IPsec conecta pero no ve equipos

zeroking

Hola a todos,
he seguido el tuto http://pfsense.loquefaltaba.com/tutorials/mobile_ipsec para configurar una conexión IPsec entre dos pfsense… parece que la conexion se ha completado por lo que muestra el log y en el firewall tengo puesto en IPSEC: Proto *  |Source *   |Port *  |Destination *  |Port *  |Gateway *

He intentado hacer ping desde el pfsense remoto a un equipo del pfsense local, y nada... pero a la inversa ocurre lo mismo... supongo que será algún problema con estas reglas de firewall verdad? un saludo y gracias por adelantado!

Por cierto, en el pfsense local, dispongo de 3 redes: 192.168.1.0, 192.168.2.0, 192.168.3.0

y en el remoto 192.168.5.0

bellera

¡Hola!

Comprueba que el NAT saliente esté puesto para soportar IPSEC.

Pon reglas en las LAN que autoricen el tráfico procedente de dichas redes, si no lo has hecho.

Saludos,

Josep Pujadas

zeroking

Hola!

Como compruebo lo dle NAT saliente?

Acabo de añadir las reglas en el local: *  192.168.5.0/24  *  *  *  *
Y en el remoto: *  192.168.1.0/24  *  *  *  *

Teniendo en cuenta que el local tiene la red 192.168.1.0 y el remoto la 192.168.5.0

PD: acabo de ver, que al inicio de la conexión, en el log del equipo local aparece esto:

Feb 26 13:47:09 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.5.0/24[0] proto=any dir=out"
Feb 26 13:47:09 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in"
Feb 26 13:47:09 racoon: INFO: IPsec-SA established: ESP 192.168.10.6[0]->IP_REMOTA[0] spi=92892729(0x5896e39)
Feb 26 13:47:09 racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->192.168.10.6[0] spi=112252594(0x6b0d6b2)
Feb 26 13:47:09 racoon: [Unknown Gateway/Dynamic]: INFO: no policy found, try to generate the policy : 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in
Feb 26 13:47:09 racoon: INFO: respond new phase 2 negotiation: 192.168.10.6[0]<=>IP_REMOTA[0]
Feb 26 13:47:09 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA established 192.168.10.6[500]-IP_REMOTA[500] spi:f934e5813115dd06:0a161b2ab587ed47
Feb 26 13:47:09 racoon: INFO: received Vendor ID: DPD
Feb 26 13:47:09 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 13:47:09 racoon: INFO: begin Aggressive mode.
Feb 26 13:47:09 racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 1 negotiation: 192.168.10.6[500]<=>IP_REMOTA[500]

bellera

¡Hola!

Tienes que tenerlo en:

Automatic outbound NAT rule generation (IPsec passthrough)

Si está en manual tienes que tener reglas que permitan IPSec.

Mira en logs la negociación de IPSec, a ver si efectivamente tienes el túnel…

Saludos,

Josep Pujadas

zeroking

Efectivamente lo tengo en automático… he de decir tambien que en el equipo local tengo varias WAN, por si tuviera algo q ver...

Sí, hay tunel según el log despues de un ratito... la verdad que ni idea de pro donde puede ir el problema

bellera

he de decir tambien que en el equipo local tengo varias WAN

¿Y vas por la primera, la WAN por defecto o no?

zeroking

sip, aunque cuando consiga hacerlo funcionar irá por otra

zeroking

por si sirve de ayuda, despues de un rato me aparece esto:

Feb 26 14:25:38 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA deleted 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
Feb 26 14:25:37 racoon: INFO: generated policy, deleting it.
Feb 26 14:25:37 racoon: INFO: DPD: remote (ISAKMP-SA spi=8ed2a6ef5b6c25ba:dd5150aad03d53fa) seems to be dead.
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.5.0/24[0] proto=any dir=out"
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in"
Feb 26 14:23:13 racoon: INFO: IPsec-SA established: ESP 192.168.10.2[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->192.168.10.2[0] spi=230390334(0xdbb7a3e)
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: no policy found, try to generate the policy : 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in
Feb 26 14:23:13 racoon: INFO: respond new phase 2 negotiation: 192.168.10.2[0]<=>IP_REMOTA[0]
Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA established 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 1 negotiation: 192.168.10.2[500]<=>IP_REMOTA[500]

unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no.

