[Résolu] pfSense règle trafic IPSEC.

[kalistyan]

Bonjour les loulous,

Besoin de vos lumières, je n'arrive pas à comprendre...

Un VPN site à site est monté sur un Zyxel USG40.

pfSense 2.4.4-RELEASE-p2 (amd64)
FreeBSD 11.2-RELEASE-p6

Comme le confirme la capture d'écran ci-dessous, il n'y a aucune règle pour le moment.



... Mais le trafic est quand même accepté, j'imagine qu'il s'agit d'une règle par défaut...?
Qui n'existait pas dans les anciennes versions, où puis-je la désactiver ? Afin de maîtriser ce qui passe dans le tunnel.





Merci

[Dodo29]

Alors j'imagine que tu as des Phases2 de configurées avec les net destinations
De mémoire, tu peux bloquer les flux que tu ne veux pas aller dans le VPN, dans les règles de pare-feu sur l'interface de départ.

Par exemple :

- Réseau local : interface LAN : 10.10.10.0/24
- Réseau distant1 (Phase2 dans la conf de l'IPSec) : 192.168.0.0/24
- Réseau distant2 (Phase2 dans la conf de l'IPSec) : 192.168.1.0/16

Si tu ne veux pas que de ton LAN on puisse aller vers 192.168.0.0/24, tu le mets dans les règles de pare-feu de l'interface LAN en bloquant.
Tu peux le faire dans l'autre sens aussi je crois, du coup dans les règles de pare-feu de l'interface IPSec. Les machines distantes ne pourront pas accéder au réseau que tu bloqueras.

Je sais pas si c'est hyper clair

[kalistyan]

Rassure toi, tu as été très clair.

Effectivement, Phases2 ok.

Je te confirme que depuis l'interface IPSec, je peux filtrer ce qui vient depuis le site B.

Concernant le trafic de A vers B, depuis quand faut-il configurer le trafic à partir de l'interface souhaitée ? Avant, tout se faisait depuis l'interface IPSec.

[Dodo29]

Ben pour moi de toute façon tu filtres ce qui arrive sur l’interface. Donc de A vers B il faut filtrer dans les règles côté A donc LAN si ton A c’est le LAN
Ce qui explique que quand tu veux filtrer ce qui vient du site distant B c’est sur les règles de l’interface IPSec qu’il faut aller

Moi j’ai fait comme ça et ça marche

[Dodo29]

PS : pour plus de clareté :

[Zedoune]

j'ai pas trop compris le problème ici. Le VPN monte mais ça communique pas entre les 2 lan ?
Il faut ajouter 2 règles dans IPSEC, une qui autorise le trafic entrant venant du réseau local distant, et une autorisant la sortie depuis le réseau local.

[Dodo29]

Ah non c’est pas le problème, de ce que j’ai compris.
Ça fonctionne bien (d’ailleurs c’est géré tout seul au niveau de pfsense lui même, ça)

Ce qu’il veut c’est plutôt le contraire, pour voir controller via les règles de pare-feu ce qui peut et ne peut pas passer par le VPN. Dans un sens et dans l’autre

[kalistyan]

Merci à vous, mon cerveau m'a fait des blagues... Je tire trop sur la corde en ce moment.

J'ai besoin de repos.