« Routed IPsec (VTI) with pfsense » : différence entre les versions

De Linux Server Wiki
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 2 : Ligne 2 :
[[Category:pfsense]]
[[Category:pfsense]]
[[Category:networking]]
[[Category:networking]]
[[Category:vpn]]
[[Category:VPN]]


Cette fonctionnalité est disponible depuis pfsense 2.4.4.
Cette fonctionnalité est disponible depuis pfsense 2.4.4.

Version du 28 octobre 2018 à 18:03


Cette fonctionnalité est disponible depuis pfsense 2.4.4.

Il vous faut définir un network de transit. Typiquement on peut utiliser un /30 étant donné qu'on a besoin que de deux IPs (une pour chaque extrémité du lien IPsec). Dans ce exemple nous allons utiliser 10.6.6.1/30.

Configuration IPsec

Sur Node1, créez une entrée IPsec Phase 2 avec :

  • Mode : Routed (VTI)
  • Local Network : Network with range 10.6.6.1/30
  • Remote Network : 10.6.6.2
  • Configurez la section Proposal comme vous le souhaitez.
  • Cliquez sur Save puis Apply Changes

Sur Node2, créez une entrée IPsec Phase 2 en miroir :

  • Mode : Routed (VTI)
  • Local Network : Network with range 10.6.6.2/30
  • Remote Network : 10.6.6.1
  • Configurez la section Proposal comme sur Node1.
  • Cliquez sur Save puis Apply Changes

Attribution d'une interface

Sur Node1 et Node2 :

  • Cliquez sur Interfaces > Assignments
  • Sélectionnez l'interface ipsec1000 dans la liste Available Network Ports puis cliquez sur Add. Notez l'interface créée (OPTx).
  • Cliquez sur Interfaces > OPTx
  • Cochez la case Enable et donnez un nom plus précis à l'interface au champ Description.
  • Vous pouvez laisser les autres champs tel quel.
  • Cliquez sur Save puis Apply Changes

Sur le dashboard pfsense, vous devriez voir apparaître l'interface avec l'adresse ip du tunnel, ainsi qu'un gateway (qui correspond à l'adresse IP du node distan).

Routage

Cliquez sur System > Routing puis Static Routes.

Sur Node1 :

  • Cliquez sur Add
  • Au champ Destination network, entrez le range du network LAN de Node2
  • Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de _VTIV4)
  • Cliquez sur Save puis Apply

Sur Node2 :

  • Cliquez sur Add
  • Au champ Destination network, entrez le range du network LAN de Node1
  • Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de _VTIV4)
  • Cliquez sur Save puis Apply

Redirection de trafic (Policy Routing)

Vous pouvez forcer le trafic d'une IP du LAN de Node1 à transiter jusqu'à Node2 et pourquoi pas ensuite aller sur interne à partir de Node2.

Sur Node1 :

  • Créez une règle Firewall LAN, définissez les différents champs comme vous le souhaitez.
  • En bas de la page, cliquez sur Display Advanced.
  • Définissez le champ Gateway sur la gateway de votre tunnel IPsec
  • Cliquez sur Save puis Apply

A ce stade, le trafic ira jusqu'à Node2 et sortira sur internet depuis l'IP WAN de Node2 a condition que le NAT sortant de Node2 soit bien configuré en mode Automatic.

Si ce n'est pas le cas, sur Node2 :

  • Cliquez sur Firewall > NAT puis Outbound
  • Sélectionnez Automatic outbound NAT rule generation.
  • Cliquez sur Save.
  • Par défaut, en mode Automatic, pfsense créé une règle NAT sortante pour toutes les routes attribuées à une gateway IPsec.

Firewall du tunnel IPsec

Notez que la gestion du firewall pour l'ensemble de vos tunnels IPsec se fait dans l'onglet IPsec du firewall (il n'y a pas d'onglet spécifique à l'interface que vous avez créé).