Ipsec
-
Bom dia pessoal, estou a dois dias tentando fazer um IPSEC com um amigo meu.
Ele me passou seguintes configurações:
Pre-Shared Key: no***de
IPSec Security Method
IKE phase 1 mode Main Mode
IKE phase 1 proposal 3DES_SHA1_G5
IKE phase 2 proposal 3DES_SHA1
IKE phase 1 key lifetime: 28800
IKE phase 2 key lifetime: 3600
Perfect Forward Secret: Disable
Dados De rede
Remote Gateway IP: 187...59
Remote Network IP: 172.16.0.0
Remote Network Mask: 255.255.248.0
Local Network IP: sua rede
Local Network Mask: sua mascara de rede
Bom até então parecia fácil mas fui la em ipsec inicializei o ipsec, criei com esta configuação:
também criei todas as regras liberando tudo "any" em wan em ipsec .
O range de ip da minha rede é 10.0.1.0
a que vou conectar é: 172.16.0.0Como eu consigo me certificar quando funcionaro que estou fazendo errado?
obrigado
-
daolivei,
Não publique informações críticas da sua rede em forums, existem pessoas que querem ajudar e outras que nem tanto.
Por isso, moderei seu post e mascarei as informações de ip e senha que você postou.Percebi no seu screenshot que a mascara está errada, você informou uma rede /29(255.255.248.0) mas configurou um /32(255.255.255.255)
Veja os logs do ipsec(status -> system logs -> ipsec) os erros que estão aparecendo.
Sugiro também procurar na parte de tutoriais do fórum um passo a passo para ipsec
att,
Marcello Coutinho -
Obrigado Marcello Coutinho, de verdade e desculpa você tem toda razão não havia pensado desta forma.
Eu mudei para 29/ e peguei o log .
eu já vi vários passo a passo mas faço igualzinho e nada funciona.
inclusive tanta a porta wan e ipsec deixei any para todas.
-
Esta dando esse erro o que é isso?
Apr 25 11:47:55 racoon: INFO: unsupported PF_KEY message REGISTER
Apr 25 11:47:55 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=13)
Apr 25 11:47:55 racoon: [Self]: INFO: 177.33.48.109[500] used as isakmp port (fd=14)
Apr 25 11:47:55 racoon: [Self]: INFO: 10.0.1.5[500] used as isakmp port (fd=15) -
O ip da sua wan esta publicado no pfsense ou em um router?
-
Esta assim o modem do virtua conectado diretamente no meu servidor (pfsense).
-
Esta assim o modem do virtua conectado diretamente no meu servidor (pfsense).
Então a resposta é: Sim, o ip da sua wan esta publicado no pfsense ;)
O outro servidor também é pfsense e também tem o ip publico configurado na wan?
Você viu o vídeo tutorial que tem postado aqui no fórum?
-
O outro servidor que quero conectar não é pfsense sei que é linux.
vou deixar igual as regras que contem no arquivo
-
marcelo eu me senti confiavel com você , caso eu te passar meu ip mais user e senha você da uma olhadinha? e ve o que eu errei?
-
marcelo eu me senti confiavel com você , caso eu te passar meu ip mais user e senha você da uma olhadinha? e ve o que eu errei?
daolivei,
Obrigado pela confiaça mas só faço configurações remotas depois de acertar o valor da consultoria.
Como o jack costuma postar, (re)leia os tutoriais com bastante atenção para entender o que pode estar acontecendo de errado.
att,
Marcello Coutinho -
obrigado Marcelo você está certo.
-
Alguém poderia me ajudar nesta tela? pois acredito que o problema esteja aqui pois está dando este erro:
Apr 25 17:23:34 racoon: INFO: unsupported PF_KEY message REGISTER
Apr 25 17:23:34 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=13)
Apr 25 17:23:34 racoon: [Self]: INFO: 1**.*3.**.**9[500] used as isakmp port (fd=14)
Apr 25 17:23:34 racoon: [Self]: INFO: 10.0.1.5[500] used as isakmp port (fd=15)gostaria de saber qual ip deverá ficar source e qual em destination .
-
neste campo qual ip vai: Local net Remote net:
Interface Remote gw:
** P1 mode:**
P1 Enc. Algoobrigado
-
Amigo,
Só uma duvida.. o seu pfsense esta com ip publico ou atraves de um NAT ?
-
Ip publico o cabo net ta diretao nele.
esta complicado estou mexedo a 3 dias já nesta configuração. =/
-
Bom dia pessoal, seguinte já estou no limite há 3 dias mexendo e nada :
olha as regras que fiz para lan/wan/ipsec
-
wan
-
lan
-
tenta fazer via openvpn.
http://www.pfsense-br.org/blog/2011/11/usando-o-pfsense-para-interligar-2-lojas-via-internet-ponto-a-ponto/
-
o problema que o cara é enjuado, liguei para ele agora e ele não quer pois ele tem um cisco 018 e já esta funcionando outras ipsec ele disse que o problema é meu aqui. então to ferrado . ele me passou todas informações que eu preciso gateway dele ip da rede dele um ip para eu poder pingar depois que conectar a pre-sharedkey dele. enfim tudo. Já não sei por onde correr mais….
obrigado mais uma vez marcelo e a todos =)