Aller au contenu

VPN Site to site entre 2 RT2600 ?


Tex5

Messages recommandés

Merci,

 

je viens de modifier l'adressage LAN de la Freebox 2 mais cela en change rien

 

Ma configuration :

Site 1 :

Freebox POP adresse IP WAN: IP1 fixe full stack configurée en mode DMZ vers le RT2600 avec UPnP désactivé

Routeur RT2600 1 : IP WAN: 192.168.1.2

IP LAN: 192.168.5.1

Le VPN Syno SSL est configuré sur ce RT2600, ce qui me permet depuis le site 2 de faire des modifications sur les 2 RT2600

----------

Site 2 :

Freebox POP adresse IP WAN: IP2 fixe full stack configuré en mode DMZ vers le RT2600 avec UPnP désactivé

Routeur RT2600 2 : IP WAN: 192.168.99.2  sans domaine

IP LAN: 192.168.10.1

------------------------------

Sur les 2 RT2600 j'ai les règles parefeu suivantes :

TCP/UDP  source toute IP et tout port ; cible SRM ports 500 et 4500

 

Sur le VPN site to site du RT1, j'ai  :

  • Nom de profil : profil
  • Clé pré-partagée : clé identique sur les 2 RT
  • Activer cette connexion : cochée
  • Activer la validation DNSSEC : cochée
  • Site local :
    • IP sortante : 192.168.1.2
    • ID local : IP1
    • Sous-réseau privé : 192.168.5.10/24
  • Site distant :
    • Adresse IP/FQDN : IP2
    • ID distant : IP2
    • Sous-réseau privé : 192.168.10.0/24
  • Dead Peer Detection :
    • Activer : cochez cette case pour activer Dead Peer Detection (DPD).
      • Délai DPD : 30
      • Expiration DPD : 120

----------------------------

Sur le VPN site to site du RT2, j'ai  :

  • Nom de profil : profil
  • Clé pré-partagée : clé identique sur les 2 RT
  • Activer cette connexion : cochée
  • Activer la validation DNSSEC : cochée
  • Site local :
    • IP sortante :192.168.99.2
    • ID local : IP2
    • Sous-réseau privé : 192.168.10.0/24
  • Site distant :
    • Adresse IP/FQDN :IP1
    • ID distant : IP1
    • Sous-réseau privé : 192.168.5.0/24
  • Dead Peer Detection :
    • Activer : cochez cette case pour activer Dead Peer Detection (DPD).
      • Délai DPD : 30
      • Expiration DPD : 120

 

Modifié par Tex5
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Tex5 a dit :

Sur les 2 RT2600 j'ai les règles parefeu suivantes :

TCP/UDP  source toute IP et tout port ; cible SRM ports 500 et 4500

Pour plus de sécurité, il ne faut autoriser que l'adresse IP publique du site distant comme source, et n'autoriser que le protocole UDP (isakmp:udp/500 et isakmp-natt:udp/4500).

Est-ce que les adresses IP WAN des deux RT sont fixes ? (ou définies par un bail statique dans la configuration DHCP de la box)

Est-ce que toutes les configurations VPN des Freebox sont bien désactivés ?

Quelques corrections (mais je pense que ce ne sont que des fautes de frappe) :

il y a une heure, Tex5 a dit :

Sur le VPN site to site du RT1, j'ai  :

  • Nom de profil : profil
  • Clé pré-partagée : clé identique sur les 2 RT
  • Activer cette connexion : cochée
  • Activer la validation DNSSEC : cochée
  • Site local :
    • IP sortante : 192.168.1.2
    • ID local : IP1
    • Sous-réseau privé : 192.168.5.10:24 > 192.168.5.0/24
  • ...

----------------------------

Sur le VPN site to site du RT2, j'ai  :

  • Nom de profil : profil
  • Clé pré-partagée : clé identique sur les 2 RT
  • Activer cette connexion : cochée
  • Activer la validation DNSSEC : cochée
  • Site local :
    • IP sortante :192.168.99.2 > 192.168.9.2 (d'après ce qui est indiqué plus haut)
    • ID local : IP2
    • ...

Sinon les configurations me semblent bonnes.

Tu peux voir le trafic VPN en utilisant la commande tcpdump (en root) sur l'un des RT (ou les deux) :

tcpdump -Anqi eth0 'udp port (500 or 4500)'

 

Lien vers le commentaire
Partager sur d’autres sites

Merci pour tes efforts.

