Internet over IPsec

bellera

¿ Puedes poner imágenes de cómo tienes los NAT Outbound ?

No termino de entender qué quieres decir con configurar los NAT. En principio, en automático debería ir todo.

Y si la surcursal tiene salida física a internet también debería salir. El túnel no tiene nada que ver, a menos que por razones de seguridad desees obligar a la sucursal a navegar por la conexión a internet de la central.

Saludos,

Josep Pujadas-Jubany

byPCS

Gracias Sr. Josep por la pronta respuesta.

En la Sucursal no tengo salida a internet solo una VPN fisica hasta Casa Central, por eso y por seguridad necesito pasar internet a travez del IPSec.
o en su defecto generar rutas por defecto (sin levantar IPSec sobre mi VPN), para poder encausar todo el trafico hacia casa central.

INTERNET  10.0.107.64/30 * * * * * NO
INTERNET  192.168.2.0/24 * * * * * NO

Internet = es mi tarjeta WAN en casa central (mediante VLAN)
El mismo ISP me provee la VPN fisica (otra VLAN) hasta la sucursal (por interface OPT1)

bellera

Con OpenVPN esto es simplemente un parámetro.

Con IPSEC creo que no se puede hacer automáticamente.

Prueba en un equipo cliente de la sucursal a ponerle como puerta de enlace la IP de la LAN de la central.

Y en la LAN de la central pon una regla en LAN rules que permita que el tráfico de dicha IP salga (a internet).

Si esto funciona, entonces en el DHCP del pfSense de la sucursal tendrás que indicar que la puerta sea la IP de la LAN de la central. De esa forma, todos los equipos de la sucursal tendrán dicha puerta.

A su vez, en la central tendrás que aplicar la regla de LAN rules para toda la subred de la sucursal.

Insisto en que igual no funciona el tema, pues son dos subredes distintas y, además, la LAN tiene que "rebotar" el tráfico procedente la VPN.

Ya dirás si "el invento" funciona.

Saludos,

Josep Pujadas-Jubany

bellera

Si sólo es navegación otra solución sería imponer un proxy en la central para la sucursal…

byPCS

gracias….

probare ambas "recetas" y luego comento..

Saludos...

byPCS

estimado Bellera..

queria comentarte que solamente pude hacer funcionar poniendo el proxy en mis navegadores y otros servicios, el cual funciona perfecto..

Ahora estoy con otro dilema ya que el MS Outlook ni el Zimbra Desktop me funciona..pero eso es otro cuento..

Gracias por tu asistencia nuevamente..

Saludos..

bellera

Tendrás que dar más permisos. Tienes puertos inaccesibles (supongo que a través de la VPN):

http://wiki.zimbra.com/wiki/Firewall_Configuration

byPCS

lo raro es que mi mailserver lo tengo en una DMZ (OPT2), y desde la red VPN (OPT1), tengo una regla con full acceso desde VPN a DMZ..
Por lo que voy a seguir investigando…hacientro un tracert o ping, se resuelve sin dramas, pero no me deja abrir ningun puerto del servicio de mail.

gracias por la sugerencia...

bellera

Seguramente tengas que indicar una ruta estática en tus servidores para la subred que tienes al otro lado. De lo contrario las peticiones llegan, pero la vuelta es por su puerta de enlace por defecto.

byPCS

Estimado Bellera, efectivamente

agregue una ruta estatica indicando las subredes y todo funciona de maravillas..

gracias por la ayuda..

por mi parte doy por cerrado este hilo…

saludos..