Cliente OPENVPN Enxergar IPSEC site-to-site

BRQ_michael

Boa Tarde, surgiu uma certa demanda aqui na empresa e ainda não dei conta de resolver, temos 4 unidades no Brasil cada uma com um PFSENSE, e a unidade principal com PFSENSE também, a unidade principal se conecta via IPSEC site-to-site até os outros PFSENSE's.
Na unidade principal fica meus servidores de producao, servidores de arquivos, softwares de chamado, workflow, etc.. E então nessa minha unidade principal, temos configurado Um servidor OPENVPN para que a gente consiga distribuir o aplicativo OPENVPN para algum colaborador que deseja trabalhar externo.
Tenho configurado também uma conexão IPSEC para meu proximo servidor de CLOUD que fica em NUVEM, e que também está configurado um IPSEC até meu Firewall principal, que no caso é o PFSENSE. Preciso fazer com que o colaborador que utilizar o OPENVPN enxergue também essas conexões IPSEC, especificamente meu servidor no CLOUD.

Informações que podem ajudar:
versão PFSENSE: 2.7.0
LAN do meu PFSENSE: 192.168.140.0/23
LAN do OpenVPN: 20.20.20.0/23 TCP/porta:1194 Modo: Remote Access ( SSL/TLS + User Auth )
LAN do cloud: 172.19.0.0/24

CONEXÃO IPSEC CONFIGURADA DA SEGUINTE MANEIRA:
P1:
Versão da chave de troca IKEv2
Gateway Remoto IP PUBLICO DO CLOUD
Método de autenticação PSK MUTUO
Algoritmo de criptografia AES 256bits SHA256 14(2048 bit)
Life Time 20800

P2:
Protocolo ESP
Algoritmos de criptografia AES 256bits
ALgoritmo de Hash SHA256
Grupo de chave PFS 14 (2048)
Life Time 3600

Regra de permissão OPENVPN feita, com todos, de tudo para tudo
Nenhuma regra NAT em Saída Feita
Nenhuma rota estática feita

POSSUO 2 IPPUBLICO
1 LAN

acamoura

Olá @BRQ_michael

Para que essa comunicação seja possível, você irá precisar de fazer os seguintes ajustes de roteamento no IPSec da Unidade Principal e IPSec do seu Cloud:

1- Adicionar na phase2 do seu IPSec Unidade Principal a rede do servidor OpenVPN alcance o destino da sua rede onde está o Servidor Cloud. (origem 20.20.20.0/23 -> destino 172.19.0.0/24)

2- Adicionar na phase2 do seu IPSec Cloud a rede do Servidor Cloud alcance o destino da sua rede do OpenVPN. (origem 172.19.0.0/24 -> destino 20.20.20.0/23)

3- Declarar na variável do seu OpenVPN Server a rede do Cloud;

4- Nas rules do firewall da Unidade Principal na interface IPsec criar uma regra liberando o tráfego. (origem 172.19.0.0/24 -> destino 20.20.20.0/23)

5- Nas rules do firewall do Cloud na interface IPsec criar uma regra liberando o tráfego. (origem 20.20.20.0/23 -> destino 172.19.0.0/24 )

Acredito que se você fazer esses ajustes no seu ambiente, irá funcionar a comunicação que precisa conforme descrito acima em seu post.

BRQ_michael

@acamoura Bom Dia Acamoura, eu consegui fazer funcionar, criei um topico aqui em Portugues, e em Ingles, mas achei um outro tópico que me ajudou a resolver.

Tive que adicionar a LAN do meu Cloud em "IPv4 Rede(s) local(is)" como segue na imagem

E adicionar uma Phase2 na conexão IPSEC que estava fazendo com meu CLOUD como está nas imagens abaixo:

Agradeço o suporte mesmo assim.

acamoura

@BRQ_michael maravilha!!!

O importante foi que você conseguiu resolver o seu problema já apresentado em sua primeira interação do post.

Só recomendaria você atualizar a sua versão do pfSense informada ai 2.7.0 para a última release 2.7.2 em todos os seus pfSense(s).