4 203
modifications
« Routed IPsec (VTI) with pfsense » : différence entre les versions
Aller à la navigation
Aller à la recherche
Routed IPsec (VTI) with pfsense (voir la source)
Version du 31 décembre 2019 à 00:53
, 31 décembre 2019→Redirection de trafic (Policy Routing)
| (13 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
Cette fonctionnalité | [[Category:serveur]] | ||
[[Category:pfsense]] | |||
[[Category:networking]] | |||
[[Category:VPN]] | |||
[[Category:IPsec]] | |||
Cette nouvelle fonctionnalité, disponible depuis pfsense 2.4.4, permet de s'affranchir de la définition des (parfois très nombreuses) associations d'IPs au niveau de la configuration des Phases 2 IPsec. Avec VTI, on ne défini qu'une seule Phase 2, puis on gère les subnets ou IPs à diriger vers le tunnel IPsec avec la table de routage de pfsense. | |||
Il vous faut définir un network de transit. Typiquement on peut utiliser un /30 étant donné qu'on a besoin que de deux IPs (une pour chaque extrémité du lien IPsec). Dans ce exemple nous allons utiliser <code>10.6.6.1/30</code>. | Il vous faut définir un network de transit. Typiquement on peut utiliser un /30 étant donné qu'on a besoin que de deux IPs (une pour chaque extrémité du lien IPsec). Dans ce exemple nous allons utiliser <code>10.6.6.1/30</code>. | ||
=Configuration IPsec= | =Configuration IPsec Phase 2= | ||
Sur Node1, créez une entrée IPsec Phase 2 avec : | Sur Node1, créez une entrée IPsec Phase 2 avec : | ||
| Ligne 28 : | Ligne 34 : | ||
* Cliquez sur Save puis Apply Changes | * Cliquez sur Save puis Apply Changes | ||
Sur le dashboard pfsense, vous devriez voir apparaître l'interface avec l'adresse ip du tunnel, ainsi qu' | Sur le dashboard pfsense, vous devriez voir apparaître l'interface avec l'adresse ip locale du tunnel, ainsi qu'une gateway (qui correspond à l'adresse IP distante du tunnel). | ||
=Routage= | =Routage= | ||
Cliquez sur System > Routing puis Static Routes. | Cliquez sur System > Routing puis Static Routes. | ||
<br><br> | |||
Sur Node1 : | Sur Node1 : | ||
* Cliquez sur Add | * Cliquez sur Add | ||
| Ligne 39 : | Ligne 45 : | ||
* Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de <code>_VTIV4</code>) | * Au champ Gateway, sélectionnez la gateway IPsec (elle a le même nom que l'interface que vous avez créez suffixé de <code>_VTIV4</code>) | ||
* Cliquez sur Save puis Apply | * Cliquez sur Save puis Apply | ||
<br> | |||
Sur Node2 : | Sur Node2 : | ||
* Cliquez sur Add | * Cliquez sur Add | ||
| Ligne 48 : | Ligne 54 : | ||
==Redirection de trafic (Policy Routing)== | ==Redirection de trafic (Policy Routing)== | ||
Vous pouvez forcer le trafic d'une IP du LAN de Node1 à transiter jusqu'à Node2 et pourquoi pas ensuite aller sur | Vous pouvez forcer le trafic d'une IP du LAN de Node1 à transiter jusqu'à Node2 et pourquoi pas ensuite aller sur internet à partir de Node2. | ||
Sur Node1 : | Sur Node1 : | ||
* Créez une règle Firewall LAN, définissez les différents champs comme vous le souhaitez. | * Créez une règle Firewall LAN, définissez les différents champs comme vous le souhaitez pour matcher le traffic voulu. | ||
* En bas de la page, cliquez sur Display Advanced. | * En bas de la page, cliquez sur Display Advanced. | ||
* Définissez le champ Gateway sur la gateway de votre tunnel IPsec | * Définissez le champ Gateway sur la gateway de votre tunnel IPsec | ||
* Cliquez sur Save puis Apply | * Cliquez sur Save puis Apply | ||
A ce stade, le trafic ira jusqu'à Node2 et sortira sur internet depuis l'IP WAN de Node2 a condition que le NAT sortant de Node2 soit bien configuré en mode Automatic. | A ce stade, le trafic ira jusqu'à Node2 et sortira sur internet depuis l'IP WAN de Node2 a condition que le NAT sortant de Node2 soit bien configuré en mode Automatic ou Hybrid. | ||
Si ce n'est pas le cas, sur Node2 : | Si ce n'est pas le cas, sur Node2 : | ||
* Cliquez sur Firewall > NAT puis Outbound | * Cliquez sur Firewall > NAT puis Outbound | ||
* Sélectionnez Automatic outbound NAT rule generation | * Sélectionnez soit <code>Automatic outbound NAT rule generation</code> soit <code>Hybrid Outbound NAT rule generation</code> | ||
* Cliquez sur Save. | * Cliquez sur Save. | ||
En mode Automatic, pfsense créé une règle NAT sortante pour toutes les routes attribuées à une gateway IPsec. | |||
Le mode hybrid fonctionne comme le mode automatique, mais permet également d'ajouter des règles personnalisés (qui sont traitées avant les règles automatiques) | |||
=Firewall du tunnel IPsec= | =Firewall du tunnel IPsec= | ||
Notez que la gestion du firewall pour l'ensemble de vos tunnels IPsec se fait dans l'onglet IPsec du firewall (il n'y a pas d'onglet spécifique à l'interface que vous avez créé). | Notez que la gestion du firewall pour l'ensemble de vos tunnels IPsec se fait dans l'onglet IPsec du firewall (il n'y a pas d'onglet spécifique à l'interface que vous avez créé). | ||