Bonjour la liste, Cela fait quelques années que je suis la liste mais n'ayant que très peu d'expertise dans vos domaines, je n'ai jamais eu l'occasion de contribuer. Cependant, je suis confronté à un soucis sur lequel vous pourriez m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. J'ai deux problématique.
La première : Le besoin : Accéder depuis un cloud Azure à des sites distants. Il a été décidé de mettre en place des tunnels IPSec. J'ai monté une maquette le plus représentatif possible d'un cas concret. | AZURE | | ACCES Internet | Site Distant | Non maitrisé Console_Az -----| | | |-- @ --|-- ... -- ... --|pfSense Site Distant|--|routeur|-- |Réseau Cible| pfSense_Az -----| | | Réseau AZURE : 10.8.0.0/24 pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client (192.168.0.110/24) pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - Default GW : 192.168.2.10 routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client (192.168.2.0/24) routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 Quand les machines auxquelles la Console_Az doit accéder sont positionnées juste derrière le pfSense Site Distant, aucun problème. Ma problématique réside dans l'ajout d'un routeur entre le réseau cible et le pfSense Site Distant. Lorsque je lance un ping depuis la Console_Az vers une machine du réseau cible, ce dernier ne passe pas. Un ping depuis une machine du Réseau Cible, ce dernier passe. J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant et le routeur lors d'un ping de la Console_Az vers une machine du réseau cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). A priori, rien sur le routeur (l'interface de log du routeur n'est pas très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible m'indique qu'aucun ping n'arrive. A priori, on est dans une problèmatique de débutant en terme de réseau. Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route mais sans succès et à force je me mélange. Voici la conf de mes tunnels IPSec : pfSense Site Distant : Configuration : Remote Gateway Mode P1 Protocol P1 Transforms P1 Description IKE V1 WAN main AES (256 bits) SHA1 Test IPSec VPN 52.164.243.95 Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms P2 Auth Methods tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) SHA1 tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) SHA1 SADs : Source Destination Protocol SPI Enc. alg. Auth. alg. Data 192.168.0.110 IP Pub Azure ESP cafd79ae rijndael-cbc hmac-sha1 0 B IP Pub Azure 192.168.0.110 ESP c2fbf651 rijndael-cbc hmac-sha1 17340 B 192.168.0.110 IP Pub Azure ESP cb6200d5 rijndael-cbc hmac-sha1 240 B IP Pub Azure 192.168.0.110 ESP c34cc1f1 rijndael-cbc hmac-sha1 120 B SPDs : Source Destination Direction Protocol Tunnel endpoints 10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub Azure -> 192.168.0.110 10.8.0.0/24 172.16.1.0/24 ◄ Inbound ESP IP Pub Azure -> 192.168.0.110 192.168.2.0/24 10.8.0.0/24 ► Outbound ESP 192.168.0.110 -> IP Pub Azure 172.16.1.0/24 10.8.0.0/24 ► Outbound ESP 192.168.0.110 -> IP Pub Azure pfSense_Az : Configuration : Remote Gateway Mode P1 Protocol P1 Transforms P1 Description IKE V1 WAN main AES (256 bits) SHA1 Test IPSec VPN 78.155.157.245 Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms P2 Auth Methods tunnel 10.8.0.0/24 192.168.2.0/24 ESP AES (auto) SHA1 tunnel 10.8.0.0/24 172.16.1.0/24 ESP AES (auto) SHA1 SADs : Source Destination Protocol SPI Enc. alg. Auth. alg. 10.8.0.5 IP Pub Distant ESP cbcd362a rijndael-cbc hmac-sha1 IP Pub Distant 10.8.0.5 ESP ccc761e7 rijndael-cbc hmac-sha1 10.8.0.5 IP Pub Distant ESP c8b22c38 rijndael-cbc hmac-sha1 IP Pub Distant 10.8.0.5 ESP c7c85925 rijndael-cbc hmac-sha1 SPDs : Source Destination Direction Protocol Tunnel endpoints 192.168.2.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub Distant -> 10.8.0.5 172.16.1.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub Distant -> 10.8.0.5 10.8.0.0/24 192.168.2.0/24 ► Outbound ESP 10.8.0.5 -> IP Pub Distant 10.8.0.0/24 172.16.1.0/24 ► Outbound ESP 10.8.0.5 -> IP Pub Distant Je pense qu'il s'agit d'un soucis de route sur le pfSense distant mais j'avoue ne plus savoir quoi / comment l'ajouter. Deuxième problématique : La maquette modélisée ci-dessus est une représentation de plusieurs sites distants auxquels nous devront accéder. Malheureusement, les routeurs "site distant" et les "réseaux cibles" auront tous les mêmes plans d'adressage. Il est donc nécessaire de mettre en place du NAT (enfin de mon point de vue). Or, comme je n'arrive déjà pas à faire fonctionner correctement une archi simple, je crains ne pas être capable de mettre en place cette config. Sauriez-vous comment dois-je configurer mes pfSense dans ce 2e cas ? J'espère vous avoir donné toutes les billes pour pouvoir m'aider :). D'avance merci. Cordialement, Yann --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/