Page 1 sur 1
[Résolu] pfSense règle trafic IPSEC.
Publié : jeu. 17 janv. 2019 13:40
par kalistyan
Bonjour les loulous,
Besoin de vos lumières, je n'arrive pas à comprendre...
Un VPN site à site est monté sur un Zyxel USG40.
pfSense 2.4.4-RELEASE-p2 (amd64)
FreeBSD 11.2-RELEASE-p6
Comme le confirme la capture d'écran ci-dessous, il n'y a aucune règle pour le moment.
... Mais le trafic est quand même accepté, j'imagine qu'il s'agit d'une règle par défaut...?
Qui n'existait pas dans les anciennes versions, où puis-je la désactiver ? Afin de maîtriser ce qui passe dans le tunnel.
Merci
Re: pfSense règle trafic IPSEC.
Publié : jeu. 17 janv. 2019 15:09
par Dodo29
Alors j'imagine que tu as des Phases2 de configurées avec les net destinations
De mémoire, tu peux bloquer les flux que tu ne veux pas aller dans le VPN, dans les règles de pare-feu sur l'interface de départ.
Par exemple :
- Réseau local : interface LAN : 10.10.10.0/24
- Réseau distant1 (Phase2 dans la conf de l'IPSec) : 192.168.0.0/24
- Réseau distant2 (Phase2 dans la conf de l'IPSec) : 192.168.1.0/16
Si tu ne veux pas que de ton LAN on puisse aller vers 192.168.0.0/24, tu le mets dans les règles de pare-feu de l'interface LAN en bloquant.
Tu peux le faire dans l'autre sens aussi je crois, du coup dans les règles de pare-feu de l'interface IPSec. Les machines distantes ne pourront pas accéder au réseau que tu bloqueras.
Je sais pas si c'est hyper clair
Re: pfSense règle trafic IPSEC.
Publié : jeu. 17 janv. 2019 15:41
par kalistyan
Rassure toi, tu as été très clair.
Effectivement, Phases2 ok.
Je te confirme que depuis l'interface IPSec, je peux filtrer ce qui vient depuis le site B.
Concernant le trafic de A vers B, depuis quand faut-il configurer le trafic à partir de l'interface souhaitée ? Avant, tout se faisait depuis l'interface IPSec.
Re: pfSense règle trafic IPSEC.
Publié : ven. 18 janv. 2019 09:57
par Dodo29
Ben pour moi de toute façon tu filtres ce qui arrive sur l’interface. Donc de A vers B il faut filtrer dans les règles côté A donc LAN si ton A c’est le LAN
Ce qui explique que quand tu veux filtrer ce qui vient du site distant B c’est sur les règles de l’interface IPSec qu’il faut aller
Moi j’ai fait comme ça et ça marche
Re: pfSense règle trafic IPSEC.
Publié : ven. 18 janv. 2019 11:33
par Dodo29
PS : pour plus de clareté :
Re: pfSense règle trafic IPSEC.
Publié : ven. 18 janv. 2019 16:25
par Zedoune
j'ai pas trop compris le problème ici. Le VPN monte mais ça communique pas entre les 2 lan ?
Il faut ajouter 2 règles dans IPSEC, une qui autorise le trafic entrant venant du réseau local distant, et une autorisant la sortie depuis le réseau local.
Re: pfSense règle trafic IPSEC.
Publié : ven. 18 janv. 2019 18:19
par Dodo29
Ah non c’est pas le problème, de ce que j’ai compris.
Ça fonctionne bien (d’ailleurs c’est géré tout seul au niveau de pfsense lui même, ça)
Ce qu’il veut c’est plutôt le contraire, pour voir controller via les règles de pare-feu ce qui peut et ne peut pas passer par le VPN. Dans un sens et dans l’autre
Re: pfSense règle trafic IPSEC.
Publié : sam. 19 janv. 2019 17:46
par kalistyan
Merci à vous, mon cerveau m'a fait des blagues... Je tire trop sur la corde en ce moment.
J'ai besoin de repos.