VPN Site to site entre 2 RT2600 ?

[Tex5]

Merci,

 

je viens de modifier l'adressage LAN de la Freebox 2 mais cela en change rien

 

Ma configuration :

Site 1 :

Freebox POP adresse IP WAN: IP1 fixe full stack configurée en mode DMZ vers le RT2600 avec UPnP désactivé

Routeur RT2600 1 : IP WAN: 192.168.1.2

IP LAN: 192.168.5.1

Le VPN Syno SSL est configuré sur ce RT2600, ce qui me permet depuis le site 2 de faire des modifications sur les 2 RT2600

----------

Site 2 :

Freebox POP adresse IP WAN: IP2 fixe full stack configuré en mode DMZ vers le RT2600 avec UPnP désactivé

Routeur RT2600 2 : IP WAN: 192.168.99.2  sans domaine

IP LAN: 192.168.10.1

------------------------------

Sur les 2 RT2600 j'ai les règles parefeu suivantes :

TCP/UDP  source toute IP et tout port ; cible SRM ports 500 et 4500

 

Sur le VPN site to site du RT1, j'ai  :

• Nom de profil : profil
• Clé pré-partagée : clé identique sur les 2 RT
• Activer cette connexion : cochée
• Activer la validation DNSSEC : cochée
• Site local :
  • IP sortante : 192.168.1.2
  • ID local : IP1
  • Sous-réseau privé : 192.168.5.10/24
• Site distant :
  • Adresse IP/FQDN : IP2
  • ID distant : IP2
  • Sous-réseau privé : 192.168.10.0/24
• Dead Peer Detection :
  • Activer : cochez cette case pour activer Dead Peer Detection (DPD).
    • Délai DPD : 30
    • Expiration DPD : 120

----------------------------

Sur le VPN site to site du RT2, j'ai  :

• Nom de profil : profil
• Clé pré-partagée : clé identique sur les 2 RT
• Activer cette connexion : cochée
• Activer la validation DNSSEC : cochée
• Site local :
  • IP sortante :192.168.99.2
  • ID local : IP2
  • Sous-réseau privé : 192.168.10.0/24
• Site distant :
  • Adresse IP/FQDN :IP1
  • ID distant : IP1
  • Sous-réseau privé : 192.168.5.0/24
• Dead Peer Detection :
  • Activer : cochez cette case pour activer Dead Peer Detection (DPD).
    • Délai DPD : 30
    • Expiration DPD : 120

 

Modifié le 11 août 2022 par Tex5

[PiwiLAbruti]

il y a une heure, Tex5 a dit :

Sur les 2 RT2600 j'ai les règles parefeu suivantes :

TCP/UDP  source toute IP et tout port ; cible SRM ports 500 et 4500

Pour plus de sécurité, il ne faut autoriser que l'adresse IP publique du site distant comme source, et n'autoriser que le protocole UDP (isakmp:udp/500 et isakmp-natt:udp/4500).

Est-ce que les adresses IP WAN des deux RT sont fixes ? (ou définies par un bail statique dans la configuration DHCP de la box)

Est-ce que toutes les configurations VPN des Freebox sont bien désactivés ?

Quelques corrections (mais je pense que ce ne sont que des fautes de frappe) :

il y a une heure, Tex5 a dit :

Sur le VPN site to site du RT1, j'ai  :

• Nom de profil : profil
• Clé pré-partagée : clé identique sur les 2 RT
• Activer cette connexion : cochée
• Activer la validation DNSSEC : cochée
• Site local :
  • IP sortante : 192.168.1.2
  • ID local : IP1
  • Sous-réseau privé : 192.168.5.10:24 > 192.168.5.0/24
• ...

----------------------------

Sur le VPN site to site du RT2, j'ai  :

• Nom de profil : profil
• Clé pré-partagée : clé identique sur les 2 RT
• Activer cette connexion : cochée
• Activer la validation DNSSEC : cochée
• Site local :
  • IP sortante :192.168.99.2 > 192.168.9.2 (d'après ce qui est indiqué plus haut)
  • ID local : IP2
  • ...

Sinon les configurations me semblent bonnes.

Tu peux voir le trafic VPN en utilisant la commande tcpdump (en root) sur l'un des RT (ou les deux) :

tcpdump -Anqi eth0 'udp port (500 or 4500)'

 

[Tex5]

Merci pour tes efforts.

J'ai corrigé les fautes de frappes.

Mes 2 IP sont fixes full stack

J'ai changé les règles Firewall comme tu l'indiques!

Cela ne change malheureusement pas le résultat.

Ce que je ne comprends pas c'est pourquoi via les outils réseaux SRM, je n'arrive pas à pinger l'IP publique de l'autre site.

