IPSEC NAT/BINAT

andres.rodriguez · Jun 26, 2014, 6:08 PM

Foristas buen día

El problema es este.

Estoy montando una IPsec con un proveedor de nosotros, pero el nos envía una red con mascara /28 y me comenta que tenemos que natear mi red LAN que es mascara /24 a la red que el me envía para que los túneles levanten. esto ya lo hice en el apartado NAT/BINAT, pero no esta funcionando, estuve leyendo en varios foros y me dicen que la red que nateo debe tener el mismo tamaño de mascara que mi LAN, pero pues el proveedor no la va a cambiar entonces no se que hacer.

gracias por todo el apoyo que me puedan brindar para solucionarlo, puesto que este firewall esta en producción y necesito solucionarlo de hoy a mañana.

gracias.

bellera · Jul 1, 2014, 8:56 PM

Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

bellera · Jun 26, 2014, 8:35 PM

Selecciona Network en tu primer casillero y pon lo que desees. Pero no todos tus equipos en LAN tendrán acceso por IPSEC.

Pienso que tu proveedor te está diciendo que te limita el número de equipos que puedes conectar. Con máscara 28 sólo 14 equipos.

andres.rodriguez · Jun 27, 2014, 2:57 PM

hola josep,

Cuando me dices que en network, coloque lo que desee que debo colocar si mi red local es 192.168.20.0/24 esta claro que solo pueden ingresar a la IPsec 14 equipos como saber cuales son los 14 equipos que ingresarian o que direccionamiento debe tener?

bellera · Jun 27, 2014, 4:29 PM

http://www.subnet-calculator.com/cidr.php

192.168.20.0/28

192.168.20.1 - 192.168.20.14

bellera · Jun 27, 2014, 4:30 PM

192.168.20.16/28

192.168.20.17 - 192.168.20.30

Etcétera.

andres.rodriguez · Jun 27, 2014, 8:18 PM

josep esto ya lo hice y los tuneles no me estan levantando

andres.rodriguez · Jun 27, 2014, 10:10 PM

te comento,

resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

y bueno tu mediras si lo de crear una vlan es valido.

bellera · Jun 27, 2014, 10:34 PM

@andres.rodriguez:

resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba

Bueno, una VLAN es una subred más. Si puedes, pon el enlace del tutorial que miraste.

, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

Ahora veo que en Documentación tenemos referenciado un tutorial que se acerca a lo que estás haciendo, https://forum.pfsense.org/index.php?topic=74282.0

acriollo · Jun 28, 2014, 4:31 AM

Hola, que red es la que esta espeficando tu proveedor en la fase 2?

andres.rodriguez · Jul 1, 2014, 2:32 PM

hola acriollo,

la redo local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

bellera · Jul 1, 2014, 5:25 PM

@bellera:

En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

bellera · Jul 1, 2014, 5:26 PM

@andres.rodriguez:

la red local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

Será 28, no 48, pienso.

andres.rodriguez · Jul 1, 2014, 7:14 PM

josep,

en realidad me equivoque la red es /28 la que el proveedor me pide que tenga. pero igual tu me púedes ayudar a saber que es lo que esta pasando.

bellera · Jul 1, 2014, 8:56 PM

@bellera:

Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

Es un bug, https://redmine.pfsense.org/issues/3198

andres.rodriguez · Jul 2, 2014, 2:49 PM

hola josep,

como te decia por correo no me muetra una traza completa, solo me muetra el primer salto que es mi firewall el pfsense.

andres.rodriguez · Jul 7, 2014, 4:28 PM

Buen dia josep,,

Estamos realizando las pruebas, sobre la VPN, y necesitaria como saber que ip esta nateando segun la red con mascara/28.

bellera · Jul 8, 2014, 10:22 AM

Diagnostics: States

Diagnostics: Command prompt

pfctl -ss | egrep '(>.*>|<.*<)'

Este comando permite ver todas las traducciones de ip/puerto en curso, https://forum.pfsense.org/index.php?topic=52687.msg282056#msg282056

andres.rodriguez · Jul 8, 2014, 4:51 PM

estuve revisando estos comandos, pero no me arroja informacion clara, voy a tratar de explicarte a detalle lo que necesito.

ej

como te decia mi red es

192.168.20.0/28 pero para alcanzar los servidor 10.170.39.228 del proveedor tengo que natearla por NAT/BINAT a la red 10.136.39.48/28 esto ya esta y funciona por que la IPSEC esta arriba.

entonces las pruebas son las siguientes.

estoy haciendo una traza o ping desde la ip 192.168.20.20.4 al servidor 10.170.39.228, aca lo que quiero saber es con que ip llega o que ip natea del rango 10.136.39.48/28 cuando intenta alcanzar ese servidor.

si yo le digo al proveedor que las pruebas las estoy haciendo desde la 192.168.20.4 me va a decir que esa ip no la conoce y que por eso tengo que natearla.

no se si me hago entender.

bellera · Jul 8, 2014, 10:44 PM

Activar debug de IPsec, System: Advanced: Miscellaneous: IPsec Debug

Ver qué pasa, Status: System logs: IPsec

Postea resultados si no comprendes bien qué dicen…