IpSec PFsense
-
Esse texto é do google translator? Tá bem confuso de entender….
-
Olá amigo,
Desculpa vai o correto agora para entender:
Tenho uma VPN com Fortegate Ipsec funcionando e estou criando um backup agora PfSense IPsec também. A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel. As redes estão no mesmo routeador só que IP fixos diferentes.
O que pode ser que não tem trafico no tunnel ?
Já foi feito a liberação do firewall
Segue abaixo o Log:
Jan 26 17:08:54 charon: 09[KNL] creating delete job for CHILD_SA ESP/0xf53fe87a/139.122.208.X Jan 26 17:08:54 charon: 13[KNL] creating delete job for CHILD_SA ESP/0xca6e25ac/201.56.216.X Jan 26 17:08:54 charon: 05[IKE] <con1000|1>closing expired CHILD_SA con1001{31} with SPIs ca6e25ac_i f53fe87a_o and TS 172.26.12.0/24|/0 === 10.33.50.0/24|/0 Jan 26 17:08:54 charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI ca6e25ac: No such file or directory (2) Jan 26 17:08:54 charon: 06[JOB] CHILD_SA ESP/0xca6e25ac/201.56.216.X not found for delete Jan 26 17:08:54 charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI f53fe87a: No such file or directory (2) Jan 26 17:08:54 charon: 05[IKE] <con1000|1>sending DELETE for ESP CHILD_SA with SPI ca6e25ac Jan 26 17:08:54 charon: 05[ENC] <con1000|1>generating INFORMATIONAL_V1 request 1513429710 [ HASH D ] Jan 26 17:08:54 charon: 05[NET] <con1000|1>sending packet: from 201.56.216.X[500] to 139.122.208.X[500] (68 bytes)</con1000|1></con1000|1></con1000|1></con1000|1></con1000|1></con1000|1>
-
A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel.
alguma estaçaõ está com o ip do pfsense como gateway?
-
Sim a maquina que estou fazendo os teste. Nem pelo proprio PFsense nao tem comunicação no tunel.
Lembrando que o outro lado do servidor trabalha com checkpoint (não conheço)
-
Rode um tcpdump a partir da console/ssh na interface enc0.
Provavelmente o checkpoint do outro lado tem a rota da sua rede apontada para o outro fw. Nesse caso os pacotes podem até chegar lá mas não voltam.
-
Olá amigo desculpa a demora mas dependo muita da outra ponta para fazer os teste. Fiz conforme você solicitou verifiquei do outro lado e realmente esta jogando só para uma VPN (Fortegate) os pacotes, então resolvi junto com a outra ponta criar uma nova classe na minha rede local (PFsense) que agora é 10.10.1.0/24 e pedi para o outro lado jogar as configurações da VPN para o essa classe de rede nova.
Da mesma forma como antes, levanta a VPN mas não consigo comunicação do outro lado do servidor.
Vou mandar algumas configurações de como está a VPN para vocês olharem e ver o que pode ser feito para me ajudar
TCPDUMP
16:27:10.786570 IP 201.56.216.X > 201.56.216.X: ICMP echo request, id 43306, seq 3586, length 44 16:27:10.787255 IP 201.56.216.X > 201.56.216.X: ICMP echo reply, id 43306, seq 3586, length 44 16:27:11.453217 IP 201.56.216.X > 192.168.1.2: ICMP echo request, id 51552, seq 1, length 64
Protocolo do IPsec P1
3DES / MD5
Meu IP Externo > Gateway Remoto ServidorProtocolo do IPsec P2
ESP / 3DES / SHA1
Modo Tunnel
Minha Rede Local > Para Sub Rede Remota -
Esse dump é da wan ou da enc0? Trm ips válidos e uma tentativa de ping para ip inválido.
-
O Dump e da Wan sim…
Trm ips válidos e uma tentativa de ping para ip inválido.
Não entendi sua questão de IP acima –^
-
Segue o Dump do Enc0
tcpdump: WARNING: enc0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 65535 bytes 10:25:01.058881 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 0, length 64 10:25:02.085149 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 1, length 64 10:25:03.122198 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 2, length 64 10:25:04.130126 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 3, length 64 10:25:05.135174 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 4, length 64 10:25:06.145343 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 5, length 64 10:25:07.161550 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 6, length 64 10:25:08.195177 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 7, length 64 10:25:09.208781 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 8, length 64 10:25:10.232528 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 9, length 64
-
Esse mostra sua tentativa de ping dentro do tunel ipsec.
Na minha opinião, ainda falta a outra ponta acertar as rotas do túnel.
use o tcpdum sempre com o -n para mostrar somente ips e portas no lugar de hosts.