Dúvida com NAT/IPSEC
-
Pessoal, tenho funcionando uma conexão IPSEC site-to-site entre pfsense (2.3.3-RELEASE) e Palo Alto.
pfSense WAN: XXX.XX.190.97
pfSense LAN: 192.168.10.0/24
IP virtual LAN: 10.240.55.254/23
Peer remoto: XXX.XXX.186.166A rede local tem dois endereçamentos diferentes no mesmo barramento, sendo 192.168.10.0/24 configurada na LAN e 10.24.54.0/23 com IP virtual.
Um dos túneis é o seguinte:
Local: 10.240.54.0/23 Remote: XXX.XXX.181.0/24Nessa configuração, quando mando um pacote da rede 10.240.54.0/23 para XXX.XXX.181.99, eu vejo o pacote ESP com origem XXX.XXX.190.97 e destino XXX.XXX.186.166, indicando corretamente que foi encaminhado pelo túnel.
Porém, por exigência do peer remoto, as estações na rede 192.168.10.0/24 não podem acessar diretamente XXX.XXX.181.0/24, precisa ser feito um NAT de 192.168.10.0/24 para 10.240.55.254.
Quando eu faço esse NAT OUTBOUND, o pacote não mais vai para o túnel, e eu vejo no tcpdump do gateway de borda uma tentativa de 10.240.55.254 para XXX.XXX.181.99, indicando que o NAT foi feito, mas o pacote tentou sair "por fora" do túnel.
Alguém tem uma ideia do que possa ser?
Não sei se consegui explicar corretamente. -
Pessoal, tenho funcionando uma conexão IPSEC site-to-site entre pfsense (2.3.3-RELEASE) e Palo Alto.
pfSense WAN: XXX.XX.190.97
pfSense LAN: 192.168.10.0/24
IP virtual LAN: 10.240.55.254/23
Peer remoto: XXX.XXX.186.166A rede local tem dois endereçamentos diferentes no mesmo barramento, sendo 192.168.10.0/24 configurada na LAN e 10.24.54.0/23 com IP virtual.
Um dos túneis é o seguinte:
Local: 10.240.54.0/23 Remote: XXX.XXX.181.0/24Nessa configuração, quando mando um pacote da rede 10.240.54.0/23 para XXX.XXX.181.99, eu vejo o pacote ESP com origem XXX.XXX.190.97 e destino XXX.XXX.186.166, indicando corretamente que foi encaminhado pelo túnel.
Porém, por exigência do peer remoto, as estações na rede 192.168.10.0/24 não podem acessar diretamente XXX.XXX.181.0/24, precisa ser feito um NAT de 192.168.10.0/24 para 10.240.55.254.
Quando eu faço esse NAT OUTBOUND, o pacote não mais vai para o túnel, e eu vejo no tcpdump do gateway de borda uma tentativa de 10.240.55.254 para XXX.XXX.181.99, indicando que o NAT foi feito, mas o pacote tentou sair "por fora" do túnel.
Alguém tem uma ideia do que possa ser?
Não sei se consegui explicar corretamente.Atualizando: vi aqui mesmo no forum recomendações pra fazer o NAT na fase 2.
Acontece que lá no peer remoto, eles não esperam um túnel com origem 192.168.10.0/24, então se eu criar uma fase 2 com essa rede e o IP 10.240.55.254 no NAT, o túnel não sobe. Se ao invés de IP eu colocar a rede inteira 10.240.54.0/23 como NAT, aí sim o túnel sobe, porém o NAT é aleatório, fiz um teste aqui do IP 192.168.10.251 por exemplo, tentando pingar XXX.XXX.181.99, e ele traduziu pra 10.240.54.0, enviando corretamente por dentro do túnel, mas na outra ponta não sei o peer remoto vai aceitar se não chegar lá com 10.240.55.254. Creio que ele nem deve saber que é NAT, e aceitar normalmente como se viesse da própria rede 10.240.54.0/23, confere? -
Veja com NAT tranversal. Se você precisa enviar IPSEC passando por um NAT precisa usar NAT TRANVERSAL.
-
Veja com NAT tranversal. Se você precisa enviar IPSEC passando por um NAT precisa usar NAT TRANVERSAL.
Sim, creio que essa opção de NAT/BINAT na fase2 seja o NAT transversal dele.