IPSEC y WAN con IP pública estática
-
Buenas, explico mi caso, He montado un pfsense para conectar con la oficina de un cliente en Francia, hemos tenido varios problemas para realizar le tunel ipsec, es mas aún no lo hemos conseguido. Paralelamente en el mismo Pfsense he creado un tunel con otra de nuestras sedes en Madrid y despues de unos pequeños problemas de principiante el tunel se ha creado y estamos perfectamente conectados, por lo que no entiendo el problema con el cliente.
En el ultimo correo que me han mandado me dicen que necesitan que la ip de la wan del Pfsense tiene que ser una ip publica.
MI pregunta ¿Es esto necesario? Que yo tenga conocimiento en mensajes que he leido en el foro la solucion seria poner el router de mi proveedor de adsl como bridge y asignarle la ip publica por dhcp al pfsense, pero tambien he leido que esto no se recomienda.
Necesitaria ayuda otra vez por vuestra parte. -
Según lo que tengan al otro lado puede ser así…
http://forum.pfsense.org/index.php?topic=24955.0
He leído en el foro que la solución sería poner el router de mi proveedor de adsl como bridge y asignarle la ip pública por dhcp al pfsense, pero también he leído que esto no se recomienda.
Puedes hacerlo perfectamente. Puede ser la solución en tu caso. Si no se recomienda es porque normalmente no es necesario y tener el equipo ADSL como enrutador tiene sus ventajas: queda más claro hasta dónde llega tu ISP, te permite pinchar otros equipos en él y es un primer "cortafuegos" antes de llegar al tuyo de verdad.
Saludos,
Josep Pujadas
-
De todas maneras parece que en la 2.0 se soporta NAT-T (NAT Traversal).
http://doc.pfsense.org/index.php/VPN_Capability_IPsec
pfSense will support NAT-Traversal (NAT-T) for IPsec only starting with version 2.0, which means if any of your client machines are behind NAT, IPsec VPN will not work unless you are using that version or newer. This may eliminate older versions as a possibility for most environments, since remote users will almost always need access from behind NAT. Many home networks use a NAT router of some sort, as do most hot spot locations, hotel networks, etc.
¿Cómo conectar un road warrior?
http://dekapitein.vorkbaard.nl/tech-1/how-to-set-up-ipsec-tunneling-in-pfsense-2-0-release-for-road-warriors
En Untangle (otro cortafuegos), parecido, http://wiki.untangle.com/index.php/IPsec_VPN
If I install Untangle behind a NAT device, what do I need to forward to Untangle for IPsec VPN to connect?
You will need to forward ESP, AH, and UDP port 500 from the public IP to the Untangle server. You may also need to enable NAT traversal. However, it is recommended to give Untangle a public IP.
¿Cómo conectar Untangle con pfSense? http://wiki.untangle.com/index.php/IPsec_VPN#How_do_I_connect_IPsec_between_Untangle_and_pfSense.3F
¿Cómo conectar IPCOP con pfSense? http://andrewstacey.wordpress.com/2011/06/24/setting-up-an-ipsec-vpn-tunnel-between-pfsense-and-ipcop/
Todo esto con Google nat traversal pfsense 2.0
Quizás que te digan con qué tipo de equipo está entablando conversación tu pfSense detrás de NAT, antes de cambiar tu equipo ADSL a modo bridge…
Saludos,
Josep Pujadas
-
Muchas gracias, como dices antes de hacer nada les preguntare con que equipo se tiene que conectar mi Pfsense.
Un Saludo
Jose