était qu'un complément de réponse dans le sens de la tienne qui était correcte.

    Pour moi, il y avait assez d’information dans le message initial pour commencer une réponse.



  • @vourouson:

    J’attends à présent vos réponses si précieuses pour moi

    Il va sans dire (et donc sans l'écrire  ;D) que si tu postes un message ici, c'est que tu (t')attends (à) des réponses  :P

    Je ne sais pas où tu as pris ton tuto mais soit il est complètement faux soit tu ne le comprends pas car les informations qu'il te faut mettre sont celles correspondant aux IP publique, bien sûr.

    D'ailleurs c'est ce que fait le service de dynamic DNS: enregistrer ton IP publique "variable" dans un DNS pour que tu puisses contacter le site avec un nom plutôt qu'une IP que tu ne connais pas.

    Les adresses internes dans le range de la RFC1819 ne sont pas routables sur internet donc tu ne peux pas renseigner ces IP dans tes conf  ::)

    Par ailleurs, il faut t'assurer, selon comment est configuré ton "routeur" ADSL, que les requêtes vont bien arriver à pfSense :

    • soit ton modem / routeur est en mode bridge : il n'y a rien à faire et pfSense a une IP publique sur l'interface WAN
    • soit le modem / routeur est en mode routeur => il faut rediriger vers pfSense les requêtes dont tu as besoin. L'option simpliste consiste à tout rediriger vers pfSense (ce qui se traduit sur quelques interfaces de modem/routeur par "mettre en DMZ"  :-X


  • Bonjour, excusez de ce temps de silence mais c'est parce que j'ai eu un avènement social
    Merci chris4916 pour votre réponse
    j'ai configuré mon routeur pour qu'il redirige  les requêtes provenant de tunnel sur le port Wan de mon PFsense
    mais je viens de configurer le compte que j'ai creé sur NO IP  sur mon modem/routeur ADSL histoire de m'assurer que de l'internet je peux avoir à l'interface de mon routeur ADSl mais cela a été sans succès

    voilà comment j'ai fait!: j'ai entré moncompte.ddns.net dans mon navigateur sur une machine avec une clé de connexion internet, je m'attendais à tomber sur la page d'identification de mon routeur adsl mais rien, quand le ping moncompte.ddns.net je vois mon adresse IP publique dynamique dans la réponse mais on me met
    delai d'attente de la demande dépassé
    voici les captures des configs du firewall du modem adsl, du ping et du compte NO IP

    ![config firewall adsl.JPG](/public/imported_attachments/1/config firewall adsl.JPG)
    ![config firewall adsl.JPG_thumb](/public/imported_attachments/1/config firewall adsl.JPG_thumb)
    ![ddns config router.JPG](/public/imported_attachments/1/ddns config router.JPG)
    ![ddns config router.JPG_thumb](/public/imported_attachments/1/ddns config router.JPG_thumb)
    ![ping moncompte.ddns.net.jpg](/public/imported_attachments/1/ping moncompte.ddns.net.jpg)
    ![ping moncompte.ddns.net.jpg_thumb](/public/imported_attachments/1/ping moncompte.ddns.net.jpg_thumb)


Log in to reply