[Resolvido] Ipsec com rede alternativa
-
Olá Márcio, essa configuração é bem tranquila. Na fase 2 você especifica:
Sua LAN: 192.168.1.0/24
Traduzir para: 192.168.26.0/24
Rede Destino: LAN ClienteNo meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.
-
Obrigado Neo_X,
Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.Tentei fazer varias rotas das duas primeiras redes e nada.
Grato.
-
O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.
-
Obrigado pela ajuda.
Segue prints anexo.
-
As configurações do seu cliente estão iguais as configuradas nas fases 1 e 2 do seu firewall?
-
Obrigado por responder,
Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)
Quando configuro a fase 2 dessa forma,
LAN(local): 192.168.1.0/24
Traduzir para(vpn): 192.168.26.0/24
Rede Destino(cliente): 192.168.5.0/24Dá:
racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in
 -
Manda as informações da fase 1.
-
Segue print Fase1
Grato.
-
Confirma se o lado do cliente está usando o PFS key Group na fase 2. Na sua conf está off.
-
Oi neo_X bom dia,
Sim deve estar como OFF mesmo, se eu mudar para o grupo 1,2 ou 3 ele não conecta.
Grato.
-
Olá Márcio,
Normalmente eu habilito essa opção. Bom vamos lá, a VPN está fechada agora? Na interface IPSEC tem regra liberando o acesso? Em Diagnostics: Packet Capture consegue capturar algum pacote via IpSec?
-
Márcio, veja se na console, aparece uma interface nova quando o tunel está estabelecido.
Se aparecer, rode o tcpdump nela para ver como os pacotes estão saindo do seu firewall.
Depois que tiver esta informação, passe para o responsável da ponta remota para ver se a regra que ele criou contempla o ip de saída que você está usando.
-
Obrigado por responderem,
Marcelo, com a na console só aparece as duas interfaces Wan e Lan,ipsec
racoon IPsec VPN status Running
Status AtivoNo ifconfig -a
Só aparce as duas Wan e Lan.Dando um telnet com o tcpdump -ni em1 host 192.168.5.173
[2.1.3-RELEASE][admin@cerberus]/root(4): tcpdump -ni em1 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
16:13:44.254615 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:13:50.252556 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 65535, options [mss 1460,nop,nop,sackOK], length 0Obs: Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?~~~~
-
A minha regra da interface ipsec
IPv4 TCP * * * * * none -
@Márcio:
Marcelo, com a na console só aparece as duas interfaces Wan e Lan,
Tem certeza que não tem uma interface gif0 por exemplo ????
@Márcio:
Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?
Sem saber o que está passando no túnel, eu não recomendo você acrescentar nenhuma configuração.
-
@Márcio:
A minha regra da interface ipsec
IPv4 TCP * * * * * noneColoque
IPv4 any * * * * * noneNão precisa criar alias para essa rede.
-
Marcelo,
Será isso?plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
enc0: flags=41 <up,running>metric 0 mtu 1536</up,running></pointopoint,simplex,multicast> -
Olá pessoal,
Obrigado por tudo, consegui fechar a conexão com o cliente.
Era configuração do lado dele, não estava permitindo o trafico entre as redes. :o
Mais uma vez muito obrigado a vocês.
;D -
Que bom que deu certo. É muito difícil analisar um problema como este, principalmente quando não temos as informações do outro lado.
Pelo menos você aprendeu e viu que é super fácil a configuração.
-
Pois é, e bem fácil a configuração.
Eu estou conhecendo agora o pFsense, estou com ele à 6 meses e confesso que estou gostando muito.Vou montar um laboratório e brincar bastante com ele e vou também tentar implantar o Squid3-dev + Squidguard para o bloqueio ssl.
Mais uma vez muito obrigado pela ajuda de vocês.
