¿Me ayudais con la configuracion? (IPSEC site-to-site con varias redes privadas)
-
Ya te contesté, ¿no?
Usar LAN como puerta y en [System] [Gateway] [Routes]
Destination network 192.168.1.0/24 - Gateway 192.168.20.1
Destination network 10.0.10.0/24 - Gateway 192.168.20.1pues los equipos tiene siempre a LAN como puerta… También te dije que "a probar" porque no tengo un montaje así con IPSEC y no sé si la primera ruta ya la gestiona directamente IPSEC. En la 1.x no lo hacía, según el libro de pfSense.
-
El problema es que en el edificio 2, cuando voy a las rutas estaticas, no me deja seleccionar la lan, solamente me deja seleccionar como gateways, las gateways que hay definidas, y solamente esta la de la wan, entonces la ruta estatica, no la aplica para la vpn…
He encontrado una manera, en el ipsec, he definido dos phases 2, con diferentes rangos, y llego a hacer ping del rango 10 al edificio 1, desde el 2, pero no llega a enrutarme la salida por la conexion corporativa... me explico:
en el equipo del edificio 2, (192.168.10.2), hago un ping a 10.0.10.100, que es un equipo que esta en el edificio 1, pero con doble ip, y puerta de enlace, 192.168.1.1, y este ping me responde.
En cambio, tengo la ip, 10.100.1.100, que esta detras de la conexion corporativa, ( y haciendo ping desde la 10.0.10.100, responde), y si le hago ping desde el edificio 2, no llego a verla... como si no me terminase de enrutar a traves del pfsense de edificio 1, para la vpn en concreto.No se si me explico con claridad...
-
Igual se puede añadir la propia LAN como puerta
Ver las imágenes que te pasé. Se puede añadir la propia LAN como puerta:
http://forum.pfsense.org/index.php/topic,54911.msg293759.html#msg293759
un equipo que esta en el edificio 1, pero con doble ip
A saber si vuelve por una u otra. Ojo con estas cosas porque se entra fácilmente en enrutados erróneos. A ser evitable, una tarjeta y una IP por equipo. Y cableado o VLANs que separen el nivel físico.
Lo primero es llegar a WAN1 desde un equipo en la LAN de Edificio 2. Si llegas a WAN1 desde Edificio 2, llegarás al resto.
He encontrado una manera, en el ipsec, he definido dos phases 2, con diferentes rangos
Si se puede hacer, es un buena solución.
Recuerda tener reglas que autoricen el paso. Inicialmente no hagas restricciones, para poder hacer las pruebas.
-
Te muestro un esquema un poco mejor de como estoy montandolo y lo explico.
Como ves el edificio 1, es un caos… Me explico. La wan1 (10.0.10.65) es un router cisco corporativo, al cual no se tiene acceso, este se trabaja con el rango 10.0.10.65/8 por imposicion corporativa.
Luego tenemos una wan2, que es el router adsl, de telefonica, que si que podemos gestionar, y que tengo redireccionado al pfsense, mediante el dmz.La wan1, y la wan2, no van directos a las tarjetas, del pfsense, porque los equipos tienen doble ip, una del rango 10.0.10.x, y otra del rango 192.168.1.x
con la puerta de enlace por defecto 192.168.1.1, para que todo salga por la adsl de telefonica, salvo lo que se enruta por la 10.0.10.65, que es la conexion corporativa.
El tema de la doble ip, no me gusta nada, pero me veo obligado a dejarlo, porque hay servidores que tienen este rango y puerta de enlace, (10), y no puedo cambiarlos por imposicion.
En el tema de la 192, es algo mas flexible.Actualmente tengo el pfsense1 que me hace ping, desde la lan a 10.x.x.x, saliendo por la 10.0.10.65
En el edificio 2, tengo un pfsense que monte con una placa alix, detras de un router de telefonica de fibra. Con el dmz del router apuntando a la tarjeta wan del pfsense.
