Multiples Tuneles contra el mismo destino FALLA!!!

martinc_77

Hola chicos, tengo 2 pfsense A (local) y el B (remoto).

PFsense - A
LAN : 192.168.0.0/24,192.168.230.0/24,192.168.190.0/24
WAN : ISP1

PFsense - B
LAN : 192.168.110.0/24
WAN: ISP2

IPSEC Tunnel ISP1<=>ISP2 (Mobile Client - Pre shared keys)
192.168.0.0/24 <=> 192.168.110.0/24

Hasta ahi todo bien, asi lo tube mucho tiempo funcionando sin problemas pero resulta que ahora necesito agregar las otras 2 redes, o sea la 192.168.230.0/24 y la 192.168.190.0/24 para que tengan acceso VPN contra la 192.168.110.0/24 , para lo cual hice 2 nuevos tunneles quedando asi:

IPSEC Tunnel ISP1<=>ISP2 (Mobile Client - Pre shared keys)
192.168.0.0/24 <=> 192.168.110.0/24

IPSEC Tunnel ISP1<=>ISP2 (Mobile Client - Pre shared keys)
192.168.190.0/24 <=> 192.168.110.0/24

IPSEC Tunnel ISP1<=>ISP2 (Mobile Client - Pre shared keys)
192.168.230.0/24 <=> 192.168.110.0/24

Y aqui el dilema, tube serios problemas para que levanten las VPNs y aun cuando por milagro levantaron, tirando ping desde los 3 origenes hacia el destino en simultaneo note que respondian 1 a la vez, o sea cuando el ping de la 192.168.0.0/24 llegaba a 192.168.110.10/24, en la 192.168.190.0/24 y la 192.168.230.0/24 habia perdida de paquete y cuando alguna de esas 2 respondia las otras 2 no lo hacian.

Dado que el pfsense B esta como cliente mobil cree 2 nuevas entradas en pre shared key para las otras 2 nuevas VPNs, pensando que el problema era q usaba la misma pareja (Identifier - Pre shared key) para las 3 VPNs, pero para mi asombro despues de esto directamente no funcionaron las VPNs.
No puedo utilizar 1 solo tunel  ya que se me superpodria con la red remota 192.168.110.0/24 y cambiar de rango las otras redes para crear 1 solo tunnel es imposible en la practica.

Por favor si alguien puede ayudarme a solucionar el problema.
Gracias

bellera

¿Puedes explicar cómo has hecho para que tu LAN emplee 3 rangos a la vez?

A ver si así comprendemos "del todo" por qué esto no funciona…

martinc_77

Claro Josep, perdon, me olvide el detalle, estoy utilizando VLANs.

bellera

Tendríamos que comprobar si IPSEC y VLAN son compatibles…

pero de entrada se me ocurre preguntar ¿a qué VLAN pertenece la red remota? Porque si sólo pertenece a una, sería lógico que sólo la viera una de las redes locales, con la misma VLAN.

Es la pregunta que me hago, no se si es crrecta del todo.

http://es.wikipedia.org/wiki/VLAN

martinc_77

No Josep, no creo que venga por ahi el problema, mas bien se me hace que puede ser un tema de configuracion de varios tuneles. Lo de la VLAN lo descarto ya que si las redes internas (vlans) en lugar de estar tan separadas en rangos de ips, estubieran en 192.168.0.1/24,192.168.1.1/24,192.168.2.1/24,192.168.3.1 por ejemplo, y en lugar de armar 4 tuneles armo 1 con mascara /22 para incluirlas a todas, funcionan todo sin problemas ni perdida de paquetes de ningun tipo (ya realize esta prueba)

Pasa que en mi caso particular, no tengo las redes que forman parte de mi Origen tan juntas como para q una mascara las incluya sin incluir tambien al Destino causando solapamiento.
Es de ahi el problema que tengo q armar mas de 1 tunel al mismo destino , salvo que haya otra solucion que desconozca.

martinc_77

SOLUCIONADO!!! Creo!
No me habia dado cuenta que la otra punta de la vpn tenia otra version de pfsense.
La actualize a 1.2.3 y hasta el momento funciona bien

Gracias Josep