J'ai corrigé les fautes de frappes.

Mes 2 IP sont fixes full stack

J'ai changé les règles Firewall comme tu l'indiques!

Cela ne change malheureusement pas le résultat.

Ce que je ne comprends pas c'est pourquoi via les outils réseaux SRM, je n'arrive pas à pinger l'IP publique de l'autre site.

Pourtant je suis sur le site 2 et j'arrive à me connecter en VPN sur le site 1. Donc la route réseau existe.

 

Je n'ai pas d'accès SSH sur le PC de pret que j'utilise, je vais regarder pour installer un client.

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Tex5 a dit :

Ce que je ne comprends pas c'est pourquoi via les outils réseaux SRM, je n'arrive pas à pinger l'IP publique de l'autre site.

Bonjour,

Je ne comprend pas ce que tu souhaite faire?

Si tu souhaites faire un ping de l'IP publique de l'autre site cela passera par internet donc il faut autoriser le ping sur ta box ou autoriser le ping sur le routeur synology si il est en DMZ (créer une règle ICMP dans le pare-feu, par exemple limité a l'IP publique de l'autre site)

il y a 15 minutes, Tex5 a dit :

Pourtant je suis sur le site 2 et j'arrive à me connecter en VPN sur le site 1. Donc la route réseau existe.

Donc le VPN site-to-site fonctionne?

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Non le VPN site à site ne fonctionne toujours pas (connexion en cours)

J'arrive par contre depuis le site 2 à me connecter au VPN plus (SSL) configuré sur le routeur du site 1.

Le ping c'est juste que j'essayais de faire des contrôles. avec un tracert pour essayer de voir d'où vient le soucis J'ai bien mis la réponse au ping sur les 2 Freebox.

Ce qui m'étonne c'est qu'en toute logique, depuis le routeur du site 2 je devrait pouvoir avoir une réponse au ping de l'adresse publique 1

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, maxou56 a dit :

La connexion VPN du client VPN du routeur est bien désactivé ou pas mis en première position?

Non, j'utilise la connexion VPN pour faire les contrôles et les modifs sur le RT distant du site 1

Je viens de mettre en premier sur les 2 routeurs la règle UDP 500,4500 mais sans plus de résultat

Lien vers le commentaire
Partager sur d’autres sites

il y a 36 minutes, Tex5 a dit :

Non, j'utilise la connexion VPN pour faire les contrôles et les modifs sur le RT distant du site 1

Ok, mais le VPN est en 1er dans l'ordre des connexion (toute la connexion passe par le VPN)?

Si oui c'est normal que le VPN site to site ne fonctionne pas.

 

Edit: 2 Possibilités:

Tu dois pouvoir laisser le VPN en premier (pas testé), et dans Centre réseau > Internet > Smart WAN > chemin stratégique tu créais une règle IP Source vide (=0.0.0.0/0 = tout) > IP de destination, mettre l'IP publique du site disant > WAN

Mettre le VPN en 2, 3, 4éme position, puis dans Centre réseau > Internet > Smart WAN > chemin stratégique créer un ou plusieurs régles 0.0.0.0/0 > les plages IP du site distant (par exemple 192.168.1.0/24) > VPN

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Le pare-feu pour le VPN semble OK.

Par contre le DNS ou le NTP? pourquoi tu y accèdes à distance? Sinon tu n'as pas besoin de l'ouvrir au monde entier.

 

Mais tu répond toujours pas à la question, sur l'ordre des connexions internet?

Car si le VPN est en premier dans l'ordre des connexion internet, le VPN site top site ne peut pas directement fonctionner (j'ai éditer le message précédent)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Pour le DNS et le NTP j'avoue que je ne sais pas trop. Je vais surement les supprimer du coup

Comment vérifie-t-on l'ordre des règles ? Je pensais que c'était la première ligne en premier

 

 

Edit

Je viens de voir que dans internet/connexion on peut mettre des paramètres VPN. Il faut y toucher ?

Modifié par Tex5
Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Tex5 a dit :

Comment vérifie-t-on l'ordre des règles ? Je pensais que c'était la première ligne en premier

Je ne parlais pas du pare-feu.

Mais de l'ordre des connexions internet dans Centre réseau > Internet > Smart WAN ou dans Centre réseau > Internet > Smart WAN > Priorité de l'interface.

 

Car si tout passe par le VPN (VPN en 1er), il y a un tunnel entre ton routeur et le site distant, donc tu ne peux plus accéder à ce routeur par la connexion normal (IP publique).

