https://wiki.kogite.fr/index.php?action=history&feed=atom&title=PfSense_%3A_tunnel_IPSecPfSense : tunnel IPSec - Historique des versions2026-06-23T20:58:56ZHistorique des versions pour cette page sur le wikiMediaWiki 1.30.0https://wiki.kogite.fr/index.php?title=PfSense_:_tunnel_IPSec&diff=6237&oldid=prevFrank le 1 juillet 2015 à 09:092015-07-01T09:09:22Z<p></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr style="vertical-align: top;" lang="fr">
<td colspan="2" style="background-color: white; color:black; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: white; color:black; text-align: center;">Version du 1 juillet 2015 à 09:09</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l61" >Ligne 61 :</td>
<td colspan="2" class="diff-lineno">Ligne 61 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Si personne n'est sensé se connecter de l'extérieur (seul les serveur local utilisent le VPN pour se connecter au réseau du client), il suffit de ne pas créer de règle à ce niveau. Ainsi, aucun trafic entant ne sera autorisé.</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Si personne n'est sensé se connecter de l'extérieur (seul les serveur local utilisent le VPN pour se connecter au réseau du client), il suffit de ne pas créer de règle à ce niveau. Ainsi, aucun trafic entant ne sera autorisé.</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Dans Status > IPSec<del class="diffchange diffchange-inline">, </del>vérifier que le VPN est connecté. Sinon le relancer avec le bouton à droite</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Dans</div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>Status > IPSec</div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>vérifier que le VPN est connecté. Sinon le relancer avec le bouton à droite</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>= Ressources =</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>= Ressources =</div></td></tr>
</table>Frankhttps://wiki.kogite.fr/index.php?title=PfSense_:_tunnel_IPSec&diff=6236&oldid=prevFrank : Page créée avec « = Configuration = S'assurer qu'IPSec est lancé des 2 côtés. Sur PFSense : VPN > IPSEC > onglet Tunnels cocher "Enable IPsec" et sauver. == Phase 1 == touche "+" à ga... »2015-07-01T09:08:32Z<p>Page créée avec « = Configuration = S'assurer qu'IPSec est lancé des 2 côtés. Sur PFSense : VPN > IPSEC > onglet Tunnels cocher "Enable IPsec" et sauver. == Phase 1 == touche "+" à ga... »</p>
<p><b>Nouvelle page</b></p><div>= Configuration =<br />
S'assurer qu'IPSec est lancé des 2 côtés. Sur PFSense :<br />
VPN > IPSEC > onglet Tunnels<br />
cocher "Enable IPsec" et sauver.<br />
<br />
== Phase 1 ==<br />
touche "+" à gauche pour générer la phase 1 (routage + authentification)<br />
# donner l'IP du routeur/firewall distant<br />
# générer une "pre-shared key" : une phrase secrète suffisamment longue (mini 20 car.). Elle doit être identique des 2 côté, donc idéalement récupérer celle que le client a généré sur son routeur. Ou générer ici par exemple :http://www.kurtm.net/wpa-pskgen/.<br />
# choisir le cryptage 3DES pour plus de compatibilité avec d'autres routeurs<br />
laisser le reste par défaut<br />
# sauver<br />
<br />
== Phase 2 ==<br />
=== Réseau à réseau - accès direct ===<br />
<br />
Pour un accès sans translation d'adresses (NAT), par exemple, un réseau client 192.168.1.0/24 veut accéder au réseau 192.168.0.0/24 local.<br />
<br />
réseau client ---> routeur <-----> Internet <------> PFSense <--- réseau local<br />
<br />
192.168.1.0/24 <--------------------------------------------------------------> 192.168.0.0/24<br />
<br />
A partir de son réseau 192.168.1.xx, le client accès au serveur par 192.168.0.xx<br />
<br />
Sur l'onglet Tunnels, cliquer sur "+" (à côté de "- Show 0 Phase-2 entries") pour générer la phase 2 (le VPN lui-même), puis "+" à droite sur la nouvelle ligne créée<br />
# indiquer dans "Local network" :<br />
## soit "LAN subnet" pour un accès total réseau à réseau<br />
## soit "Address" avec l'IP d'un serveur qui sera seul accessible à partir de l'autre réseau<br />
# indiquer la plage du réseau LAN de l'autre réseau (Remote network)<br />
# choisir le cryptage 3DES<br />
# dans Hash algorithms laisser SHA1<br />
# dans PFS key group chois "2 (1024 bits)"<br />
# Sauver<br />
<br />
=== Réseau à réseau - accès NATé ===<br />
Pour un accès avec translation d'adresses (NAT), par exemple, un réseau client 192.168.0.0/24 veut accéder au réseau 192.168.0.0/24 local, impossible car ce sont les mêmes plages. Ou bien, on veut que chaque client accède au réseau (ou un serveur) local par une plage 172.16 différente pour chacun.<br />
<br />
<br />
réseau client ---> routeur <------> Internet <-------> PFSense <--- réseau local<br />
<br />
192.168.0.0/24 <-------------------------------------------> NAT 192.0 <-------> 192.168.0.0/24<br />
<br />
A partir de son réseau 192.168.0.xx, le client accède au serveur par 172.16.0.xx (les IPs sont NATées 1 pour 1, c'est à dire que l'IP 172.16.0.1 correspondra à 192.168.0.1. C'est pourquoi le masque de la plage NAT (172.16) doit correspondre à la plage du réseau local (192.168), ici /24.<br />
<br />
Sur l'onglet Tunnels, cliquer sur "+" pour générer la phase 2, puis "+" à droite sur la nouvelle ligne créée<br />
# indiquer dans "Local network" :<br />
## soit "LAN subnet" pour un accès total réseau à réseau<br />
## soit "Address" avec l'IP d'un serveur qui sera seul accessible à partir de l'autre réseau<br />
# indiquer dans le deuxième champ de Local network la plage ou l'adresse IP NATée (attention à donner le même masque que le LAN)<br />
# indiquer la plage du réseau LAN de l'autre réseau (Remote network)<br />
# choisir le cryptage 3DES<br />
# dans Hash algorithms laisser SHA1<br />
# dans PFS key group chois "2 (1024 bits)"<br />
# Sauver<br />
<br />
== Règle firewall ==<br />
Si on doit autoriser les réseaux distants à se connecter au réseau local, créer une règle pour IPSec :<br />
Firewall > Rules > onglet IPSec (n'apparait que si "Enable IPSec" a été coché)<br />
Créer une règle source "any" vers destination "any" (donc tout par défaut)<br />
<br />
Si personne n'est sensé se connecter de l'extérieur (seul les serveur local utilisent le VPN pour se connecter au réseau du client), il suffit de ne pas créer de règle à ce niveau. Ainsi, aucun trafic entant ne sera autorisé.<br />
<br />
Dans Status > IPSec, vérifier que le VPN est connecté. Sinon le relancer avec le bouton à droite<br />
<br />
= Ressources =<br />
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel<br />
<br />
http://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/</div>Frank