4 242
modifications
(17 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
Cette fonctionnalité | [[Category:serveur]] | ||
[[Category:pfsense]] | |||
[[Category:networking]] | |||
[[Category:VPN]] | |||
[[Category:IPsec]] | |||
Cette nouvelle fonctionnalité, disponible depuis pfsense 2.4.4, permet de s'affranchir de la définition des (parfois très nombreuses) associations d'IPs au niveau de la configuration des Phases 2 IPsec. Avec VTI, on ne défini qu'une seule Phase 2, puis on gère les subnets ou IPs à diriger vers le tunnel IPsec avec la table de routage de pfsense. | |||
Il vous faut définir un network de transit. Typiquement on peut utiliser un /30 étant donné qu'on a besoin que de deux IPs (une pour chaque extrémité du lien IPsec). Dans ce exemple nous allons utiliser <code>10.6.6.1/30</code>. | Il vous faut définir un network de transit. Typiquement on peut utiliser un /30 étant donné qu'on a besoin que de deux IPs (une pour chaque extrémité du lien IPsec). Dans ce exemple nous allons utiliser <code>10.6.6.1/30</code>. | ||
=Configuration IPsec= | =Configuration IPsec Phase 2= | ||
Sur Node1, créez une entrée IPsec Phase 2 avec : | Sur Node1, créez une entrée IPsec Phase 2 avec : | ||
Ligne 28 : | Ligne 34 : | ||
* Cliquez sur Save puis Apply Changes | * Cliquez sur Save puis Apply Changes | ||
Sur le dashboard pfsense, vous devriez voir apparaître l'interface avec l'adresse ip du tunnel, ainsi qu' | Sur le dashboard pfsense, vous devriez voir apparaître l'interface avec l'adresse ip locale du tunnel, ainsi qu'une gateway (qui correspond à l'adresse IP distante du tunnel). | ||
=Routage= | =Routage= | ||
Cliquez sur System > Routing puis Static Routes. | Cliquez sur System > Routing puis Static Routes. | ||
<br><br> | |||
Sur Node1 : | Sur Node1 : | ||
* Cliquez sur Add | * Cliquez sur Add | ||
Ligne 39 : | Ligne 45 : | ||
* Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de <code>_VTIV4</code>) | * Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de <code>_VTIV4</code>) | ||
* Cliquez sur Save puis Apply | * Cliquez sur Save puis Apply | ||
<br> | |||
Sur Node2 : | Sur Node2 : | ||
* Cliquez sur Add | * Cliquez sur Add | ||
Ligne 45 : | Ligne 51 : | ||
* Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de <code>_VTIV4</code>) | * Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de <code>_VTIV4</code>) | ||
* Cliquez sur Save puis Apply | * Cliquez sur Save puis Apply | ||
==Redirection de trafic (Policy Routing)== | |||
Vous pouvez forcer le trafic d'une IP du LAN de Node1 à transiter jusqu'à Node2 et pourquoi pas ensuite aller sur internet à partir de Node2. | |||
Sur Node1 : | |||
* Créez une règle Firewall LAN, définissez les différents champs comme vous le souhaitez pour matcher le traffic voulu. | |||
* En bas de la page, cliquez sur Display Advanced. | |||
* Définissez le champ Gateway sur la gateway de votre tunnel IPsec | |||
* Cliquez sur Save puis Apply | |||
A ce stade, le trafic ira jusqu'à Node2 et sortira sur internet depuis l'IP WAN de Node2 a condition que le NAT sortant de Node2 soit bien configuré en mode Automatic ou Hybrid. | |||
Si ce n'est pas le cas, sur Node2 : | |||
* Cliquez sur Firewall > NAT puis Outbound | |||
* Sélectionnez soit <code>Automatic outbound NAT rule generation</code> soit <code>Hybrid Outbound NAT rule generation</code> | |||
* Cliquez sur Save. | |||
En mode Automatic, pfsense créé une règle NAT sortante pour toutes les routes attribuées à une gateway IPsec. | |||
Le mode hybrid fonctionne comme le mode automatique, mais permet également d'ajouter des règles personnalisés (qui sont traitées avant les règles automatiques) | |||
=Firewall du tunnel IPsec= | |||
Notez que la gestion du firewall pour l'ensemble de vos tunnels IPsec se fait par défaut dans l'onglet <code>IPsec</code> du firewall (il n'y a pas d'onglet spécifique à l'interface que vous avez créé). | |||
Cela peut se modifier dans la configuration <code>Advanced Settings</code> de IPsec en modifiant l'option <code>IPsec Filter Mode</code> |