PD: la parte remota suelta esto de log:

Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->IP_LOCAL[0] spi=230390334(0xdbb7a3e)
Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_LOCAL[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
Feb 26 14:23:13 racoon: [EMPRESA]: INFO: initiate new phase 2 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
Feb 26 14:23:12 racoon: [EMPRESA]: INFO: ISAKMP-SA established IP_REMOTA[500]-IP_LOCAL[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
Feb 26 14:23:12 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Feb 26 14:23:12 racoon: WARNING: No ID match.
Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
Feb 26 14:23:12 racoon: [EMPRESA]: INFO: initiate new phase 1 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
Feb 26 14:23:12 racoon: [EMPRESA]: INFO: IPsec-SA request for IP_LOCAL queued due to no phase1 found.
Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
Feb 26 14:22:25 racoon: INFO: unsupported PF_KEY message REGISTER
Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
Feb 26 14:22:25 racoon: INFO: Resize address pool from 0 to 255
Feb 26 14:22:25 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Feb 26 14:22:25 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Feb 26 14:22:25 racoon: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)

zeroking

Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes? por que de ser así probaría con el… lo que me interesa es que un equipo, indiferente a la red que pertenezca, vea a otro equipo en la misma situación.

Saludos!

bellera

unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no

¿Ya tienes reglas que autoricen ping de un lado a otro?

Una cosa es establecer el túnel y la otra es que se puede hacer de un punto a otro del túnel.

Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes?

Hay quien lo emplea y lo prefiere a IPSec.

En [Advanced Tutorials] hay un ejemplo, http://doc.pfsense.org/index.php/Tutorials
Tienes que emplear FireFox si los tutoriales son Wink.

Saludos,

Josep Pujadas

Saludos,

Josep Pujadas

zeroking

buenas,
lo primero gracias por la respuesta de nuevo…

que reglas concretamente son las que autorizan el ping? es extraño como te he dicho, porque desde un remoto a uno local, al comienzo de abrirse el tunel, puedo hacer ping, y responde, pero despues de un rato no

bellera

¡Hola!

Te sugiero que, de entrada, pongas una regla general a ambos lados que permita ir de una red a otra, para probar. A semejanza de la regla "default" inicial de pfSense.

Los ping son ICMP. Hay que autorizar el tráfico ICMP.

Los ping van siempre por la WAN. En el caso de un túnel no tengo demasiado claro si esto también es así, ya que el túnel va de LAN a LAN. No tengo un entorno para probarlo.

Puedes probar TCP con:

telnet maquina puerto

si tienes cualquier servicio al otro lado. Por ejemplo una impresora HP con conexión a red:

telnet impresora 80

o en el navegador directamente con la IP de la impresora remota.

Saludos,

Josep Pujadas

zeroking

ya tengo reglas aceptando el tráfico… lo que no la tengo es para ICMP... he probado al iniciar el tunel, de nuevo ping, y me conecta a maquinas remotas (80, 21, 22, ...), he probado hasta a establecer un servidor DNS que hay local en la red, en el equipo de la máquina remota, y resuelve perfectamente (direcciones del estilo dominio.mi-empresa.local), osea que tambien acepta peticiones UDP... eso sí, como siempre, al despues de un rato, chof! se rompe el tunel.

La verdad es muy extraño...

bellera

¡Hola de nuevo!

Puede que sea un problema de MTU. Dos posts donde se habló de MTU:

http://forum.pfsense.org/index.php/topic,22433.msg115536.html#msg115536

http://forum.pfsense.org/index.php/topic,21812.msg113545.html#msg113545

Saludos,

Josep Pujadas

zeroking

Muchas gracias por tu ayuda bellera, seguiré mirando a ver porque me da esos problemas… por el momento el tunel que necesitaba, lo he montado con openvpn sin mayor problema.

Saludos, y gracias de nuevo!