Pourtant je suis sur le site 2 et j'arrive à me connecter en VPN sur le site 1. Donc la route réseau existe.

 

Je n'ai pas d'accès SSH sur le PC de pret que j'utilise, je vais regarder pour installer un client.

[maxou56]

il y a 15 minutes, Tex5 a dit :

Ce que je ne comprends pas c'est pourquoi via les outils réseaux SRM, je n'arrive pas à pinger l'IP publique de l'autre site.

Bonjour,

Je ne comprend pas ce que tu souhaite faire?

Si tu souhaites faire un ping de l'IP publique de l'autre site cela passera par internet donc il faut autoriser le ping sur ta box ou autoriser le ping sur le routeur synology si il est en DMZ (créer une règle ICMP dans le pare-feu, par exemple limité a l'IP publique de l'autre site)

il y a 15 minutes, Tex5 a dit :

Pourtant je suis sur le site 2 et j'arrive à me connecter en VPN sur le site 1. Donc la route réseau existe.

Donc le VPN site-to-site fonctionne?

Modifié le 11 août 2022 par maxou56

[Tex5]

Non le VPN site à site ne fonctionne toujours pas (connexion en cours)

J'arrive par contre depuis le site 2 à me connecter au VPN plus (SSL) configuré sur le routeur du site 1.

Le ping c'est juste que j'essayais de faire des contrôles. avec un tracert pour essayer de voir d'où vient le soucis J'ai bien mis la réponse au ping sur les 2 Freebox.

Ce qui m'étonne c'est qu'en toute logique, depuis le routeur du site 2 je devrait pouvoir avoir une réponse au ping de l'adresse publique 1

 

[maxou56]

il y a 7 minutes, Tex5 a dit :

Non le VPN site à site ne fonctionne toujours pas (connexion en cours)

La connexion VPN du client VPN du routeur est bien désactivé ou pas mise en première position?

Modifié le 11 août 2022 par maxou56

[Tex5]

il y a 3 minutes, maxou56 a dit :

La connexion VPN du client VPN du routeur est bien désactivé ou pas mis en première position?

Non, j'utilise la connexion VPN pour faire les contrôles et les modifs sur le RT distant du site 1

Je viens de mettre en premier sur les 2 routeurs la règle UDP 500,4500 mais sans plus de résultat

[maxou56]

il y a 36 minutes, Tex5 a dit :

Non, j'utilise la connexion VPN pour faire les contrôles et les modifs sur le RT distant du site 1

Ok, mais le VPN est en 1er dans l'ordre des connexion (toute la connexion passe par le VPN)?

Si oui c'est normal que le VPN site to site ne fonctionne pas.

 

Edit: 2 Possibilités:

Tu dois pouvoir laisser le VPN en premier (pas testé), et dans Centre réseau > Internet > Smart WAN > chemin stratégique tu créais une règle IP Source vide (=0.0.0.0/0 = tout) > IP de destination, mettre l'IP publique du site disant > WAN

Mettre le VPN en 2, 3, 4éme position, puis dans Centre réseau > Internet > Smart WAN > chemin stratégique créer un ou plusieurs régles 0.0.0.0/0 > les plages IP du site distant (par exemple 192.168.1.0/24) > VPN

Modifié le 11 août 2022 par maxou56

[Tex5]

sur le RT du site 1 j'ai :

En bleu c'est l'IP publique du site 2

Sur le RT du site 2 j'ai ça

En bleu c'est l'IP publique du site 1

[maxou56]

Le pare-feu pour le VPN semble OK.

Par contre le DNS ou le NTP? pourquoi tu y accèdes à distance? Sinon tu n'as pas besoin de l'ouvrir au monde entier.

 

Mais tu répond toujours pas à la question, sur l'ordre des connexions internet?

Car si le VPN est en premier dans l'ordre des connexion internet, le VPN site top site ne peut pas directement fonctionner (j'ai éditer le message précédent)

Modifié le 11 août 2022 par maxou56

[Tex5]

Pour le DNS et le NTP j'avoue que je ne sais pas trop. Je vais surement les supprimer du coup

Comment vérifie-t-on l'ordre des règles ? Je pensais que c'était la première ligne en premier

 

 

Edit

Je viens de voir que dans internet/connexion on peut mettre des paramètres VPN. Il faut y toucher ?

Modifié le 11 août 2022 par Tex5

[maxou56]

il y a 15 minutes, Tex5 a dit :

Comment vérifie-t-on l'ordre des règles ? Je pensais que c'était la première ligne en premier

Je ne parlais pas du pare-feu.

Mais de l'ordre des connexions internet dans Centre réseau > Internet > Smart WAN ou dans Centre réseau > Internet > Smart WAN > Priorité de l'interface.

