VPN IPsec de site-à-site avec OPNsense

A peu de choses près le même tutoriel que pour DynFi.

Capture d'écran

Le but est simple, créer un tunnel VPN IPsec entre les 2 pare-feux (PF2 et PF1) et tester le ping entre les 2 PC Client.
Bien entendu, vous aurez pris soin de connecter les bonnes interfaces aux bons commutateurs, et de créer une règle autorisant le ping sur chaque PC (voir l'article à ce sujet)

Pour simuler un réseau interne, j'ai placé l'interface "WAN" des pare-feux sur un commutateur interne (COM_NET) et simulé un adressage IP sur le réseau 80.80.80.0/24

Voici la configuration des pare-feux :

Capture d'écran

Faisons donc la configuration en parallèle une fois encore :

Capture d'écran

Configuration de la Phase 1

Nous allons configurer la phase 1

Capture d'écran

Evidemment, on indique la passerelle du pare-feu adjacent sur chaque pare-feu et on choisir une superbe clef partagée, qu'on indique sur les 2 pare-feux (évidemment.. pas celle de ce tuto !!)

Capture d'écran

Capture d'écran

On sauvegarde, et de retour sur l'écran des tunnels, on applique

Capture d'écran

Configuration de la Phase 2

Puis on passe à la phase 2 ! Toujours sur ce même écran, on clique sur le bon + (le sous-titre indique créer la phase 2)

Capture d'écran

On précise le réseau LAN du pare-feu adjacent.
Vous noterez que j'utilise AES128 comme Algorithme de chiffrement dans les captures.
Vous pouvez bien sûr utiliser AES256 ou même "aes256gcm16" comme indiqué par défaut !
C'est même recommandable ! Néanmoins, pensez à précisez le même de chaque côté !

Capture d'écran

Capture d'écran

On sauvegarde puis on applique les changements.

Capture d'écran

Activation du tunnel

Une fois appliqué, cochez la case "Activer IPsec", puis Appliquez de nouveau les changements

Capture d'écran

Démarrez enfin votre Tunnel VPN IPsec en cliquant sur le bouton lecture.
Il va devenir vert si tout va bien.

Capture d'écran

Création de la règle IPsec

Mais cela ne suffit pas.
Sans règle sur l'interface IPsec, aucun flux ne passera dans le tunnel.
Nous devons donc créer une règle (qui autorise tout, dans un premier temps).

Capture d'écran

Laissez les champs par défaut, contentez-vous simplement de donner une description.

Capture d'écran

Capture d'écran

Appliquez les changements.

Capture d'écran

Test de la connexion

Faîtes un ping de votre CLIENT2 vers CLIENT1.
Le premier ne passera pas, mais le second devrait lui passer...

Capture d'écran

⬆️ Retour en haut de la page