Bonjour,
 
tout ce qui suit est une simulation pour apprendre... Des erreurs ne sont pas à exclure
Désolé si je ne post pas au bon endroit
 
 
Environnement de lab
 
Hyperviseur : HyperV
 
4 VM
- SRV-DC1-PARIS (Windows Server 2019- Controleur de domaine) - Connecté au switch LAN-PARIS
- SRV-DC1-TOULON (Windows Server 2019) - Connecté au switch LAN-TOULON
- PFSENSE-PARIS - Connecté au switch LAN-PARIS et switch WAN
- PFSENSE-TOULON - Connecté au switch LAN-TOULON et switch WAN
 
3 switchs virtuels
- LAN-PARIS 10.75.0.0/8
- LAN-TOULON 10.83.0.0/8
- WAN 192.168.50.0/24 (pour simuler la liaison Wan)
 
 
Je souhaite simuler un VPN ipsec entre les 2 réseaux
Je pense avoir réussi la configuration du VPN. Mais impossible de pinguer les 2 serveurs
D'ailleurs à terme, je souhaiterais intégrer le SRV-DC1-TOULON au domaine en étant connecté au VPN
 
 
https://www.zupimages.net/viewer.php?id=22/09/lowl.jpg
 
https://zupimages.net/viewer.php?id=22/09/r3ut.jpg
 
https://zupimages.net/viewer.php?id=22/09/jupv.jpg

Ce sujet a été déplacé de la catégorie Systèmes & Réseaux Pro vers la categorie Emploi & Etudes par Je@nb

J'ai créé des régles pour le WAN et le IpSec sur chaque PfSense
 
https://zupimages.net/viewer.php?id=22/09/7uiy.jpg
 
https://zupimages.net/viewer.php?id=22/09/6nb1.jpg
 
https://zupimages.net/viewer.php?id=22/09/j27s.jpg
 
https://zupimages.net/viewer.php?id=22/09/kfi6.jpg
 
Malgré cela le SRV-DC1-PARIS n'arrive pas à pinguer le SRV-DC1-TOULON
 
https://zupimages.net/viewer.php?id=22/09/wvx1.jpg

Personne ne peut me dire si ce projet est réalisable...  
J'ai désactivé le parefeu des pfsense : pfctl -d
 
Malgré cela, je n'arrive pas à joindre le SRV-DC1-TOULON au domaine

T'as pensé à faire un "NONAT" ?
je n'ai pas regardé les images du 2eme post. mais vu que ton tunnel est up au niveau IPSEC, ce n'est qu'un problème de NAT apparemment.
Il faut verifier sur chacuns des FW, tu as des encaps/decaps.
si ce n'est pas le cas, tu dois faire une règle NAT pour indiquer d'un côté ou de l'autre que le traffic depuis <subnet_source> vers <subnet_dest> ne soit pas NAT par l'interface externe du FW local, afin de passer plutôt par le tunnel IPSEC. je ne connais pas ce type de FW, soit le vendeur le fait automatiquement dans ton cas avec un IPSEC policy based, ou alors tu dois le faire à la main.
Sinon, fais un tunnel IPSEC avec des interfaces VPN virtuelles + routes statiques pour ton test, c'est une autre variante possible de tunnel. Si tu as ensuite le courage, tu peux même utiliser BGP dans ce cas précis, au lieu de tes routes statiques..

Bonjour,
 
J'ai enfin réussi mon projet
 
Attention : Il s'agit d'un lab donc des erreurs de configuration/sécurité sont prévisibles.  
 
https://drive.google.com/file/d/1fC [...] sp=sharing