Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec conecta pero no ve equipos

    Scheduled Pinned Locked Moved Español
    15 Posts 2 Posters 8.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • belleraB
      bellera
      last edited by

      he de decir tambien que en el equipo local tengo varias WAN

      ¿Y vas por la primera, la WAN por defecto o no?

      1 Reply Last reply Reply Quote 0
      • Z
        zeroking
        last edited by

        sip, aunque cuando consiga hacerlo funcionar irá por otra

        1 Reply Last reply Reply Quote 0
        • Z
          zeroking
          last edited by

          por si sirve de ayuda, despues de un rato me aparece esto:

          Feb 26 14:25:38 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA deleted 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
          Feb 26 14:25:37 racoon: INFO: generated policy, deleting it.
          Feb 26 14:25:37 racoon: INFO: DPD: remote (ISAKMP-SA spi=8ed2a6ef5b6c25ba:dd5150aad03d53fa) seems to be dead.
          Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.5.0/24[0] proto=any dir=out"
          Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in"
          Feb 26 14:23:13 racoon: INFO: IPsec-SA established: ESP 192.168.10.2[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
          Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->192.168.10.2[0] spi=230390334(0xdbb7a3e)
          Feb 26 14:23:13 racoon: [Unknown Gateway/Dynamic]: INFO: no policy found, try to generate the policy : 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in
          Feb 26 14:23:13 racoon: INFO: respond new phase 2 negotiation: 192.168.10.2[0]<=>IP_REMOTA[0]
          Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA established 192.168.10.2[500]-IP_REMOTA[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
          Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
          Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
          Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
          Feb 26 14:23:12 racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 1 negotiation: 192.168.10.2[500]<=>IP_REMOTA[500]

          unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no.

          PD: la parte remota suelta esto de log:

          Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_REMOTA[0]->IP_LOCAL[0] spi=230390334(0xdbb7a3e)
          Feb 26 14:23:13 racoon: [EMPRESA]: INFO: IPsec-SA established: ESP IP_LOCAL[0]->IP_REMOTA[0] spi=183402803(0xaee8133)
          Feb 26 14:23:13 racoon: [EMPRESA]: INFO: initiate new phase 2 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
          Feb 26 14:23:12 racoon: [EMPRESA]: INFO: ISAKMP-SA established IP_REMOTA[500]-IP_LOCAL[500] spi:8ed2a6ef5b6c25ba:dd5150aad03d53fa
          Feb 26 14:23:12 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
          Feb 26 14:23:12 racoon: WARNING: No ID match.
          Feb 26 14:23:12 racoon: INFO: received Vendor ID: DPD
          Feb 26 14:23:12 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
          Feb 26 14:23:12 racoon: INFO: begin Aggressive mode.
          Feb 26 14:23:12 racoon: [EMPRESA]: INFO: initiate new phase 1 negotiation: IP_REMOTA[500]<=>IP_LOCAL[500]
          Feb 26 14:23:12 racoon: [EMPRESA]: INFO: IPsec-SA request for IP_LOCAL queued due to no phase1 found.
          Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
          Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
          Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
          Feb 26 14:22:25 racoon: INFO: unsupported PF_KEY message REGISTER
          Feb 26 14:22:25 racoon: [Self]: INFO: IP_REMOTA[500] used as isakmp port (fd=14)
          Feb 26 14:22:25 racoon: [Self]: INFO: 192.168.5.1[500] used as isakmp port (fd=13)
          Feb 26 14:22:25 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=12)
          Feb 26 14:22:25 racoon: INFO: Resize address pool from 0 to 255
          Feb 26 14:22:25 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
          Feb 26 14:22:25 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
          Feb 26 14:22:25 racoon: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)

          1 Reply Last reply Reply Quote 0
          • Z
            zeroking
            last edited by

            Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes? por que de ser así probaría con el… lo que me interesa es que un equipo, indiferente a la red que pertenezca, vea a otro equipo en la misma situación.

            Saludos!

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              unos segundos antes de que aparezca eso, tengo ping desde la maquina remota hasta una local, pero a la inversa no

              ¿Ya tienes reglas que autoricen ping de un lado a otro?

              Una cosa es establecer el túnel y la otra es que se puede hacer de un punto a otro del túnel.

              Una pregunta, el openvpn que trae pfsense, me serviría para conectar las dos redes?

              Hay quien lo emplea y lo prefiere a IPSec.

              En [Advanced Tutorials] hay un ejemplo, http://doc.pfsense.org/index.php/Tutorials
              Tienes que emplear FireFox si los tutoriales son Wink.

              Saludos,

              Josep Pujadas

              Saludos,

              Josep Pujadas

              1 Reply Last reply Reply Quote 0
              • Z
                zeroking
                last edited by

                buenas,
                lo primero gracias por la respuesta de nuevo…

                que reglas concretamente son las que autorizan el ping? es extraño como te he dicho, porque desde un remoto a uno local, al comienzo de abrirse el tunel, puedo hacer ping, y responde, pero despues de un rato no

                1 Reply Last reply Reply Quote 0
                • belleraB
                  bellera
                  last edited by

                  ¡Hola!

                  Te sugiero que, de entrada, pongas una regla general a ambos lados que permita ir de una red a otra, para probar. A semejanza de la regla "default" inicial de pfSense.

                  Los ping son ICMP. Hay que autorizar el tráfico ICMP.

                  Los ping van siempre por la WAN. En el caso de un túnel no tengo demasiado claro si esto también es así, ya que el túnel va de LAN a LAN. No tengo un entorno para probarlo.

                  Puedes probar TCP con:

                  telnet maquina puerto

                  si tienes cualquier servicio al otro lado. Por ejemplo una impresora HP con conexión a red:

                  telnet impresora 80

                  o en el navegador directamente con la IP de la impresora remota.

                  Saludos,

                  Josep Pujadas

                  1 Reply Last reply Reply Quote 0
                  • Z
                    zeroking
                    last edited by

                    ya tengo reglas aceptando el tráfico… lo que no la tengo es para ICMP... he probado al iniciar el tunel, de nuevo ping, y me conecta a maquinas remotas (80, 21, 22, ...), he probado hasta a establecer un servidor DNS que hay local en la red, en el equipo de la máquina remota, y resuelve perfectamente (direcciones del estilo dominio.mi-empresa.local), osea que tambien acepta peticiones UDP... eso sí, como siempre, al despues de un rato, chof! se rompe el tunel.

                    La verdad es muy extraño...

                    1 Reply Last reply Reply Quote 0
                    • belleraB
                      bellera
                      last edited by

                      ¡Hola de nuevo!

                      Puede que sea un problema de MTU. Dos posts donde se habló de MTU:

                      http://forum.pfsense.org/index.php/topic,22433.msg115536.html#msg115536

                      http://forum.pfsense.org/index.php/topic,21812.msg113545.html#msg113545

                      Saludos,

                      Josep Pujadas

                      1 Reply Last reply Reply Quote 0
                      • Z
                        zeroking
                        last edited by

                        Muchas gracias por tu ayuda bellera, seguiré mirando a ver porque me da esos problemas… por el momento el tunel que necesitaba, lo he montado con openvpn sin mayor problema.

                        Saludos, y gracias de nuevo!

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.