Bonjour à tous,
Je viens d’établir une liaison VPN ipsec entre:
- une machine debian utilisant ipsec et shorewall
- une machine pfsense
La machine debian est la passerelle de plusieurs LAN et heberge un proxy transparent (squid), la machine pfsense gère un seul LAN (différents des LAN de la machine debian…).
La liaison ipsec est établie et toutes les “phases 2” sont connectés (soit une par réseau LAN…)
Les firewall sont réglés en mode “portes ouvertes” afin d’isoler cette partie…
Je rencontre un problème depuis certains réseaux LAN (sauf depuis le 192.168.1.0/24…) de la machine debian vers les hôtes de la machine pfsense, j’arrive à pinger sans problème les machines mais lorsque je tente d’accéder à l’un de leur service squid me retourne l’erreur " (113) No route to host". Pour info tous les réseaux LAN accèdent à internet sans problème via ce proxy.
petit résumé de la situation:
interface avec ip publique utilisée pour la liaison ipsec: eth9
DEBIAN:/etc/shorewall# route -n | grep 192.168.11.0
192.168.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth9
DEBIAN DIRECTION PFSENSE PING HTTP
bond0:192.168.1.0/24 ------------> 192.168.11.0/24 OK OK
bond0:192.168.1.1 ------------> 192.168.11.0/24 NON NON
eth4:10.2.1.0/24 ------------> 192.168.11.0/24 OK NON
eth4:10.2.1.1/24 ------------> 192.168.11.0/24 OK -
Si je ping depuis la debian vers une machine du LAN pfsense en spécifiant l’interface source bond0 le ping fonctionne.
Si je ping depuis la debian vers une machine du LAN pfsense en spécifiant l’interface source eth4 le ping fonctionne.
Pour info j’ai d’autres liaisons ipsec entre la debian et d’autres machines qui utilise la même interface eth9, et je ne rencontre pas le souci, j’ai comparé les configs et je ne trouve rien de différent avec la config de ce tunnel “problématique”
Je ne sais plus vraiment ou checker, entre shorewall, squid ou les routes je sèche.
Je sens que c’est un problème tout con
Qu’en pensez vous, je suis passé à côté de quoi?
Merci d’avance, n’hésitez pas à me demander plus de précisions