« Routed IPsec (VTI) with pfsense » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
Ligne 2 : | Ligne 2 : | ||
[[Category:pfsense]] | [[Category:pfsense]] | ||
[[Category:networking]] | [[Category:networking]] | ||
[[Category: | [[Category:VPN]] | ||
Cette fonctionnalité est disponible depuis pfsense 2.4.4. | Cette fonctionnalité est disponible depuis pfsense 2.4.4. |
Version du 28 octobre 2018 à 18:03
Cette fonctionnalité est disponible depuis pfsense 2.4.4.
Il vous faut définir un network de transit. Typiquement on peut utiliser un /30 étant donné qu'on a besoin que de deux IPs (une pour chaque extrémité du lien IPsec). Dans ce exemple nous allons utiliser 10.6.6.1/30
.
Configuration IPsec
Sur Node1, créez une entrée IPsec Phase 2 avec :
- Mode : Routed (VTI)
- Local Network : Network with range
10.6.6.1/30
- Remote Network :
10.6.6.2
- Configurez la section Proposal comme vous le souhaitez.
- Cliquez sur Save puis Apply Changes
Sur Node2, créez une entrée IPsec Phase 2 en miroir :
- Mode : Routed (VTI)
- Local Network : Network with range
10.6.6.2/30
- Remote Network :
10.6.6.1
- Configurez la section Proposal comme sur Node1.
- Cliquez sur Save puis Apply Changes
Attribution d'une interface
Sur Node1 et Node2 :
- Cliquez sur Interfaces > Assignments
- Sélectionnez l'interface
ipsec1000
dans la listeAvailable Network Ports
puis cliquez sur Add. Notez l'interface créée (OPTx
). - Cliquez sur Interfaces >
OPTx
- Cochez la case Enable et donnez un nom plus précis à l'interface au champ Description.
- Vous pouvez laisser les autres champs tel quel.
- Cliquez sur Save puis Apply Changes
Sur le dashboard pfsense, vous devriez voir apparaître l'interface avec l'adresse ip du tunnel, ainsi qu'un gateway (qui correspond à l'adresse IP du node distan).
Routage
Cliquez sur System > Routing puis Static Routes.
Sur Node1 :
- Cliquez sur Add
- Au champ Destination network, entrez le range du network LAN de Node2
- Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de
_VTIV4
) - Cliquez sur Save puis Apply
Sur Node2 :
- Cliquez sur Add
- Au champ Destination network, entrez le range du network LAN de Node1
- Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de
_VTIV4
) - Cliquez sur Save puis Apply
Redirection de trafic (Policy Routing)
Vous pouvez forcer le trafic d'une IP du LAN de Node1 à transiter jusqu'à Node2 et pourquoi pas ensuite aller sur interne à partir de Node2.
Sur Node1 :
- Créez une règle Firewall LAN, définissez les différents champs comme vous le souhaitez.
- En bas de la page, cliquez sur Display Advanced.
- Définissez le champ Gateway sur la gateway de votre tunnel IPsec
- Cliquez sur Save puis Apply
A ce stade, le trafic ira jusqu'à Node2 et sortira sur internet depuis l'IP WAN de Node2 a condition que le NAT sortant de Node2 soit bien configuré en mode Automatic.
Si ce n'est pas le cas, sur Node2 :
- Cliquez sur Firewall > NAT puis Outbound
- Sélectionnez Automatic outbound NAT rule generation.
- Cliquez sur Save.
- Par défaut, en mode Automatic, pfsense créé une règle NAT sortante pour toutes les routes attribuées à une gateway IPsec.
Firewall du tunnel IPsec
Notez que la gestion du firewall pour l'ensemble de vos tunnels IPsec se fait dans l'onglet IPsec du firewall (il n'y a pas d'onglet spécifique à l'interface que vous avez créé).