• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

IPSEC NAT/BINAT

Scheduled Pinned Locked Moved Español
23 Posts 3 Posters 4.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • A
    andres.rodriguez
    last edited by Jun 26, 2014, 6:08 PM

    Foristas buen día

    El problema es este.

    Estoy montando una IPsec con un proveedor de nosotros, pero el nos envía una red con mascara /28 y me comenta que tenemos que natear mi red LAN que es mascara /24 a la red que el me envía para que los túneles levanten. esto ya lo hice en el apartado NAT/BINAT, pero no esta funcionando, estuve leyendo en varios foros y me dicen que la red que nateo debe tener el mismo tamaño de mascara que mi LAN, pero pues el proveedor no la va a cambiar entonces no se que hacer.

    gracias por todo el apoyo que me puedan brindar para solucionarlo, puesto que este firewall esta en producción y necesito solucionarlo de hoy a mañana.

    gracias.

    1 Reply Last reply Reply Quote 0
    • B
      bellera
      last edited by Jul 1, 2014, 8:56 PM Jun 26, 2014, 7:21 PM

      Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

      1 Reply Last reply Reply Quote 0
      • B
        bellera
        last edited by Jun 26, 2014, 8:35 PM Jun 26, 2014, 7:23 PM

        Selecciona Network en tu primer casillero y pon lo que desees. Pero no todos tus equipos en LAN tendrán acceso por IPSEC.

        Pienso que tu proveedor te está diciendo que te limita el número de equipos que puedes conectar. Con máscara 28 sólo 14 equipos.

        1 Reply Last reply Reply Quote 0
        • A
          andres.rodriguez
          last edited by Jun 27, 2014, 2:57 PM

          hola josep,

          Cuando me dices que en network, coloque lo que desee que debo colocar si mi red local es 192.168.20.0/24 esta claro que solo pueden ingresar a la IPsec 14 equipos como saber cuales son los 14 equipos que ingresarian o que direccionamiento debe tener?

          1 Reply Last reply Reply Quote 0
          • B
            bellera
            last edited by Jun 27, 2014, 4:29 PM

            http://www.subnet-calculator.com/cidr.php

            192.168.20.0/28

            192.168.20.1 - 192.168.20.14

            1 Reply Last reply Reply Quote 0
            • B
              bellera
              last edited by Jun 27, 2014, 4:30 PM

              192.168.20.16/28

              192.168.20.17 - 192.168.20.30

              Etcétera.

              1 Reply Last reply Reply Quote 0
              • A
                andres.rodriguez
                last edited by Jun 27, 2014, 8:18 PM

                josep esto ya lo hice y los tuneles no me estan levantando

                1 Reply Last reply Reply Quote 0
                • A
                  andres.rodriguez
                  last edited by Jun 27, 2014, 10:10 PM

                  te comento,

                  resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

                  y bueno tu mediras si lo de crear una vlan es valido.

                  1 Reply Last reply Reply Quote 0
                  • B
                    bellera
                    last edited by Jun 27, 2014, 10:34 PM

                    @andres.rodriguez:

                    resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba

                    Bueno, una VLAN es una subred más. Si puedes, pon el enlace del tutorial que miraste.

                    , pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

                    En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

                    Ahora veo que en Documentación tenemos referenciado un tutorial que se acerca a lo que estás haciendo, https://forum.pfsense.org/index.php?topic=74282.0

                    1 Reply Last reply Reply Quote 0
                    • A
                      acriollo
                      last edited by Jun 28, 2014, 4:31 AM

                      Hola, que red es la que esta espeficando tu proveedor en la fase 2?

                      1 Reply Last reply Reply Quote 0
                      • A
                        andres.rodriguez
                        last edited by Jul 1, 2014, 2:32 PM Jul 1, 2014, 2:24 PM

                        hola acriollo,

                        la redo local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

                        1 Reply Last reply Reply Quote 0
                        • B
                          bellera
                          last edited by Jul 1, 2014, 5:25 PM

                          @bellera:

                          En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

                          1 Reply Last reply Reply Quote 0
                          • B
                            bellera
                            last edited by Jul 1, 2014, 5:26 PM

                            @andres.rodriguez:

                            la red local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

                            Será 28, no 48, pienso.

                            1 Reply Last reply Reply Quote 0
                            • A
                              andres.rodriguez
                              last edited by Jul 1, 2014, 7:14 PM

                              josep,

                              en realidad me equivoque la red es /28 la que el proveedor me pide que tenga. pero igual tu me púedes ayudar a saber que es lo que esta pasando.

                              1 Reply Last reply Reply Quote 0
                              • B
                                bellera
                                last edited by Jul 1, 2014, 8:56 PM

                                @bellera:

                                Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

                                Es un bug, https://redmine.pfsense.org/issues/3198

                                1 Reply Last reply Reply Quote 0
                                • A
                                  andres.rodriguez
                                  last edited by Jul 2, 2014, 2:49 PM

                                  hola josep,

                                  como te decia por correo no me muetra una traza completa, solo me muetra el primer salto que es mi firewall el pfsense.

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    andres.rodriguez
                                    last edited by Jul 7, 2014, 4:28 PM

                                    Buen dia josep,,

                                    Estamos realizando las pruebas, sobre la VPN, y necesitaria como saber que ip esta nateando segun la red con mascara/28.

                                    1 Reply Last reply Reply Quote 0
                                    • B
                                      bellera
                                      last edited by Jul 8, 2014, 10:22 AM

                                      Diagnostics: States

                                      Diagnostics: Command prompt

                                      pfctl -ss | egrep '(>.*>|<.*<)'
                                      

                                      Este comando permite ver todas las traducciones de ip/puerto en curso, https://forum.pfsense.org/index.php?topic=52687.msg282056#msg282056

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        andres.rodriguez
                                        last edited by Jul 8, 2014, 4:51 PM

                                        estuve revisando estos comandos, pero no me arroja informacion clara, voy a tratar de explicarte a detalle lo que necesito.

                                        ej

                                        como te decia mi red es

                                        192.168.20.0/28 pero para alcanzar los servidor 10.170.39.228 del proveedor tengo que natearla por NAT/BINAT a la red 10.136.39.48/28 esto ya esta y funciona por que la IPSEC esta arriba.

                                        entonces las pruebas son las siguientes.

                                        estoy haciendo una traza o ping desde la ip 192.168.20.20.4 al servidor 10.170.39.228, aca lo que quiero saber es con que ip llega o que ip natea del rango 10.136.39.48/28 cuando intenta alcanzar ese servidor.

                                        si yo le digo al proveedor que las pruebas las estoy haciendo desde la 192.168.20.4 me va a decir que esa ip no la conoce y que por eso tengo que natearla.

                                        no se si me hago entender.

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          bellera
                                          last edited by Jul 8, 2014, 10:44 PM

                                          Activar debug de IPsec, System: Advanced: Miscellaneous: IPsec Debug

                                          Ver qué pasa, Status: System logs: IPsec

                                          Postea resultados si no comprendes bien qué dicen…

                                          1 Reply Last reply Reply Quote 0
                                          20 out of 23
                                          • First post
                                            20/23
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received