Sincèrement, renumérote les autres sites. Un jour ou l’autre, ça va être ingérable.
> Le 11 juil. 2017 à 11:15, Wagab <waga...@riseup.net> a écrit : > > Bonjour, > > pour info, j'ai corrigé mon problème 1. Une simple route sur le pfSense > distant que je croyais avoir déjà testée mais vu que maintenant cela > fonctionne, j'imagine que j'avais fait des conneries. > > Maintenant je suis sur ma problématique de NAT. > > Cordialement, > Yann > > > Le 2017-07-11 08:48, Wagab a écrit : >> Bonjour la liste, >> >> Cela fait quelques années que je suis la liste mais n'ayant que très peu >> d'expertise dans vos domaines, je n'ai jamais eu l'occasion de >> contribuer. >> Cependant, je suis confronté à un soucis sur lequel vous pourriez >> m'aider. Je pense que c'est quelque chose de simple mais pas pour moi. >> J'ai deux problématique. >> >> La première : >> >> Le besoin : >> Accéder depuis un cloud Azure à des sites distants. Il a été décidé de >> mettre en place des tunnels IPSec. >> J'ai monté une maquette le plus représentatif possible d'un cas concret. >> >> >> | AZURE | | ACCES Internet | Site Distant >> | >> Non maitrisé >> Console_Az -----| | | >> |-- @ --|-- ... -- ... --|pfSense Site >> Distant|--|routeur|-- |Réseau >> Cible| >> pfSense_Az -----| | | >> >> Réseau AZURE : 10.8.0.0/24 >> pfSense Site Distant / Interface WAN (côté ACCES INTERNET) : DHCP Client >> (192.168.0.110/24) >> pfSense Site Distant / Interface LAN (côté routeur) : 192.168.2.9/24 - >> Default GW : 192.168.2.10 >> routeur / Interface WAN (côté pfSense Site Distant) : DHCP Client >> (192.168.2.0/24) >> routeur / Interface LAN (côté Réseau Cible) : 172.16.1.9/24 >> >> >> Quand les machines auxquelles la Console_Az doit accéder sont >> positionnées juste derrière le pfSense Site Distant, aucun problème. >> Ma problématique réside dans l'ajout d'un routeur entre le réseau cible >> et le pfSense Site Distant. >> >> Lorsque je lance un ping depuis la Console_Az vers une machine du réseau >> cible, ce dernier ne passe pas. >> Un ping depuis une machine du Réseau Cible, ce dernier passe. >> >> J'ai réalisé quelques traces sur le pfSense_Az, le pfSense Site Distant >> et le routeur lors d'un ping de la Console_Az vers une machine du réseau >> cible. Je le vois bien transiter dans le tunnel (log sur les 2 pfSense). >> A priori, rien sur le routeur (l'interface de log du routeur n'est pas >> très bavarde ...). Afin de valider ce dernier point, j'ai réalisé un >> ping d'une machine du Réseau Cible depuis le pfSense Site Distant. Celui >> n'a pas fonctionné. Le wireshark lancé sur la machine du réseau cible >> m'indique qu'aucun ping n'arrive. >> >> A priori, on est dans une problèmatique de débutant en terme de réseau. >> Malgré tout, je sèche. J'ai réalisé quelques manips d'ajout de route >> mais sans succès et à force je me mélange. >> Voici la conf de mes tunnels IPSec : >> >> pfSense Site Distant : >> >> Configuration : >> Remote Gateway Mode P1 Protocol P1 Transforms P1 >> Description >> IKE V1 WAN main AES (256 bits) SHA1 >> Test IPSec VPN >> 52.164.243.95 >> >> Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms >> P2 Auth >> Methods >> tunnel 192.168.2.0/24 10.8.0.0/24 ESP AES (auto) >> SHA1 >> tunnel 172.16.1.0/24 10.8.0.0/24 ESP AES (auto) >> SHA1 >> >> SADs : >> Source Destination Protocol SPI Enc. >> alg. Auth. alg. Data >> 192.168.0.110 IP Pub Azure ESP cafd79ae >> rijndael-cbc hmac-sha1 0 >> B >> IP Pub Azure 192.168.0.110 ESP c2fbf651 >> rijndael-cbc hmac-sha1 >> 17340 B >> 192.168.0.110 IP Pub Azure ESP cb6200d5 >> rijndael-cbc hmac-sha1 >> 240 B >> IP Pub Azure 192.168.0.110 ESP c34cc1f1 >> rijndael-cbc hmac-sha1 >> 120 B >> >> SPDs : >> Source Destination Direction Protocol Tunnel >> endpoints >> 10.8.0.0/24 192.168.2.0/24 ◄ Inbound ESP IP Pub Azure -> >> 192.168.0.110 >> 10.8.0.0/24 172.16.1.0/24 ◄ Inbound ESP IP Pub Azure -> >> 192.168.0.110 >> 192.168.2.0/24 10.8.0.0/24 ► Outbound ESP >> 192.168.0.110 -> IP Pub >> Azure >> 172.16.1.0/24 10.8.0.0/24 ► Outbound ESP >> 192.168.0.110 -> IP Pub >> Azure >> >> pfSense_Az : >> >> Configuration : >> Remote Gateway Mode P1 Protocol P1 Transforms P1 >> Description >> IKE V1 WAN main AES (256 bits) SHA1 >> Test IPSec VPN >> 78.155.157.245 >> >> Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms >> P2 Auth >> Methods >> tunnel 10.8.0.0/24 192.168.2.0/24 ESP AES (auto) >> SHA1 >> tunnel 10.8.0.0/24 172.16.1.0/24 ESP AES (auto) >> SHA1 >> >> SADs : >> Source Destination Protocol SPI Enc. >> alg. Auth. alg. >> 10.8.0.5 IP Pub Distant ESP cbcd362a rijndael-cbc >> hmac-sha1 >> IP Pub Distant 10.8.0.5 ESP ccc761e7 >> rijndael-cbc hmac-sha1 >> 10.8.0.5 IP Pub Distant ESP c8b22c38 rijndael-cbc >> hmac-sha1 >> IP Pub Distant 10.8.0.5 ESP c7c85925 >> rijndael-cbc hmac-sha1 >> >> SPDs : >> Source Destination Direction Protocol Tunnel >> endpoints >> 192.168.2.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub >> Distant -> 10.8.0.5 >> 172.16.1.0/24 10.8.0.0/24 ◄ Inbound ESP IP Pub >> Distant -> 10.8.0.5 >> 10.8.0.0/24 192.168.2.0/24 ► Outbound ESP 10.8.0.5 -> IP >> Pub >> Distant >> 10.8.0.0/24 172.16.1.0/24 ► Outbound ESP 10.8.0.5 -> IP >> Pub Distant >> >> Je pense qu'il s'agit d'un soucis de route sur le pfSense distant mais >> j'avoue ne plus savoir quoi / comment l'ajouter. >> >> Deuxième problématique : >> La maquette modélisée ci-dessus est une représentation de plusieurs >> sites distants auxquels nous devront accéder. Malheureusement, les >> routeurs "site distant" et les "réseaux cibles" auront tous les mêmes >> plans d'adressage. Il est donc nécessaire de mettre en place du NAT >> (enfin de mon point de vue). Or, comme je n'arrive déjà pas à faire >> fonctionner correctement une archi simple, je crains ne pas être capable >> de mettre en place cette config. Sauriez-vous comment dois-je configurer >> mes pfSense dans ce 2e cas ? >> >> J'espère vous avoir donné toutes les billes pour pouvoir m'aider :). >> >> D'avance merci. >> Cordialement, >> Yann >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
