Bonjour les loulous,
Besoin de vos lumières, je n'arrive pas à comprendre...
Un VPN site à site est monté sur un Zyxel USG40.
pfSense 2.4.4-RELEASE-p2 (amd64)
FreeBSD 11.2-RELEASE-p6
Comme le confirme la capture d'écran ci-dessous, il n'y a aucune règle pour le moment.
... Mais le trafic est quand même accepté, j'imagine qu'il s'agit d'une règle par défaut...?
Qui n'existait pas dans les anciennes versions, où puis-je la désactiver ? Afin de maîtriser ce qui passe dans le tunnel.
Merci
[Résolu] pfSense règle trafic IPSEC.
[Résolu] pfSense règle trafic IPSEC.
Dernière modification par kalistyan le sam. 19 janv. 2019 17:46, modifié 1 fois.
Re: pfSense règle trafic IPSEC.
Alors j'imagine que tu as des Phases2 de configurées avec les net destinations
De mémoire, tu peux bloquer les flux que tu ne veux pas aller dans le VPN, dans les règles de pare-feu sur l'interface de départ.
Par exemple :
- Réseau local : interface LAN : 10.10.10.0/24
- Réseau distant1 (Phase2 dans la conf de l'IPSec) : 192.168.0.0/24
- Réseau distant2 (Phase2 dans la conf de l'IPSec) : 192.168.1.0/16
Si tu ne veux pas que de ton LAN on puisse aller vers 192.168.0.0/24, tu le mets dans les règles de pare-feu de l'interface LAN en bloquant.
Tu peux le faire dans l'autre sens aussi je crois, du coup dans les règles de pare-feu de l'interface IPSec. Les machines distantes ne pourront pas accéder au réseau que tu bloqueras.
Je sais pas si c'est hyper clair
Re: pfSense règle trafic IPSEC.
Rassure toi, tu as été très clair.
Effectivement, Phases2 ok.
Je te confirme que depuis l'interface IPSec, je peux filtrer ce qui vient depuis le site B.
Concernant le trafic de A vers B, depuis quand faut-il configurer le trafic à partir de l'interface souhaitée ? Avant, tout se faisait depuis l'interface IPSec.
Re: pfSense règle trafic IPSEC.
Ben pour moi de toute façon tu filtres ce qui arrive sur l’interface. Donc de A vers B il faut filtrer dans les règles côté A donc LAN si ton A c’est le LAN
Ce qui explique que quand tu veux filtrer ce qui vient du site distant B c’est sur les règles de l’interface IPSec qu’il faut aller
Moi j’ai fait comme ça et ça marche
Ce qui explique que quand tu veux filtrer ce qui vient du site distant B c’est sur les règles de l’interface IPSec qu’il faut aller
Moi j’ai fait comme ça et ça marche
Re: pfSense règle trafic IPSEC.
j'ai pas trop compris le problème ici. Le VPN monte mais ça communique pas entre les 2 lan ?
Il faut ajouter 2 règles dans IPSEC, une qui autorise le trafic entrant venant du réseau local distant, et une autorisant la sortie depuis le réseau local.
Il faut ajouter 2 règles dans IPSEC, une qui autorise le trafic entrant venant du réseau local distant, et une autorisant la sortie depuis le réseau local.
Re: pfSense règle trafic IPSEC.
Ah non c’est pas le problème, de ce que j’ai compris.
Ça fonctionne bien (d’ailleurs c’est géré tout seul au niveau de pfsense lui même, ça)
Ce qu’il veut c’est plutôt le contraire, pour voir controller via les règles de pare-feu ce qui peut et ne peut pas passer par le VPN. Dans un sens et dans l’autre
Ça fonctionne bien (d’ailleurs c’est géré tout seul au niveau de pfsense lui même, ça)
Ce qu’il veut c’est plutôt le contraire, pour voir controller via les règles de pare-feu ce qui peut et ne peut pas passer par le VPN. Dans un sens et dans l’autre
Re: pfSense règle trafic IPSEC.
Merci à vous, mon cerveau m'a fait des blagues... Je tire trop sur la corde en ce moment.
J'ai besoin de repos.