IPSEC NAT/BINAT

bellera

Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

bellera

Selecciona Network en tu primer casillero y pon lo que desees. Pero no todos tus equipos en LAN tendrán acceso por IPSEC.

Pienso que tu proveedor te está diciendo que te limita el número de equipos que puedes conectar. Con máscara 28 sólo 14 equipos.

andres.rodriguez

hola josep,

Cuando me dices que en network, coloque lo que desee que debo colocar si mi red local es 192.168.20.0/24 esta claro que solo pueden ingresar a la IPsec 14 equipos como saber cuales son los 14 equipos que ingresarian o que direccionamiento debe tener?

bellera

http://www.subnet-calculator.com/cidr.php

192.168.20.0/28

192.168.20.1 - 192.168.20.14

bellera

192.168.20.16/28

192.168.20.17 - 192.168.20.30

Etcétera.

andres.rodriguez

josep esto ya lo hice y los tuneles no me estan levantando

andres.rodriguez

te comento,

resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

y bueno tu mediras si lo de crear una vlan es valido.

bellera

@andres.rodriguez:

resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba

Bueno, una VLAN es una subred más. Si puedes, pon el enlace del tutorial que miraste.

, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

Ahora veo que en Documentación tenemos referenciado un tutorial que se acerca a lo que estás haciendo, https://forum.pfsense.org/index.php?topic=74282.0

acriollo

Hola, que red es la que esta espeficando tu proveedor en la fase 2?

andres.rodriguez

hola acriollo,

la redo local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

bellera

@bellera:

En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

bellera

@andres.rodriguez:

la red local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

Será 28, no 48, pienso.

andres.rodriguez

josep,

en realidad me equivoque la red es /28 la que el proveedor me pide que tenga. pero igual tu me púedes ayudar a saber que es lo que esta pasando.

bellera

@bellera:

Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

Es un bug, https://redmine.pfsense.org/issues/3198

andres.rodriguez

hola josep,

como te decia por correo no me muetra una traza completa, solo me muetra el primer salto que es mi firewall el pfsense.

andres.rodriguez

Buen dia josep,,

Estamos realizando las pruebas, sobre la VPN, y necesitaria como saber que ip esta nateando segun la red con mascara/28.

bellera

Diagnostics: States

Diagnostics: Command prompt

pfctl -ss | egrep '(>.*>|<.*<)'

Este comando permite ver todas las traducciones de ip/puerto en curso, https://forum.pfsense.org/index.php?topic=52687.msg282056#msg282056

andres.rodriguez

estuve revisando estos comandos, pero no me arroja informacion clara, voy a tratar de explicarte a detalle lo que necesito.

ej

como te decia mi red es

192.168.20.0/28 pero para alcanzar los servidor 10.170.39.228 del proveedor tengo que natearla por NAT/BINAT a la red 10.136.39.48/28 esto ya esta y funciona por que la IPSEC esta arriba.

entonces las pruebas son las siguientes.

estoy haciendo una traza o ping desde la ip 192.168.20.20.4 al servidor 10.170.39.228, aca lo que quiero saber es con que ip llega o que ip natea del rango 10.136.39.48/28 cuando intenta alcanzar ese servidor.

si yo le digo al proveedor que las pruebas las estoy haciendo desde la 192.168.20.4 me va a decir que esa ip no la conoce y que por eso tengo que natearla.

no se si me hago entender.

bellera

Activar debug de IPsec, System: Advanced: Miscellaneous: IPsec Debug

Ver qué pasa, Status: System logs: IPsec

Postea resultados si no comprendes bien qué dicen…

andres.rodriguez

estos son los resultados:

Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 b2a9abed 0000005c b652fb8d 460158da 94a60dd3 1a2efb84 f0dce8de a393485f 1ce55260 0c5932ac b4204104 3bd72844 47b29c7b 360ab30c 38e058e3 1270bcae 0f029f72 24abad4b
Jul 11 14:47:27 	racoon: DEBUG: sendto Information notify.
Jul 11 14:47:27 	racoon: DEBUG: IV freed
Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: DPD R-U-There sent (0)
Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: rescheduling send_r_u (5).
Jul 11 14:47:27 	racoon: DEBUG: ===
Jul 11 14:47:27 	racoon: DEBUG: 84 bytes message received from 200.32.82.AAA[500] to 190.85.197.XXX[500]
Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 a3c0a686 00000054 1aa5f1da 52a6a444 fdebab95 6fbd8fc1 266b4c18 8d5b8987 d8a55da0 f6374552 e360d812 8b112220 c44ab5bd 818fc8ab c971ece9 b218cfeb
Jul 11 14:47:27 	racoon: DEBUG: receive Information.
Jul 11 14:47:27 	racoon: DEBUG: compute IV for phase2
Jul 11 14:47:27 	racoon: DEBUG: phase1 last IV:
Jul 11 14:47:27 	racoon: DEBUG: b9f7ac2d da76534c a3c0a686
Jul 11 14:47:27 	racoon: DEBUG: hash(sha1)
Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
Jul 11 14:47:27 	racoon: DEBUG: phase2 IV computed:
Jul 11 14:47:27 	racoon: DEBUG: 8fa2b9eb 391c6bec
Jul 11 14:47:27 	racoon: DEBUG: begin decryption.
Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
Jul 11 14:47:27 	racoon: DEBUG: IV was saved for next processing:
Jul 11 14:47:27 	racoon: DEBUG: c971ece9 b218cfeb
Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
Jul 11 14:47:27 	racoon: DEBUG: with key:
Jul 11 14:47:27 	racoon: DEBUG: 91abe98d 3d3cb900 7ad62da2 5c80467a d746b625 ff39e30b
Jul 11 14:47:27 	racoon: DEBUG: decrypted payload by IV:
Jul 11 14:47:27 	racoon: DEBUG: 8fa2b9eb 391c6bec
Jul 11 14:47:27 	racoon: DEBUG: decrypted payload, but not trimed.
Jul 11 14:47:27 	racoon: DEBUG: 0b000018 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
Jul 11 14:47:27 	racoon: DEBUG: padding len=179
Jul 11 14:47:27 	racoon: DEBUG: skip to trim padding.
Jul 11 14:47:27 	racoon: DEBUG: decrypted.
Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 a3c0a686 00000054 0b000018 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
Jul 11 14:47:27 	racoon: DEBUG: IV freed
Jul 11 14:47:27 	racoon: DEBUG: HASH with:
Jul 11 14:47:27 	racoon: DEBUG: a3c0a686 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
Jul 11 14:47:27 	racoon: DEBUG: hmac(hmac_sha1)
Jul 11 14:47:27 	racoon: DEBUG: HASH computed:
Jul 11 14:47:27 	racoon: DEBUG: 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70
Jul 11 14:47:27 	racoon: DEBUG: hash validated.
Jul 11 14:47:27 	racoon: DEBUG: begin.
Jul 11 14:47:27 	racoon: DEBUG: seen nptype=8(hash)
Jul 11 14:47:27 	racoon: DEBUG: seen nptype=11(notify)
Jul 11 14:47:27 	racoon: DEBUG: succeed.
Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: DPD R-U-There-Ack received
Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: received an R-U-THERE-ACK