En el edificio 2, hay de momento un par de equipos, que como puerta de enlace tienen al pfsense (192.168.10.1)
El pfsense 1 esta unido al pfsense 2, mediante vpn por ipsec. De momento, desde el pfsense2 puedo hacer ping por su lan, a 10.0.10.66. Pero no llego a poder hacer un ping a algun servidor que cuelgue en la red corporativa (p. ej. 10.100.20.100).
La intencion, es que este equipo pueda acceder al rango del 10.x.x.x, mediante el router corporativo del edificio 1 (pasando por la vpn). He conseguido que llegue a salir por la 192.x.x.x del edificio 1, ya que hay una aplicacion que mediante esa adsl, se conecta a unos servidores en inglaterra. El tema es que necesito que pueda salir por las dos.Intentare hacer captura de configuración actual, para mostrarla, a ver que se os ocurre.
-
Algunas capturas del edificio 1
-
Y algo mas del edificio 1
-
[System] [Advanced] [Firewall / NAT] [Disable Auto-added VPN rules]
Note: This disables automatically added rules for IPsec, PPTP.Si esta casilla está desmarcada se supone que no son necesarias las reglas que pones en las WAN para IPSEC. Pero, bueno, esto es sólo un detalle.
A parte de esto, si en las WANs tienes una primera regla que autoriza todo el resto (de reglas) no sirven de nada. Supongo que esto es porque pusiste una regla "no restrictiva" en primer lugar para hacer pruebas.
Tu túnel desde Edificio 2 termina en LAN de Edificio 1 por lo que pienso te falta autorización del tráfico de Edificio 2 en [Firewall] [Rules] [LAN] de Edificio 1.
Para hacer pruebas quita LAN net como origen, poniendo cualquier origen, en la regla que tienes para LAN. De esta forma no tendrás restricción alguna.
La ruta a 10.0.10.0/8 en Edificio 1 es innecesaria. Es más, según documentación de pfSense jamás deben ponerse rutas estáticas para subredes de pfSense.
Mapea la interfase WAN coorporativa como 10.0.10.x/8. Quiero decir que te asegures que tu máscara coincide con la de la red corporativa.
-
La ruta del 10.0.10.x/8, la habia puesto porque los equipos por ejemplo tienen ip 10.0.10.70, con mascara 255.255.255.192, (el router corporativo es 10.0.10.65/255.255.255.192) y los pc's por ejemplo acceden a un servidor dns en 10.80.1.100. Por eso habia puesto la ruta.
-
Entonces:
10.10.0.64/26 (10.10.0.64 - 10.10.0.127 con máscara 255.255.255.192) para tu WAN1.
10.0.0.0/8 (10.0.0.0 - 10.255.255.255 con máscara 255.0.0.0) para tu red corporativa.
por lo que, claro, estás obligado a indicar la ruta. Si funciona, bien.
No termino de entender los 8 bit de máscara porque entonces fíjate que el rango es todas las direcciones ip que empiecen por 10.
http://www.subnet-calculator.com/cidr.php
-
Lo de los 8 bits, lo ponia, para que todo lo que sea una peticion a 10.xxxx, lo enrute por la conexion corporativa.
-
Ya…
La reflexión es que 10.0.10.0/8 es lo mismo que 10.0.0.0/8
Si lo tienes claro, ningún problema...
-
Uno de los principales problemas que creo que tengo es que al no tener acceso al router cisco corporativo, no tengo puesto ninguna ruta, ni como puerta de enlace la ip del pfsense, y creo que por ahi puede venir algun problema, no?
-
Pero a tu router corporativo las peticiones le llegan siempre con la IP de la WAN1, que pertenece a su subred. O sea que no precisa ruta alguna.
Si la interfase de pfSense unida al enrutador está como una WAN (WAN1), las peticiones hacia la ruta corporativa están NATeadas y por eso se ven como si fueran de WAN1.
El hilo es de hace días, ¿dónde estás exactamente? Quiero decir si tienes algún punto no resuelto en estos momentos…