[Resolvido] Ipsec com rede alternativa
-
Olá pessoal,
Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.Minha rede padrão no pfsense rede local: 192.168.1.0/24
Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?
Grato.
-
consegue pingar o ip remoto?
-
Bom dia,
Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar. -
o que diz o log do ipsec? as rotas estao ok?
-
No IpSec esta ok aparentimente.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)A rota que você quer dizer é entre Minha rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?
-
A rota que você quer dizer é entre Minha rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?
sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..
-
Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.
host do cliente: 192.168.5.173
em1 = lan
[2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytesem0 = wan
[2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes -
Olá Machado,
Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?
-
Isso mesmo.
-
Tentando dar um Telnet no ip do cliente na porta 80.
[2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173 ###host do cliente da outra ponta####
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags, seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags, seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags, seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0 -
sua interface esta com Block private networks desmarcada?
-
Sim, esta desmarcada.
-
Você terá que "natear" sua VPN.
LAN 192.168.1.0/24 traduzir para 192.168.26.0/24 destino - Rede Cliente.
Essa opção tem na versão 2.1
-
Bem, estou criando um ambiente de teste do pfsense da ultima versão.
Você tem algum print de exemplo dessa regra?
Obrigado.
-
Olá Márcio, essa configuração é bem tranquila. Na fase 2 você especifica:
Sua LAN: 192.168.1.0/24
Traduzir para: 192.168.26.0/24
Rede Destino: LAN ClienteNo meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.
-
Obrigado Neo_X,
Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.Tentei fazer varias rotas das duas primeiras redes e nada.
Grato.
-
O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.
-
Obrigado pela ajuda.
Segue prints anexo.
-
As configurações do seu cliente estão iguais as configuradas nas fases 1 e 2 do seu firewall?
-
Obrigado por responder,
Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)
Quando configuro a fase 2 dessa forma,
LAN(local): 192.168.1.0/24
Traduzir para(vpn): 192.168.26.0/24
Rede Destino(cliente): 192.168.5.0/24Dá:
racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in![Rede Pfsense.png](/public/imported_attachments/1/Rede Pfsense.png)
![Rede Pfsense.png_thumb](/public/imported_attachments/1/Rede Pfsense.png_thumb)