IPsec conecta pero no ve equipos
-
Efectivamente lo tengo en automático… he de decir tambien que en el equipo local tengo varias WAN, por si tuviera algo q ver...
Sí, hay tunel según el log despues de un ratito... la verdad que ni idea de pro donde puede ir el problema
-
he de decir tambien que en el equipo local tengo varias WAN
¿Y vas por la primera, la WAN por defecto o no?
-
sip, aunque cuando consiga hacerlo funcionar irá por otra
-
por si sirve de ayuda, despues de un rato me aparece esto:
Feb 26 14:25:38 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA deleted 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
Feb 26 14:25:37 racoon: INFO: generated policy, deleting it.
Feb 26 14:25:37 racoon: INFO: DPD: remote (ISAKMP-SA spi=8ed2a6ef5b6c25ba:dd5150aad03d53fa) seems to be dead.
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.5.0/24[0] proto=any dir=out"
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in"
Feb 26 14:23:13 racoon: INFO: IPsec-SA established: ESP 192.168.10.2[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->192.168.10.2[0] spi=230390334(0xdbb7a3e)
Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: no policy found, try to generate the policy : 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in
Feb 26 14:23:13 racoon: INFO: respond new phase 2 negotiation: 192.168.10.2[0]<=>IP_REMOTA[0]
Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA established 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 1 negotiation: 192.168.10.2[500]<=>IP_REMOTA[500]unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no.
PD: la parte remota suelta esto de log:
Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->IP_LOCAL[0] spi=230390334(0xdbb7a3e)
Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_LOCAL[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
Feb 26 14:23:13 racoon: [EMPRESA]: INFO: initiate new phase 2 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
Feb 26 14:23:12 racoon: [EMPRESA]: INFO: ISAKMP-SA established IP_REMOTA[500]-IP_LOCAL[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
Feb 26 14:23:12 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Feb 26 14:23:12 racoon: WARNING: No ID match.
Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
Feb 26 14:23:12 racoon: [EMPRESA]: INFO: initiate new phase 1 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
Feb 26 14:23:12 racoon: [EMPRESA]: INFO: IPsec-SA request for IP_LOCAL queued due to no phase1 found.
Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
Feb 26 14:22:25 racoon: INFO: unsupported PF_KEY message REGISTER
Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
Feb 26 14:22:25 racoon: INFO: Resize address pool from 0 to 255
Feb 26 14:22:25 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Feb 26 14:22:25 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Feb 26 14:22:25 racoon: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net) -
Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes? por que de ser así probaría con el… lo que me interesa es que un equipo, indiferente a la red que pertenezca, vea a otro equipo en la misma situación.
Saludos!
-
unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no
¿Ya tienes reglas que autoricen ping de un lado a otro?
Una cosa es establecer el túnel y la otra es que se puede hacer de un punto a otro del túnel.
Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes?
Hay quien lo emplea y lo prefiere a IPSec.
En [Advanced Tutorials] hay un ejemplo, http://doc.pfsense.org/index.php/Tutorials
Tienes que emplear FireFox si los tutoriales son Wink.Saludos,
Josep Pujadas
Saludos,
Josep Pujadas
-
buenas,
lo primero gracias por la respuesta de nuevo…que reglas concretamente son las que autorizan el ping? es extraño como te he dicho, porque desde un remoto a uno local, al comienzo de abrirse el tunel, puedo hacer ping, y responde, pero despues de un rato no
-
¡Hola!
Te sugiero que, de entrada, pongas una regla general a ambos lados que permita ir de una red a otra, para probar. A semejanza de la regla "default" inicial de pfSense.
Los ping son ICMP. Hay que autorizar el tráfico ICMP.
Los ping van siempre por la WAN. En el caso de un túnel no tengo demasiado claro si esto también es así, ya que el túnel va de LAN a LAN. No tengo un entorno para probarlo.
Puedes probar TCP con:
telnet maquina puerto
si tienes cualquier servicio al otro lado. Por ejemplo una impresora HP con conexión a red:
telnet impresora 80
o en el navegador directamente con la IP de la impresora remota.
Saludos,
Josep Pujadas
-
ya tengo reglas aceptando el tráfico… lo que no la tengo es para ICMP... he probado al iniciar el tunel, de nuevo ping, y me conecta a maquinas remotas (80, 21, 22, ...), he probado hasta a establecer un servidor DNS que hay local en la red, en el equipo de la máquina remota, y resuelve perfectamente (direcciones del estilo dominio.mi-empresa.local), osea que tambien acepta peticiones UDP... eso sí, como siempre, al despues de un rato, chof! se rompe el tunel.
La verdad es muy extraño...
-
¡Hola de nuevo!
Puede que sea un problema de MTU. Dos posts donde se habló de MTU:
http://forum.pfsense.org/index.php/topic,22433.msg115536.html#msg115536
http://forum.pfsense.org/index.php/topic,21812.msg113545.html#msg113545
Saludos,
Josep Pujadas
-
Muchas gracias por tu ayuda bellera, seguiré mirando a ver porque me da esos problemas… por el momento el tunel que necesitaba, lo he montado con openvpn sin mayor problema.
Saludos, y gracias de nuevo!