VPN IPsec 3 sites

Sorriso

Acredito que com "static route" resolveria seu problema…

O PFSense da filial têm que saber que o acesso para rede do cliente terá que ser feita através do PFSense da matriz.

https://doc.pfsense.org/index.php/Static_Routes

fernandofolha

Segundo já li a respeito, basta que as configurações (policies) da conexão do cliente façam referência a rede da filia e vice-versa.
Em teoria é bem simples… mas sou novo em VPN IPSec e todas as vezes que precisei de algo do tipo, levei a maior surra e sempre corri para a alternativa de múltiplas VPNs.

rlrobs

É simples fazer oq vc quer, basta incluir a rede do cliente na fase 2 da filial e a rede da filial na fase 2 do cliente.

fabiomoraes055

Bom dia Pessoal,

Antes de colocar em produção eu estou simulando o ambiente em maquinas virtuais.

Na minha filial eu dei um trarcert para meu cliente:

tracert  10.2.1.11
1  <1 ms      <1 ms    <1ms  172.16.0.254  (IP do gateway da filial)
2  <1 ms      <1 ms    <1ms  192.168.139.2 (minha wan)
3    *              *              *      Esgotado o tempo limite do pedido.

Agora, fui na fase 2 do meu pfsene da filial eu configurei a rede do meu cliente e no cliente eu fiz o  mesmo.

Quando eu dou tracert da minha filial no cliente aparece:

tracert  10.2.1.11
1  <1 ms      <1 ms    <1ms  172.16.0.254  (IP do gateway da filial)
2    *              *            *      Esgotado o tempo limite do pedido.
3    *              *              *      Esgotado o tempo limite do pedido.
4    *              *              *      Esgotado o tempo limite do pedido.

@ Na matriz, só existe um regra da Vpn Ipsec que libera tudo.
@ Na filial, só existe um regra da Vpn Ipsec que libera tudo.

Protocolo  Source Port Destination Port Gateway Queue Schedule
IPV4 *        *        *        *            *      *          none    *

Está parecendo problema de rota, chega no meu firewall e fica perdido.

Obrigado pela ajuda de todos.

Fabio

rlrobs

Coloca o print da fase 2 dos seus ipsec (os 3)

fabiomoraes055

Ola,

Segue o print.

Rede Cliente: 10.0.0.0/8
Matriz: 172.16.30.0/24
Filial: 172.16.0.0/24

Att
Fabio Moraes


rlrobs

Tem q ajustar a matriz.

• Na matriz existe duas fases dois, certo?

OBS: alterações serão feitas NA MATRIZ. Deixe a filial e o cliente do jeito q falei no post acima.

Na fase 2 da "vpn matriz/cliente" vc irá acrescentar uma entrada da seguinte forma:
Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8

Na fase 2 da "vpn cliente/filial" vc irá acrescentar uma entrada da seguinte forma:
Local Subnet:10.0.0.0/8  e Remote Subnet: 172.16.0.0/24

No final ficará +- assim:

"vpn matriz/cliente":

Loal Subnet: LAN                e Remote Subnet: 10.0.0.0/8

Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8

"vpn cliente/filial":

Loal Subnet: LAN                e Remote Subnet: 172.16.0.0/24

Local Subnet:10.0.0.0/8  e Remote Subnet: 172.16.0.0/24

OBS: só uma dica de segurança –> não exponha o IP da WAN do seu firewall. Sempre q postar um print faça um borrão no IP.

fabiomoraes055

Maravilha, deu certo, obrigado pela ajuda. :)

rlrobs

Só uma observação.

Você terá problemas se tiver q incluir + algum cliente ou filial que tenha rede 10.X.X.X, visto que o seu cliente tem rede 10.0.0.0/8.

t+

rjunqueira

Essa dica valeu para mim tbm. Obrigado pessoal!