[Résolu] pfSense règle trafic IPSEC.

kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

[Résolu] pfSense règle trafic IPSEC.

Message par kalistyan »

Bonjour les loulous,

Besoin de vos lumières, je n'arrive pas à comprendre...

Un VPN site à site est monté sur un Zyxel USG40.

pfSense 2.4.4-RELEASE-p2 (amd64)
FreeBSD 11.2-RELEASE-p6

Comme le confirme la capture d'écran ci-dessous, il n'y a aucune règle pour le moment.

Image

... Mais le trafic est quand même accepté, j'imagine qu'il s'agit d'une règle par défaut...?
Qui n'existait pas dans les anciennes versions, où puis-je la désactiver ? Afin de maîtriser ce qui passe dans le tunnel.

Image

Image

Merci :jap:
Dernière modification par kalistyan le sam. 19 janv. 2019 17:46, modifié 1 fois.
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: pfSense règle trafic IPSEC.

Message par Dodo29 »

:hello:

Alors j'imagine que tu as des Phases2 de configurées avec les net destinations
De mémoire, tu peux bloquer les flux que tu ne veux pas aller dans le VPN, dans les règles de pare-feu sur l'interface de départ.

Par exemple :

- Réseau local : interface LAN : 10.10.10.0/24
- Réseau distant1 (Phase2 dans la conf de l'IPSec) : 192.168.0.0/24
- Réseau distant2 (Phase2 dans la conf de l'IPSec) : 192.168.1.0/16

Si tu ne veux pas que de ton LAN on puisse aller vers 192.168.0.0/24, tu le mets dans les règles de pare-feu de l'interface LAN en bloquant.
Tu peux le faire dans l'autre sens aussi je crois, du coup dans les règles de pare-feu de l'interface IPSec. Les machines distantes ne pourront pas accéder au réseau que tu bloqueras.

Je sais pas si c'est hyper clair :lol:
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Re: pfSense règle trafic IPSEC.

Message par kalistyan »

:hello:

Rassure toi, tu as été très clair. ;)

Effectivement, Phases2 ok. :)

Je te confirme que depuis l'interface IPSec, je peux filtrer ce qui vient depuis le site B.

Concernant le trafic de A vers B, depuis quand faut-il configurer le trafic à partir de l'interface souhaitée ? Avant, tout se faisait depuis l'interface IPSec.
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: pfSense règle trafic IPSEC.

Message par Dodo29 »

Ben pour moi de toute façon tu filtres ce qui arrive sur l’interface. Donc de A vers B il faut filtrer dans les règles côté A donc LAN si ton A c’est le LAN :)
Ce qui explique que quand tu veux filtrer ce qui vient du site distant B c’est sur les règles de l’interface IPSec qu’il faut aller :)

Moi j’ai fait comme ça et ça marche :)
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: pfSense règle trafic IPSEC.

Message par Dodo29 »

PS : pour plus de clareté :

Image
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Re: pfSense règle trafic IPSEC.

Message par Zedoune »

j'ai pas trop compris le problème ici. Le VPN monte mais ça communique pas entre les 2 lan ?
Il faut ajouter 2 règles dans IPSEC, une qui autorise le trafic entrant venant du réseau local distant, et une autorisant la sortie depuis le réseau local.
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: pfSense règle trafic IPSEC.

Message par Dodo29 »

Ah non c’est pas le problème, de ce que j’ai compris.
Ça fonctionne bien (d’ailleurs c’est géré tout seul au niveau de pfsense lui même, ça)

Ce qu’il veut c’est plutôt le contraire, pour voir controller via les règles de pare-feu ce qui peut et ne peut pas passer par le VPN. Dans un sens et dans l’autre
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Re: pfSense règle trafic IPSEC.

Message par kalistyan »

:hello:

Merci à vous, mon cerveau m'a fait des blagues... Je tire trop sur la corde en ce moment.

J'ai besoin de repos.
Répondre