Cisco Anyconnect nao navega com Proxy squid do Pfsense

mcury

@allancarlos Você pode verificar no computador que está conectado a VPN ai de dentro.
Pode verificar as rotas no computador quando conectado a VPN, ou fazer um traceroute.

netstat -n (acho que esse verifica as rotas), se a rota default estiver apontando pro tunel, significa que está usando full tunnel.
tracert -d 8.8.8.8 (esse vai mostrar o caminho do pacote confirmando que as coisas que não são para a remote network estão indo também pelo tunel).

allancarlos

@mcury tracert vpn cemig.PNG
Fiz o tracert, e todos os saltos deu request timed out. PS: Estou usando uma VM com windows 7, para os testes no pfsense. Mas ate nos windows 10 com licença apresenta o mesmo problema.

mcury

@allancarlos o primeiro hop do traceroute, não precisa colar aqui.
apenas identifique se o caminho escolhido é pelo tunel ou pelo seu pfsense.

allancarlos

@mcury Então mestre, pelo o que mostra no cmd, o primeiro salto é igual a esses que postei acima,. Ou eu não estou sabendo verificar?

mcury

@allancarlos então dá timeout logo no primeiro salto? pode ser que você esteja com full tunel e lá no ASA esteja tomando drop pela regra de firewall da VPN, que só permite acesso a rede interna da VPN.
Sugiro entrar em contato lá com a ponta remota e explicar o que está acontecendo.
O que deve ser feito é alterar a forma de funcionamento do tunel de full tunnel para split tunnel.

Dessa forma, seu computador ao conectar a VPN vai ganhar uma única rota para a rede remota, não substituindo assim a rota default (0.0.0.0) para a internet.

Nessa maquina, o netstat -rn deve te mostrar as rotas como estão

allancarlos

@mcury Eu queria tirar uma ultima duvida. Quando eu desabilito o proxy da maquina, e deixo o IP liberado no Aliases do pfsense, eu consigo nevegar no site da empresa parceira e acessar sites como facebook, youtube e etc... Isso é problema é provável da configuração do ASA?

mcury

@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:

Quando eu desabilito o proxy da maquina, e deixo o IP liberado no Aliases do pfsense, eu consigo nevegar no site da empresa parceira e acessar sites como facebook, youtube e etc...

Que alias seria esse e como está essa regra de firewall?
O proxy não afetaria o traceroute que deu timeout, pois não passa pelo proxy.
Pode verificar o que eu pedi a respeito do netstat -rn ? Veja se quando conectado a VPN, o gateway muda pro tunel ou não (gateway da rota default 0.0.0.0).

@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:

Isso é problema é provável da configuração do ASA?

Estou fazendo suposições pois você não me deu quase nenhuma informação técnica, apenas sintomas.

allancarlos

@mcury Esse Aliases, é meio que uma regra de liberação. No caso, podemos deixar uma maquina navegar sem os bloqueis do Squid proxy.

Sobre os testes do netstat -rn, com a vpn ativada, no primeiro salto o gateway ja muda para o tunel, ai ja pega o IP da rede da empresa parceira.

mcury

@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:

Esse Aliases, é meio que uma regra de liberação. No caso, podemos deixar uma maquina navegar sem os bloqueis do Squid proxy.

É meio que? Assim não ajuda...

@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:

Sobre os testes do netstat -rn, com a vpn ativada, no primeiro salto o gateway ja muda para o tunel

Aqui você misturou netstat -rn com traceroute, sendo que está contradizendo o que foi dito no traceroute anterior que deu timeout desde o primeiro hop.

Infelizmente vou precisar deixar outra pessoa te ajudar, sem informações eu encerro por aqui.
Boa sorte.

allancarlos

@mcury Muito obrigado por disponibilizar o seu tempo. Vou pedir para alguém mais experiente da equipe que eu faço parte, escrever um outro post com mais detalhes.