Ipsec vpn Net to Net proxy server
-
Buenos Dias/Tardes
Requiero su colaboracion con lo siguiente, para que se me pueda entender aki va mi escenario
internet (Ip Publica)
|
(192.179.10.0/24) | VPN
lan <–------------------> FW Pfsense <-----------------------------> FW Pfsense<---> Lan
10.2 192.168.129.2/29 192.168.129.5/29 192.168.70.0/24FW Pfsense
WAN = IP Publica (INTERNET)
WAN1 = 192.168.129.2/29
LAN = 192.168.10.2/24Sucursal
FW Pfsense
WAN = IP Privada (192.168.129.5/29)
LAN = 192.168.70.2/24Tunnel Ipsec entre Wan1 ---- Wan
Aperture una VPN con Ipsec de tipo Net to Net, con un tutorial que encontre logre hacer que los equipos que se encuentran en la sucursal tenga navegacion a traves de la central, tambien se tiene acceso a los equipos.
Sin embargo, para los equipos de la sucursal, se debe restringir sus accesos al internet, como ser facebook, pornografia, etc. para tal objetivo me apoyo en Squid, SuidGuard (los mismos paquetes estan instalados en la Central, funciona de maravilla).
Mi problema esa que cuando activo los servicios de proxy transparente en el fw de la central los equipos ya no tienen navegacion, sale el mensaje Time Out, No se pudo resolver el sitio. Notar que se tiene pings al DNS, a cualquier sitio, a la red interna.
Las reglas de Ipsec, WAN estan para permitir todo, tanto en el Fw de la Central como el de la Sucursal
Que pudiera estar pasando?
De antemano gracias por si colaboracion, espero haya sido lo suficientemente claro.
-
Mi problema esa que cuando activo los servicios de proxy transparente en el fw de la central los equipos ya no tienen navegacion, sale el mensaje Time Out, No se pudo resolver el sitio.
¿En qué interfases está activo squid? Entiendo que debe escuchar para WAN1 y LAN. ¿Es así?
-
Perdon por la demora….
en el lado A que tiene 3 tarjetas (wan, wan1, lan) el proxy server esta aplicado en lan
en el lado B que tiene 2 tarjetas (wan, lan), aplico el proxy server en la lan, no hay navegacion, solo pings, aplico el proxy server a WAN o lo desactivo existe navegacion
NOTA.- el Lado B tiene internet del lado A
lado A WAN ---- acceso a internet
WAN1 --- ipsec entre el lado B (WAN), ambas interfaces no cuentan con acceso a internet, son solo ips de comunicacion.De antemano gracias
-
Esto esta interesante :).
Entiendo que si el trafico de internet va a ser por el sitio principal (A). el proxy debe de escuchar en las interfaces LAN y la que conecta a la otra sucursal ? WAN1 u OPT1 ?
En el caso del sitio B , este no debe de tener proxy habilitado .. creo yo.. Mr. Bellera , saquenos de la duda por favor.. :)
saludos!!
-
el proxy debe de escuchar en las interfaces LAN y la que conecta a la otra sucursal ? WAN1 u OPT1 ?
Los túneles de las VPN unen las LANs. Por tanto, entiendo que no tiene sentido que el proxy escuche la WAN1 de la central.
Creo que lo que tienes que hacer es forzar la navegación en la sucursal hacia el proxy de la central.
Puede que NAT Port Forward en la sucursal te sirva:
https://forum.pfsense.org/index.php/topic,15571.msg82588.html#msg82588
https://forum.pfsense.org/index.php/topic,21083.msg108436.html#msg108436