VPN IPsec 3 sites
-
Boa tarde pessoal,
Meu cenario:
vpn ipsec 1 vpn ipsec 2
Cliente <–-------------------->Matriz <--------------------------->Filial
Cisco Pfsense Pfsense- Tenho uma vpn do meu cliente ligando a matriz por ipsec
- Tenho uma vpn da minha filial ligando a matriz por ipsec
- VPNs isoladas
- Agora preciso acessar meu Cliente da minha Filial. O Cliente não liberou fazer uma VPN nova da minha Filial direto para o Cliente. Tive a idéia de acessar da minha Filial passando pela Matriz e por fim conectando ao Cliente.
vpn ipsec 1 vpn ipsec2
Cliente -----------------------Matriz ------------------------------Filial
Cisco Pfsense Pfsense
|-----------------------------------------------------------------O cliente aprovou a idéia. Seria possível esse cenário? Como posso configurar a rota da minha filial ate o cliente?
Obrigado
-
Acredito que com "static route" resolveria seu problema…
O PFSense da filial têm que saber que o acesso para rede do cliente terá que ser feita através do PFSense da matriz.
https://doc.pfsense.org/index.php/Static_Routes
-
Segundo já li a respeito, basta que as configurações (policies) da conexão do cliente façam referência a rede da filia e vice-versa.
Em teoria é bem simples… mas sou novo em VPN IPSec e todas as vezes que precisei de algo do tipo, levei a maior surra e sempre corri para a alternativa de múltiplas VPNs. -
É simples fazer oq vc quer, basta incluir a rede do cliente na fase 2 da filial e a rede da filial na fase 2 do cliente.
-
Bom dia Pessoal,
Antes de colocar em produção eu estou simulando o ambiente em maquinas virtuais.
Na minha filial eu dei um trarcert para meu cliente:
tracert 10.2.1.11
1 <1 ms <1 ms <1ms 172.16.0.254 (IP do gateway da filial)
2 <1 ms <1 ms <1ms 192.168.139.2 (minha wan)
3 * * * Esgotado o tempo limite do pedido.Agora, fui na fase 2 do meu pfsene da filial eu configurei a rede do meu cliente e no cliente eu fiz o mesmo.
Quando eu dou tracert da minha filial no cliente aparece:
tracert 10.2.1.11
1 <1 ms <1 ms <1ms 172.16.0.254 (IP do gateway da filial)
2 * * * Esgotado o tempo limite do pedido.
3 * * * Esgotado o tempo limite do pedido.
4 * * * Esgotado o tempo limite do pedido.@ Na matriz, só existe um regra da Vpn Ipsec que libera tudo.
@ Na filial, só existe um regra da Vpn Ipsec que libera tudo.Protocolo Source Port Destination Port Gateway Queue Schedule
IPV4 * * * * * * none *Está parecendo problema de rota, chega no meu firewall e fica perdido.
Obrigado pela ajuda de todos.
Fabio
-
Coloca o print da fase 2 dos seus ipsec (os 3)
-
Ola,
Segue o print.
Rede Cliente: 10.0.0.0/8
Matriz: 172.16.30.0/24
Filial: 172.16.0.0/24Att
Fabio Moraes![cliente matriz.JPG](/public/imported_attachments/1/cliente matriz.JPG)
![cliente matriz.JPG_thumb](/public/imported_attachments/1/cliente matriz.JPG_thumb)
![matriz cliente filial.JPG](/public/imported_attachments/1/matriz cliente filial.JPG)
![matriz cliente filial.JPG_thumb](/public/imported_attachments/1/matriz cliente filial.JPG_thumb)
![filial matriz.JPG](/public/imported_attachments/1/filial matriz.JPG)
![filial matriz.JPG_thumb](/public/imported_attachments/1/filial matriz.JPG_thumb) -
Tem q ajustar a matriz.
- Na matriz existe duas fases dois, certo?
OBS: alterações serão feitas NA MATRIZ. Deixe a filial e o cliente do jeito q falei no post acima.
Na fase 2 da "vpn matriz/cliente" vc irá acrescentar uma entrada da seguinte forma:
Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8Na fase 2 da "vpn cliente/filial" vc irá acrescentar uma entrada da seguinte forma:
Local Subnet:10.0.0.0/8 e Remote Subnet: 172.16.0.0/24No final ficará +- assim:
"vpn matriz/cliente":
Loal Subnet: LAN e Remote Subnet: 10.0.0.0/8
Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8
"vpn cliente/filial":
Loal Subnet: LAN e Remote Subnet: 172.16.0.0/24
Local Subnet:10.0.0.0/8 e Remote Subnet: 172.16.0.0/24
OBS: só uma dica de segurança –> não exponha o IP da WAN do seu firewall. Sempre q postar um print faça um borrão no IP.
-
Maravilha, deu certo, obrigado pela ajuda. :)
-
Só uma observação.
Você terá problemas se tiver q incluir + algum cliente ou filial que tenha rede 10.X.X.X, visto que o seu cliente tem rede 10.0.0.0/8.
t+
-
Essa dica valeu para mim tbm. Obrigado pessoal!