[Resolvido] Ipsec com rede alternativa

neo_X

Olá Márcio,

Normalmente eu habilito essa opção.  Bom vamos lá, a VPN está fechada agora? Na interface IPSEC tem regra liberando o acesso? Em Diagnostics: Packet Capture consegue capturar algum pacote via IpSec?

marcelloc

Márcio, veja se na console, aparece uma interface nova quando o tunel está estabelecido.

Se aparecer, rode o tcpdump nela para ver como os pacotes estão saindo do seu firewall.

Depois que tiver esta informação, passe para o responsável da ponta remota para ver se a regra que ele criou contempla o ip de saída que você está usando.

machadomall

Obrigado por responderem,
Marcelo, com a na console só aparece as duas interfaces Wan e Lan,

ipsec
racoon IPsec VPN status  Running
Status Ativo

No ifconfig -a
Só aparce as duas Wan e Lan.

Dando um telnet com o tcpdump -ni em1 host 192.168.5.173

[2.1.3-RELEASE][admin@cerberus]/root(4): tcpdump -ni em1 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
16:13:44.254615 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:13:50.252556 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 65535, options [mss 1460,nop,nop,sackOK], length 0

Obs: Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?~~~~

machadomall

A minha regra da interface ipsec
IPv4 TCP * * * * * none

marcelloc

@Márcio:

Marcelo, com a na console só aparece as duas interfaces Wan e Lan,

Tem certeza que não tem uma interface gif0 por exemplo  ????

@Márcio:

Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?

Sem saber o que está passando no túnel, eu não recomendo você acrescentar nenhuma configuração.

neo_X

@Márcio:

A minha regra da interface ipsec
IPv4 TCP * * * * * none

Coloque
IPv4 any * * * * * none

Não precisa criar alias para essa rede.

machadomall

Marcelo,
Será isso?

plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
enc0: flags=41 <up,running>metric 0 mtu 1536</up,running></pointopoint,simplex,multicast>

machadomall

Olá pessoal,

Obrigado por tudo, consegui fechar a conexão com o cliente.

Era configuração do lado dele, não estava permitindo o trafico entre as redes.  :o

Mais uma vez muito obrigado a vocês.
;D

neo_X

Que bom que deu certo. É muito difícil analisar um problema como este,  principalmente quando não temos as informações do outro lado.

Pelo menos você aprendeu e viu que é super fácil a configuração.

machadomall

Pois é, e bem fácil a configuração.
Eu estou conhecendo agora o pFsense, estou com ele à 6 meses e confesso que estou gostando muito.

Vou montar um laboratório e brincar bastante com ele e vou também tentar implantar o Squid3-dev + Squidguard para o bloqueio ssl.

Mais uma vez muito obrigado pela ajuda de vocês.