IpSec PFsense

marcelloc

Esse texto é do google translator? Tá bem confuso de entender….

pauloleal

Olá amigo,

Desculpa vai o correto agora para entender:

Tenho uma VPN com Fortegate Ipsec funcionando e estou criando um backup agora PfSense IPsec também. A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel. As redes estão no mesmo routeador só que IP fixos diferentes.

O que pode ser que não tem trafico no tunnel ?

Já foi feito a liberação do firewall

Segue abaixo o Log:

Jan 26 17:08:54	charon: 09[KNL] creating delete job for CHILD_SA ESP/0xf53fe87a/139.122.208.X
Jan 26 17:08:54	charon: 13[KNL] creating delete job for CHILD_SA ESP/0xca6e25ac/201.56.216.X
Jan 26 17:08:54	charon: 05[IKE] <con1000|1>closing expired CHILD_SA con1001{31} with SPIs ca6e25ac_i f53fe87a_o and TS 172.26.12.0/24|/0 === 10.33.50.0/24|/0
Jan 26 17:08:54	charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI ca6e25ac: No such file or directory (2)
Jan 26 17:08:54	charon: 06[JOB] CHILD_SA ESP/0xca6e25ac/201.56.216.X not found for delete
Jan 26 17:08:54	charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI f53fe87a: No such file or directory (2)
Jan 26 17:08:54	charon: 05[IKE] <con1000|1>sending DELETE for ESP CHILD_SA with SPI ca6e25ac
Jan 26 17:08:54	charon: 05[ENC] <con1000|1>generating INFORMATIONAL_V1 request 1513429710 [ HASH D ]
Jan 26 17:08:54	charon: 05[NET] <con1000|1>sending packet: from 201.56.216.X[500] to 139.122.208.X[500] (68 bytes)</con1000|1></con1000|1></con1000|1></con1000|1></con1000|1></con1000|1> 

marcelloc

@pauloleal:

A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel.

alguma estaçaõ está com o ip do pfsense como gateway?

pauloleal

Sim a maquina que estou fazendo os teste. Nem pelo proprio PFsense nao tem comunicação no tunel.

Lembrando que o outro lado do servidor trabalha com checkpoint (não conheço)

marcelloc

Rode um tcpdump a partir da console/ssh na interface enc0.

Provavelmente o checkpoint do outro lado tem a rota da sua rede apontada para o outro fw. Nesse caso os pacotes podem até chegar lá mas não voltam.

pauloleal

Olá amigo desculpa a demora mas dependo muita da outra ponta para fazer os teste. Fiz conforme você solicitou verifiquei do outro lado e realmente esta jogando só para uma VPN (Fortegate) os pacotes, então resolvi junto com a outra ponta criar uma nova classe na minha rede local (PFsense) que agora é 10.10.1.0/24 e pedi para o outro lado jogar as configurações da VPN para o essa classe de rede nova.

Da mesma forma como antes, levanta a VPN mas não consigo comunicação do outro lado do servidor.

Vou mandar algumas configurações de como está a VPN para vocês olharem e ver o que pode ser feito para me ajudar

TCPDUMP

16:27:10.786570 IP 201.56.216.X > 201.56.216.X: ICMP echo request, id 43306, seq 3586, length 44
16:27:10.787255 IP 201.56.216.X > 201.56.216.X: ICMP echo reply, id 43306, seq 3586, length 44
16:27:11.453217 IP 201.56.216.X > 192.168.1.2: ICMP echo request, id 51552, seq 1, length 64

Protocolo do IPsec P1

3DES / MD5
Meu IP Externo > Gateway Remoto Servidor

Protocolo do IPsec P2

ESP / 3DES / SHA1
Modo Tunnel
Minha Rede Local  > Para Sub Rede Remota

marcelloc

Esse dump é da wan ou da enc0? Trm ips válidos e uma tentativa de ping para ip inválido.

pauloleal

O Dump e da Wan sim…

Trm ips válidos e uma tentativa de ping para ip inválido.

Não entendi sua questão de IP acima –^

pauloleal

Segue o Dump do Enc0

tcpdump: WARNING: enc0: no IPv4 address assigned

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 65535 bytes
10:25:01.058881 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 0, length 64
10:25:02.085149 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 1, length 64
10:25:03.122198 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 2, length 64
10:25:04.130126 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 3, length 64
10:25:05.135174 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 4, length 64
10:25:06.145343 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 5, length 64
10:25:07.161550 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 6, length 64
10:25:08.195177 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 7, length 64
10:25:09.208781 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 8, length 64
10:25:10.232528 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 9, length 64

marcelloc

Esse mostra sua tentativa de ping dentro do tunel ipsec.

Na minha opinião, ainda falta a outra ponta acertar as rotas do túnel.

use o tcpdum sempre com o -n para mostrar somente ips e portas no lugar de hosts.