Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec conecta pero no ve equipos

    Scheduled Pinned Locked Moved Español
    15 Posts 2 Posters 8.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      zeroking
      last edited by

      Efectivamente lo tengo en automático… he de decir tambien que en el equipo local tengo varias WAN, por si tuviera algo q ver...

      Sí, hay tunel según el log despues de un ratito... la verdad que ni idea de pro donde puede ir el problema

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        he de decir tambien que en el equipo local tengo varias WAN

        ¿Y vas por la primera, la WAN por defecto o no?

        1 Reply Last reply Reply Quote 0
        • Z
          zeroking
          last edited by

          sip, aunque cuando consiga hacerlo funcionar irá por otra

          1 Reply Last reply Reply Quote 0
          • Z
            zeroking
            last edited by

            por si sirve de ayuda, despues de un rato me aparece esto:

            Feb 26 14:25:38 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA deleted 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
            Feb 26 14:25:37 racoon: INFO: generated policy, deleting it.
            Feb 26 14:25:37 racoon: INFO: DPD: remote (ISAKMP-SA spi=8ed2a6ef5b6c25ba:dd5150aad03d53fa) seems to be dead.
            Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.5.0/24[0] proto=any dir=out"
            Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in"
            Feb 26 14:23:13 racoon: INFO: IPsec-SA established: ESP 192.168.10.2[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
            Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->192.168.10.2[0] spi=230390334(0xdbb7a3e)
            Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: no policy found, try to generate the policy : 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in
            Feb 26 14:23:13 racoon: INFO: respond new phase 2 negotiation: 192.168.10.2[0]<=>IP_REMOTA[0]
            Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA established 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
            Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
            Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
            Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
            Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 1 negotiation: 192.168.10.2[500]<=>IP_REMOTA[500]

            unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no.

            PD: la parte remota suelta esto de log:

            Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->IP_LOCAL[0] spi=230390334(0xdbb7a3e)
            Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_LOCAL[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
            Feb 26 14:23:13 racoon: [EMPRESA]: INFO: initiate new phase 2 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
            Feb 26 14:23:12 racoon: [EMPRESA]: INFO: ISAKMP-SA established IP_REMOTA[500]-IP_LOCAL[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
            Feb 26 14:23:12 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
            Feb 26 14:23:12 racoon: WARNING: No ID match.
            Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
            Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
            Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
            Feb 26 14:23:12 racoon: [EMPRESA]: INFO: initiate new phase 1 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
            Feb 26 14:23:12 racoon: [EMPRESA]: INFO: IPsec-SA request for IP_LOCAL queued due to no phase1 found.
            Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
            Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
            Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
            Feb 26 14:22:25 racoon: INFO: unsupported PF_KEY message REGISTER
            Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
            Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
            Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
            Feb 26 14:22:25 racoon: INFO: Resize address pool from 0 to 255
            Feb 26 14:22:25 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
            Feb 26 14:22:25 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
            Feb 26 14:22:25 racoon: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)

            1 Reply Last reply Reply Quote 0
            • Z
              zeroking
              last edited by

              Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes? por que de ser así probaría con el… lo que me interesa es que un equipo, indiferente a la red que pertenezca, vea a otro equipo en la misma situación.

              Saludos!

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no

                ¿Ya tienes reglas que autoricen ping de un lado a otro?

                Una cosa es establecer el túnel y la otra es que se puede hacer de un punto a otro del túnel.

                Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes?

                Hay quien lo emplea y lo prefiere a IPSec.

                En [Advanced Tutorials] hay un ejemplo, http://doc.pfsense.org/index.php/Tutorials
                Tienes que emplear FireFox si los tutoriales son Wink.

                Saludos,

                Josep Pujadas

                Saludos,

                Josep Pujadas

                1 Reply Last reply Reply Quote 0
                • Z
                  zeroking
                  last edited by

                  buenas,
                  lo primero gracias por la respuesta de nuevo…

                  que reglas concretamente son las que autorizan el ping? es extraño como te he dicho, porque desde un remoto a uno local, al comienzo de abrirse el tunel, puedo hacer ping, y responde, pero despues de un rato no

                  1 Reply Last reply Reply Quote 0
                  • belleraB
                    bellera
                    last edited by

                    ¡Hola!

                    Te sugiero que, de entrada, pongas una regla general a ambos lados que permita ir de una red a otra, para probar. A semejanza de la regla "default" inicial de pfSense.

                    Los ping son ICMP. Hay que autorizar el tráfico ICMP.

                    Los ping van siempre por la WAN. En el caso de un túnel no tengo demasiado claro si esto también es así, ya que el túnel va de LAN a LAN. No tengo un entorno para probarlo.

                    Puedes probar TCP con:

                    telnet maquina puerto

                    si tienes cualquier servicio al otro lado. Por ejemplo una impresora HP con conexión a red:

                    telnet impresora 80

                    o en el navegador directamente con la IP de la impresora remota.

                    Saludos,

                    Josep Pujadas

                    1 Reply Last reply Reply Quote 0
                    • Z
                      zeroking
                      last edited by

                      ya tengo reglas aceptando el tráfico… lo que no la tengo es para ICMP... he probado al iniciar el tunel, de nuevo ping, y me conecta a maquinas remotas (80, 21, 22, ...), he probado hasta a establecer un servidor DNS que hay local en la red, en el equipo de la máquina remota, y resuelve perfectamente (direcciones del estilo dominio.mi-empresa.local), osea que tambien acepta peticiones UDP... eso sí, como siempre, al despues de un rato, chof! se rompe el tunel.

                      La verdad es muy extraño...

                      1 Reply Last reply Reply Quote 0
                      • belleraB
                        bellera
                        last edited by

                        ¡Hola de nuevo!

                        Puede que sea un problema de MTU. Dos posts donde se habló de MTU:

                        http://forum.pfsense.org/index.php/topic,22433.msg115536.html#msg115536

                        http://forum.pfsense.org/index.php/topic,21812.msg113545.html#msg113545

                        Saludos,

                        Josep Pujadas

                        1 Reply Last reply Reply Quote 0
                        • Z
                          zeroking
                          last edited by

                          Muchas gracias por tu ayuda bellera, seguiré mirando a ver porque me da esos problemas… por el momento el tunel que necesitaba, lo he montado con openvpn sin mayor problema.

                          Saludos, y gracias de nuevo!

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.