[Tapez ici]

Daniel AFONSO Page 1

P.P.E VPN site à site (openVPN/IPsec) / RoadWorrior

[Tapez ici]

Daniel AFONSO Page 2

VPN (Virtual private network) est un lien virtuel qui permet de joindre deux machines distantes et ainsi faire comme si elles étaient sur le même réseau. Il permet entre-autre de pouvoir relier deux site sans avoir à tirer de câbles ou creuser des tranchées.

Pré-requis : 2machines PFSense -Carte WAN -Carte LAN **Pour ce tp les deux machine doivent se pinguer** 2machines d’administration (ici 2 W7) -Carte LAN pour accès à PFSense en http

[Tapez ici]

Daniel AFONSO Page 3

Avant de faire son chois pour le vpn il faudra créer une règle pour que les deux interfaces WAN puissent communiquer (Protocol ICMP, pour laisser passer les ping) Pour cela : « firewall rules et ajouter une règle pour l’interface WAN

[Tapez ici]

Daniel AFONSO Page 4

Site à site avec IPsec :

Sur machine admin_pf1 On commence par activer IPsec.

Puis cliquer sur le bouton « add » pour pouvoir paramétrer le VPN.

(Et choisir la clé qui sera encodée par la suite)

Pour terminer cliquer sur le bouton «save » puis « apply change »

Ensuite cliquer sur le bouton « + » puis sur le bouton «add» pour continuer la configuration

(phase2).

[Tapez ici]

Daniel AFONSO Page 5

Sauver et appliquer les modifications.

Ensuite il faut créer les règles du firewall qui permettront à IPsec de faire communiquer les

deux réseaux.

Pour cela utiliser UDP en port 4500 et port 500 :

Firewall Rules WAN

UDP en 4500 :

[Tapez ici]

Daniel AFONSO Page 6

UDP en 500 :

Puis dan l’onglet IPsec :

[Tapez ici]

Daniel AFONSO Page 7

.

.

Il faudra faire la même chose sur la machine « admin_pf2 » en adaptant les adresses.

.

.

Une fois les deux cotés paramétré correctement il faudra par la suite activer le service pour

établir la connexion. Aller dans l’onglet « Status IPsec »

Cliquer sur le bouton « connect »…

Le tunnel VPN est correctement monté… pour vérifier que tout est ok il suffit de faire un ping

à partir d’une des deux machine (admin_pf1 ou admin_pf2) si le ping passe le tunnel est bien

fonctionnel

[Tapez ici]

Daniel AFONSO Page 8

Site à site avec OpenVPN :

La principale différence avec IPsec est que, dans le cas d’OpenVPN un des deux pfsense

sera considérer comme « client » alors que l’autre comme « serveur » dans notre cas

(Pf1=serveur) et (Pf2=client). Il faudra prendre aussi en compte que le numéro de port pour

UDP n’est pas le même : dans le cas de OpenVPN, le numéro de port est 1194.

Sur machine admin_pf1 :

Dans l’onglet « VPNOpenVPN » Commencer la configuration vpn en temps que serveur.

Cliquer sur le bouton « add »

Sélectionner « automaticaly gernerate key »

**Penser à copier la clé, car il faudra la coller dans la configuration du client (admin_pf2)**

[Tapez ici]

Daniel AFONSO Page 9

Pour le tunnel Network renseigner un réseau qui va servir de tunnel par le quel le VPN

passera (attention il faut qu’il soit identique des 2 cotés)

Une fois la configuration terminé il faudra créer les règles, pour cela dans

« FirewallRules » et dans l’onglet « WAN » créer une règle pour UDP

[Tapez ici]

Daniel AFONSO Page 10

**Notez la différence du numéro port par rapport à IPsec**

Ensuite dans l’onglet OpenVPN créer la règle suivante :

[Tapez ici]

Daniel AFONSO Page 11

Sur machine admin_pf2 :

Dans l’onglet « VPNOpenVPN » Commencer la configuration vpn en temps que client.

Décocher « automaticaly gernerate key » et coller la clé préalablement copié.

[Tapez ici]

Daniel AFONSO Page 12

**En ce qui concerne les règles, ce sont les mêmes que pour la machine admin_pf1**

Vérification :

Apres avoir écrit les règles, se rendre sur l’onglet « StatusOpenVPN »

Le tunnel est actif et connecté. Fait un ping à partir d’une des 2 machines admin.

Tout est Ok le VPN est bien monté tout communique.

[Tapez ici]

Daniel AFONSO Page 13

Source :

http://www.frameip.com/ipsec/

https://doc.pfsense.org/index.php/VPN_Capability_IPsec#Add_Firewall_Rules

https://www.youtube.com/watch?v=k8HaIW3-AgM