Bonjour,
Cela fait un bon moment maintenant que j'essaie de mettre en place un VPN IPSec sur un firewall que j'ai installé chez moi et que j'échoue lamentablement et donc j'aimerais savoir si ça tenterait quelqu'un de me donner des billes pour m'aider à réaliser ça. Ce serait vraiment cool ! Merci d'avance !
Demande aide VPN IPSec [pfSense 2.4]
- Modifié
Never77 on est d'accord que c'est pour relié 2 sites distant au travers d'un VPN ? et donc formé un seul lan ? (globalement)
tu as suivi quoi ?
https://www.supinfo.com/articles/single/7616-mise-place-tunnel-vpn-ipsec-avec-pfsense
- Modifié
MattProd Non c'est pour faire du client à site chez moi et accéder à mon LAN depuis l'extérieur
et j'ai suivi le tutoriel fournis par pfsense pour mettre en place un accès mobile client en l2tp/ipsec.
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/l2tp-ipsec.html
Je ne trouve trouve pas ou est le probleme, a vue de nez c'est la phase 2 qui ne montent jamais mais je n'arrive pas a voir si c'est a cause du firewall ou a cause de Windows 10.
a la premiere lecture rapide,
Users have reported issues with Windows L2TP/IPsec clients behind NAT. If the clients will be behind NAT, Windows clients will most likely not function. Consider an IKEv2 implementation instead.
si je traduit pour moi je dirais que si ton poste est derriere un NAT, probalement. Ca ne pourra pas marcher.
je pense qu'il va falloir trouver une doc differente.
Donc en gros : tu as un pfsense a la maison, qui fait office de parefeu integral, au cul de ta box/prise xdsl/fiber ?
et tu veut pouvoir en etant nomade te connecté a ton reseau domestique ?
- Modifié
MattProd J'ai essayé l'IKEv2 et et de passer aussi en MsCHApv2 mais ca n'a pas mieux marcher. Avant j'avais un serveur web qui s'est fait scanné en masse et qui prenait tout le temps dans la face. Je l'ai coupé pour consolider mon infrastructure et j'ai monté juste un pfSense pour le moment et mon but est de tout mettre derriere. Et comme pfSense permet l'ipSec je voulait l'utiliser. Et ce pfSense est connecté derrière ma box.
Et oui l'idée est de pouvoir me connecter en nomade chez moi.
petite question : il est virtualisé ton pfsense ?- Modifié
MattProd Mon pfSense n'est pas virtualisé et possède 2 interfaces je voulais simplifier le problème et mon Lan derriere la box est en 192.168.1.0/24 et j'ai un LAN en 10.0.0.0/24 derriere le firewall. Je voulais dédié un subnet aux client VpN en 10.0.1.0/24 et le firewall prend systématiquement la 254 pour rester ISO un peu partout. Aussi comme a cause de ca je n'ai pas la main sur mon firewall en nomade pour le moment je le coupe et je regarde pour monter un VPN plus simple afin de pouvoir travailler dessus la journée et le plus simple avec un client natif Windows c'est le PPTP qui n'est pas supporté par pfSense car peu sécure mais géré par OPNSense donc je pense passer sur OPNSense et monter l'IPSec avec celui-ci, la problématique reste la même.
L'idéal pour moi serait qu'on puisse s'y connecter sans installer de client particulier (je sais que c'est dur avec Windaube malheureusement...) je voulais profiter du client natif Windows pour faire du L2TP/IPSec PSK je ne sais pas si ca fonctionnera comme je voudrais. J'ai l'impression que Windows est assez relou avec ça à voir...
ben42210 Oui je connais bien OpenVPN mais je n'ai réussi a l'utiliser de manière légère qu'avec un certificat et je prévois d'utiliser mon Lab chez moi avec quelques camarades de l'école d'ingé ou je suis ca m'embeterait de devoir generer un certificat par client c'est un poil lourd je trouve on sera pas 100 c'est sur mais je suis pas fan. Je connaissais pas IPFire je vais me renseigner merci de l'info en tout cas ! 
- Modifié
ben42210 Je suis d'accord c'est ma solution pour patienter mais IpSec est plus sécure et assez fluide en terme de calcul c'est pour ca que j'avais opter pour cette solution. Mon but est quand même d'arriver à monter ce fameux tunnel IPSec au bout du compte peu importe le firewall mais je voulais que la communication entre mon poste et mon LAN soit sécure. Il me faudra un accès à distance en attendant c'est sûr mais je veux quand même réussir à le configurer à la fin et utiliser cette solution.
Regarde au niveau de wireguard, peux être y trouveras-tu ton bonheur!
Tu es chez quel opérateur ? Ta box est en bridge ?