[Resolvido] Roteamento interno

mamoraes

Olá a todos,

Seguinte, estou gerenciando 2 pfSense, um na matriz e outro numa filial, ambos conectados pela VPN IPSec. Os computadores se comunicam pela IPSec tranquilamente. Agora vem o problema: Instalei o OCSInventory Agent 2.0.4 no pfSense da filial, só que quando peço para o agente enviar o XML do inventário, o mesmo não consegue passar pela VPN, enviando o XML pela interface WAN.

Considerações:
Como o tráfego da VPN acontece da interface física LAN para a interface virtual IPSec, e o pfSense envia para a interface WAN, devido o mesmo ser seu Default Gateway.

A questão é: Como faço para o pfSense, ou FreeBSD entender que quando enviar para um endereço local, que é a rede remota da matriz, ele enviar para a interface LAN.

Agradeço desde já.

marcelloc

mamoraes,

Esta comunicação é para ser transparente e independente de protocolo.
Se o pacote é para o ip da outra ponta do ipsec, o pfsense não manda para a wan.

consegue monitorar o trafego com o tcpdump para ver que ip o OCSInventory está "chamando"?

att,
Marcello Coutinho

mamoraes

Marcello, blz?

Então, eu rodei o TCPDUMP e nada me retornou. Daí eu dei um traceroute:

traceroute -n <192.168.0.2>

traceroute to 192.168.0.2 (192.168.0.2), 64 hops max, 40 byte packets
1  201.33.x.x  1397.240 ms  87.368 ms  29.854 ms
2  201.71.x.x  40.395 ms  12.370 ms  28.795 ms
3  201.71.x.x  14.076 ms  12.986 ms  21.723 ms
4  201.71.x.x  15.873 ms  14.916 ms  15.602 ms
5  201.71.x.x  14.718 ms  17.936 ms  13.517 ms
6  201.71.x.x  36.695 ms  34.206 ms  12.820 ms

Ou seja, continua saindo pela porta WAN.

Att,
Marco Moraes

marcelloc

Verifica sua configuração de ipsec,

A rede remota precisa estar configurada para rotear pelo ipsec.

Veja que não é problema com OCSInventory e sim problema de roteamento para a rede 192.168.0.

mamoraes

Marcello,

Acontece assim:

A rede LAN da filial se comunica perfeitamente através do IPSec com a matriz. No webGUI, em Diagnostics –> Ping, digito o IP 192.168.0.2 e escolho na interface LAN: Pinga normalmente, selecionando a WAN, Ping fail.

Como o OCS executa pela console, não consigo determinar por qual interface ele saia.

Vc sabe qual é o comando para adicionar uma rota estática no pfSense? E para visualizar?
Pois mexo bem com Linux, mas com FreeBSD, muda um pouco.

tpramos

Rota estatica você adiciona pela interface mesmo, mas para o firewall obedecer essa rota você deve marcar "Bypass firewall rules for traffic on the same interface" na configurações avançadas de firewall/NAT

marcelloc

@tpramos:

Rota estatica você adiciona pela interface mesmo, mas para o firewall obedecer essa rota você deve marcar "Bypass firewall rules for traffic on the same interface" na configurações avançadas de firewall/NAT

O correto seria "…para o firewall não restringir o acesso a essa rota você..."  ;)

marcelloc

@mamoraes:

Vc sabe qual é o comando para adicionar uma rota estática no pfSense? E para visualizar?
Pois mexo bem com Linux, mas com FreeBSD, muda um pouco.

confere primeiro as rotas que você tem usando o netstat -rn

rotas estaticas podem ser adicionadas pela gui em system-> routing ou via console com o comando route.

a diferença de sintaxe para o linux é pouca:

exemplo:

no bsd
route add 192.168.0.0/24 192.168.1.1

no linux
route add -net 192.168.0.0/24 gw 192.168.1.1

Os pacotes que são criados na interface local, passam pelas regras da aba floating, talvez você consiga forçar o roteamento por lá.

mamoraes

Resolvi o problema!

Criei um gateway para a interface LAN, apontando para o próprio IP, ou seja, o gateway ficou com o mesmo IP da interface LAN e adicionei uma rota estática para o range de IP remoto.
Tudo isso para o pfSense encaminhar suas informações que são geradas localmente, como um inventário do OCS, e encaminhar pela VPN.

Obrigado pelo apoio de todos.

Abraço