Chez DYB, nous dĂ©ployons et sĂ©curisons des infrastructures rĂ©seau critiques pour nos clients multi-sites. Aujourdâhui, nous souhaitons partager une alerte importante sur un bug structurel dans pfSense 2.7.2, affectant les tunnels IPsec VTI.
đ§ Rappel : Pourquoi utiliser IPsec VTI ?
Le mode Virtual Tunnel Interface (VTI) permet dâassocier un tunnel IPsec Ă une vraie interface rĂ©seau. Il offre :
- Un routage fin (static, failover, BGP/OSPF),
- Une visibilité complÚte : statistiques, MTU, rÚgles pare-feu,
- Une configuration compatible SD-WAN, multi-sites, ou dual-WAN.
Mais cette flexibilitĂ© repose sur une configuration rĂ©seau stable. Et câest lĂ que la version 2.7.2 pose problĂšme.
đ Le bug rencontrĂ© : gateway fantĂŽme et routes absentes
Dans plusieurs déploiements chez nos clients et en environnement de test, nous avons constaté :
| ProblĂšme | DĂ©tail technique |
|---|---|
| â Pas de gateway auto-crĂ©Ă©e | Lâinterface ipsecX est visible, mais aucune gateway nâest associĂ©e automatiquement dans le routage |
| â IP non configurable depuis lâUI | LâIP est gĂ©rĂ©e via la Phase 2, pas via Interfaces > ipsecX (champ grisĂ©) |
| â Routes VTI supprimĂ©es au reboot | AprĂšs redĂ©marrage, les routes disparaissent ou sont inactives |
| â ïž Failover impossible | Sans gateway fonctionnelle, impossible dâutiliser le tunnel dans une stratĂ©gie de bascule WAN |
đ§Ș Exemples concrets en client
Lors dâun dĂ©ploiement inter-sites (infra principale â datacenter OVH), nous avons :
- Un tunnel IPsec VTI avec /30 entre les deux pfSense,
- Un double lien WAN (FTTH public + FTTO privé),
- Une logique de routage par interface (SMB via FTTH, RDP via FTTO).
đŻ RĂ©sultat : les trafics critiques ne passent pas, ou sont renvoyĂ©s via la mauvaise interface. Le tunnel est actif, mais la gateway est absente, et le routage Ă©choue.
đ§ Workaround appliquĂ© chez DYB
En attendant la correction dans une version supérieure, voici ce que nos experts réseau recommandent :
- Créer manuellement la gateway
- Allez dans System > Routing > Gateways
- Interface :
ipsecX - IP : celle de la phase 2 distante (souvent
x.x.x.2)
- DĂ©finir les routes statiques
- Via System > Routing > Static Routes ou via des rÚgles de pare-feu avec gateway définie
- Surveiller les policies dâĂ©tat
- Si nécessaire, passer temporairement en Floating States via System > Advanced > Firewall/NAT
â Correction en pfSense 2.8.0
La version pfSense CE 2.8.0, publiée récemment, résout ces problÚmes :
| Correctif | Statut 2.8.0 |
|---|---|
| Gateway VTI auto-crĂ©Ă©e | âïž Oui |
| Restauration des routes VTI | âïž Oui |
| Interface assignable proprement | âïž Oui |
| CompatibilitĂ© avec state policy | âïž AmĂ©liorĂ©e |
đĄïž Ce que fait DYB pour ses clients
Chez DYB, nous avons mis à jour nos templates de déploiement VPN VTI, et appliqué :
- Des scripts de vérification de gateway IPsec à chaque reboot,
- Un monitoring spécifique des routes actives via Prometheus/Zabbix,
- Des tests de failover WAN avec capture automatique en cas de dysfonction.
Pour nos clients ayant encore des versions 2.7.x, nous recommandons une migration prioritaire vers 2.8.0, surtout si une stratégie de résilience WAN est en place.
đ Vous ĂȘtes concernĂ© ?
- Vous avez un pfSense avec plusieurs liens WAN ?
- Vous utilisez IPsec VTI en tunnel inter-sites ?
- Vous constatez des pertes réseau sans explication claire ?
đŻ Contactez nos Ă©quipes techniques : nous auditerons votre configuration, et proposerons une remĂ©diation complĂšte ou une migration automatisĂ©e vers pfSense 2.8.0.