 

Edit:

il y a 15 minutes, Tex5 a dit :

Je viens de voir que dans internet/connexion on peut mettre des paramètres VPN. Il faut y toucher ?

J'ai déjà expliqué si le VPN est en 1er tu ne plus accéder à ton Routeur depuis ton IP Publique (Ton routeur est connecté sur l'autre site avec l'IP public de l'autre site)

il y a 34 minutes, maxou56 a dit :

2 Possibilités:

Tu dois pouvoir laisser le VPN en premier (pas testé), et dans Centre réseau > Internet > Smart WAN > chemin stratégique tu créais une règle IP Source vide (=0.0.0.0/0 = tout) > IP de destination, mettre l'IP publique du site disant > WAN

Mettre le VPN en 2, 3, 4éme position, puis dans Centre réseau > Internet > Smart WAN > chemin stratégique créer un ou plusieurs régles 0.0.0.0/0 > les plages IP du site distant (par exemple 192.168.1.0/24) > VPN

Pour modifier l'ordre c'est dans 

il y a 10 minutes, maxou56 a dit :

dans Centre réseau > Internet > Smart WAN > Priorité de l'interface.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Désolé je n'avais pas compris

A ce stade je n'ai rien de configuré de spécifique

J'ai ça sur le RT du Site 1

image.png.54c6fdfa84d2c0301159e0f872e9929a.png

 

Et ça sur le RT du site 2 :

image.png.c4566b23622592f47926c57035a45684.png

 

Je viens aussi de découvrir

image.png.107a7102d0520803806f8946d404fa7a.png

Il faut configurer qqch sur ces paramètres VPN ?

 

Le VPN que j'utilise pour me connecter à distance sur mon RT du site 1 c'est ça :

image.thumb.png.3fd19b401338e1870b56dfc0ce305054.png

 

 

 

image.png

Modifié par Tex5
Lien vers le commentaire
Partager sur d’autres sites

Désolé 🙁 je viens de comprendre tu es connecté en VPN depuis un PC/smartphone... J'avais cru que tu étais connecté en VPN depuis le client VPN du Routeur (Centre réseau > Internet > paramètres VPN).

Donc oublis ce que j'ai dit, encore désolé.

 

Le Site 1 semble OK, car tu accèdes bien via le VPN SSL. Il faudrais vérifier que la configuration du Site 2 est correct.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, maxou56 a dit :

Désolé 🙁 je viens de comprendre tu es connecté en VPN depuis un PC/smartphone... J'avais cru que tu étais connecté en VPN depuis le client VPN du Routeur (Centre réseau > Internet > paramètres VPN).

Donc oublis ce que j'ai dit, encore désolé.

 

Le Site 1 semble OK, car tu accèdes bien via le VPN SSL. Il faudrais vérifier que la configuration du Site 2 est correct.

Ne t'excuse pas. Tu prends du temps pour m'aider 😉

J'avoue que je ne sais plus quoi vérifier sur le site 2

image.thumb.png.077e2c83e7bb61149ab3c18b4baca1a0.png

 

image.png.c4566b23622592f47926c57035a45684.png

image.png.162cbe48b01693982e978a2d003154a6.png

1er bleu :  IP2

2nd et 3ème bleu : IP1

 

image.png.fae69d49855f08c63b8edf9b248344eb.png

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

J'ai activé SSH sur mes RT mais impossible de se connecter.

j'essaye de le logguer avec mon compte admin et une fois le mot de passe renseigné il me dit access denied.

Il y a une astuce ?

Je suis en SRM 1.2.5-8227 Update 5. Est ce que passer en 1.3.1 RC pourrait résoudre mes soucis ?

Lien vers le commentaire
Partager sur d’autres sites

Je suis passé en 1.3.1 Update 1 sur le site 2. Depuis j'arrive à accèder en SSH au routeur. je vois bien des trames mais toujours aucune connexion établie entre mes 2 sites.

Je ne suis pas très chaud pour faire la montée 1.3.1 sur le routeur 1 à distance depuis le VPN, cela attendra donc que je sois sur place.

Lien vers le commentaire
Partager sur d’autres sites

Bon ba comme disait Jean-Claude Dusse : "c'est mes yeux ou quoi ?"

Et bien oui, à force de lire ce que j'avais en tête je n'avais pas vu une coquille dans une IP. Une fois corrigée, le Sesame arrive avec un status "connecté" 😍

Quel boulet !!! 😱

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.