Ipsec cisco e pfsense
-
BOm dia pessoal….Meu cenario que preciso de ajuda:
Matriz
Pfsense 2.1, link dedicado com ip fixo
Faixa de rede 192.168.0.0Remota
Roteador cisco rv042, link com ip fixo
Faixa de rede 192.168.1.xPreciso que o pessoal da remota, acesse os compartilhamentos e servidor ts na rede 192.168.0.xxx
O que fiz:
No PFsense criei um tunnel ( Vpn - Ipse), com as configuracoes conforme os prints de tela anexo.Fui no firewal, rules, no ipsec e criei uma regra para ipv4, protocolo any, e o resto tudo * ( a principio liberando tudo)
Na wan criei regras liberando as portas 500 e 4500 - ipv4 udp.No cisco configurei uma vpn, gateway-to-gateway com os mesmos dados. Para os testes, desativei o firewall do cisco tambem.
Porem nao consigo acessar a rede 192.168.0.xx de traz do cisco ( 192.168.1.xxx)
Se alguem pduer dar uma luz...ja fiz tutoriais aqui e alguns posts..... mas por enquanto nada... :)
-
As telas do cisco.,..ja que ao couberam no post anterior
-
O ipsec no pfsense:
O que ta com retangulo preto era o ip remoto e o vermelho o local
O ip da rede remota esta como 192.168.3.0 pois estava fazendo um teste e fiz a mudanc
Prints:
-
Usei como base esse doc e o video abaqixo…mas nao tive sucesso....
Da como conectado mas a redes nao se comunicam....
https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS
https://www.youtube.com/watch?v=aSXBOA7X1fY&feature=relatedÈ preciso fazer um outbound nat manual para funcionar??
-
Olá …
Cara.. sua Vpn está fechada. Tem SAD com bytes e SPD indicando as conexões e sentido das mesmas.
Já verificou ou criou regras de firewall entre as duas redes ?Como está o log IPsec ? Tem fase2 com IPsec-SA Established ? (imagino que sim pois tem o SAD com bytes), no entanto verifique este log e veja se apresenta algum erro.
Em alguns casos que configurei deixei NAT automático, porém eu não usei NAT-T.
Abs.
-
Ola Jleandro, nos logs do ipsec nao cosntam msgs de erro.
A regra de firewall que alterei foi na aba ipsec, deixar tudo liberado, e na aba wan liberar as portas 500 e 4500
Abs.
-
marcosjost, essa é uma diferença… olhei em um aqui em produção e tenho uma regra liberando uma subnet (lan) para algumas subnets (ipsec), porém essa regra está na aba LAN e não na IPsec.
-
Obrigado jleandro,
Entao teria que colocar uma regra na lan, liberando lan –-> ipsec e ipsec --> lan ? -
BOm, fiz duas regras na lan:
regra 1 - protocolo any –-- source * destino rede 192.168.3.0/24 ( rede atraz do cisco)
regra 2 - protocolo any ----source rede 192.168.3.0/24 destino *
Do servidors ( windows server ) na rede do pfsense ( 192.168.0.xx) consigo pingar o ip interno do cisco ( 192.168.3.1) , um note ( 192.168.3.10) e acessar o compartilhamento de rede desse note pelo ip 192.168.3.10Mas do note ( atraz do cisco, an rede remota) nao consigo pingar nenum host na rede do pfesense ( 192.168.0.xxx), tao pouco acessar compartilhamento.....
Tanto o note remoto, quanto o windows server na rede do pfsense estao com firewall desligados. O cisco tambem esta com firewall desativado.Do note ( 192.168.3.10 na rede do cisco) dei um tracert no ip do firewall na outra rede ( 192.168.0.100) e vi que para no ip interno do cisco ( 192.168.3.1)
-
Hummm a rede 192.168.0.0/24 tem como gateway padrão (default route) o servidor pfsense ? pode ser rota de retorno para a rede 192.168.3.0/24
Se for outro pode ser necessária uma rota estática no gateway (ou nas máquinas que vc deseja acessar) para desviar o tráfego para o pfsense… ou é alguma acl do cisco ...abs
-
Hummm a rede 192.168.0.0/24 tem como gateway padrão (default route) o servidor pfsense ? pode ser rota de retorno para a rede 192.168.3.0/24
Se for outro pode ser necessária uma rota estática no gateway (ou nas máquinas que vc deseja acessar) para desviar o tráfego para o pfsense… ou é alguma acl do cisco ...abs
Sim, a rede 192.160.0.0/24 tem como gateway o pfsense…
No cisco como desativei o firewal, as acl tambem estao desativadas.... Mas acho que é com ele o problema, pois pelo menos o tracert do ip da rede para a rede do pfsense ta parando no ip interno dele.... -
Bom…como comentei, o problema era o cisco mesmo.... Mas nao eram acls ou algo assim....
Notei que ontem, quando fechava a vpn e do servidor atraz do pfsense acessava o note atras do cisco...dava uns 15 minutos e o cisco travava...nao respondia mais em nenuma interface.
Tinha que desligar a alimentacao ou esperar algumas horas e ele resetava sozinho...
Minha primeira ideia foi reseta-lo para os padros de fabrica...mas antes resolvi ver a versao do firmware dele.....vi que ele estava com a versao 4.1.1.01 de 2012, e tinha no site da cisco a 4.2.2.08 de 2013....
Na filosofia de pior que estava nao tinha como ficar, fiz um backup geral dele e depois a atualização.....
Quando reiniciou.... vpn fechada....fui testar e consegui acesso tanto do servidor 2008 atraz do pfsense para o note atraz do cisco, quanto do note para o servidor 2008 ....ping, ts, compartilhamento...tudo ok...
Esta a mais de hora com ts e ping rodando nos dois lados e tudo ok....vou esperar ate o final do dia, se nao ocorrer travamentos esta solucionado.Jleandro: Muito obrigado pela ajuda!
UPDATE: 24 Hs depois e nada de travar ou cair.... Problema resolvido!
-
Legal ! Parabéns.