 

Car si tout passe par le VPN (VPN en 1er), il y a un tunnel entre ton routeur et le site distant, donc tu ne peux plus accéder à ce routeur par la connexion normal (IP publique).

 

Edit:

il y a 15 minutes, Tex5 a dit :

Je viens de voir que dans internet/connexion on peut mettre des paramètres VPN. Il faut y toucher ?

J'ai déjà expliqué si le VPN est en 1er tu ne plus accéder à ton Routeur depuis ton IP Publique (Ton routeur est connecté sur l'autre site avec l'IP public de l'autre site)

il y a 34 minutes, maxou56 a dit :

2 Possibilités:

Tu dois pouvoir laisser le VPN en premier (pas testé), et dans Centre réseau > Internet > Smart WAN > chemin stratégique tu créais une règle IP Source vide (=0.0.0.0/0 = tout) > IP de destination, mettre l'IP publique du site disant > WAN

Mettre le VPN en 2, 3, 4éme position, puis dans Centre réseau > Internet > Smart WAN > chemin stratégique créer un ou plusieurs régles 0.0.0.0/0 > les plages IP du site distant (par exemple 192.168.1.0/24) > VPN

Pour modifier l'ordre c'est dans 

il y a 10 minutes, maxou56 a dit :

dans Centre réseau > Internet > Smart WAN > Priorité de l'interface.

Modifié le 11 août 2022 par maxou56

[Tex5]

Désolé je n'avais pas compris

A ce stade je n'ai rien de configuré de spécifique

J'ai ça sur le RT du Site 1

 

Et ça sur le RT du site 2 :

 

Je viens aussi de découvrir

Il faut configurer qqch sur ces paramètres VPN ?

 

Le VPN que j'utilise pour me connecter à distance sur mon RT du site 1 c'est ça :

 

 

 

Modifié le 11 août 2022 par Tex5

[maxou56]

Désolé 🙁 je viens de comprendre tu es connecté en VPN depuis un PC/smartphone... J'avais cru que tu étais connecté en VPN depuis le client VPN du Routeur (Centre réseau > Internet > paramètres VPN).

Donc oublis ce que j'ai dit, encore désolé.

 

Le Site 1 semble OK, car tu accèdes bien via le VPN SSL. Il faudrais vérifier que la configuration du Site 2 est correct.

Modifié le 11 août 2022 par maxou56

[Tex5]

il y a 35 minutes, maxou56 a dit :

Désolé 🙁 je viens de comprendre tu es connecté en VPN depuis un PC/smartphone... J'avais cru que tu étais connecté en VPN depuis le client VPN du Routeur (Centre réseau > Internet > paramètres VPN).

Donc oublis ce que j'ai dit, encore désolé.

 

Le Site 1 semble OK, car tu accèdes bien via le VPN SSL. Il faudrais vérifier que la configuration du Site 2 est correct.

Ne t'excuse pas. Tu prends du temps pour m'aider 😉

J'avoue que je ne sais plus quoi vérifier sur le site 2

 

1er bleu :  IP2

2nd et 3ème bleu : IP1

 

 

 

[Tex5]

J'ai activé SSH sur mes RT mais impossible de se connecter.

j'essaye de le logguer avec mon compte admin et une fois le mot de passe renseigné il me dit access denied.

Il y a une astuce ?

Je suis en SRM 1.2.5-8227 Update 5. Est ce que passer en 1.3.1 RC pourrait résoudre mes soucis ?

[Tex5]

Je suis passé en 1.3.1 Update 1 sur le site 2. Depuis j'arrive à accèder en SSH au routeur. je vois bien des trames mais toujours aucune connexion établie entre mes 2 sites.

Je ne suis pas très chaud pour faire la montée 1.3.1 sur le routeur 1 à distance depuis le VPN, cela attendra donc que je sois sur place.

[Tex5]

Bon ba comme disait Jean-Claude Dusse : "c'est mes yeux ou quoi ?"

Et bien oui, à force de lire ce que j'avais en tête je n'avais pas vu une coquille dans une IP. Une fois corrigée, le Sesame arrive avec un status "connecté" 😍

Quel boulet !!! 😱

[maxou56]

Il y a 2 heures, Tex5 a dit :

arrive avec un status "connecté" 😍

Top 👍

Avec un RT2600ac sous SRM 1.2.5 et l'autre sous SRM 1.3.1, ou les 2 sous SRM 1.3.1?

Modifié le 27 août 2022 par maxou56

[Tex5]

Pour l'instant un en 1.2.5 et l'autre en 1.3.1.

Je passerai le second en 1.31 de retour sur site.

[Tex5]

les 2 sont désormais en 1.3.1 et cela fonctionne toujours 😉