[Resolvido] Pingando entre Filiais com tunel IPSEC
-
Olá Amigos,
Utilizo o pfSense a um bom tempo, mas só agora estou configurando o mesmo para fechar a conexão entre as filias da empresa que trabalho.
Meu senário é o seguinte:
Matriz = 192.168.0.0/24 (Ficam todos os meu servidores)
Loja 1 = 192.168.1.0/24
Loja 2 = 192.168.2.0/24
A Loja 1 e 2 fecha um tunel IPSEC com Matriz, e consigo pingar nos servidores da matriz facilmente.
Gostaria de saber como eu faço para pingar da Loja 1 para Loja 2 sem ter que criar um tunel entre elas, visto que as duas conectam em um ponto central, no caso a Matriz.
Desde já agradeço a Ajuda.
Claylson Melo -
Se tua matriz é o ponto central (gateway) dessa configuração, acredito que apenas esta faltando rotas na sua matriz pra que as lojas se encontrem.
O link abaixo pode lhe ajudar.
https://forum.pfsense.org/index.php?topic=48325.0 -
Claylson,
Você precisa "divulgar/publicar" as redes das Filiais 1 e 2 nos tuneis com Matriz ou os pacotes não serão roteados pra lá mesmo que vc coloque uma rota estática. Segue uma imagem abaixo para ilustrar. Eu tenho exatamente este mesmo modelo aqui.
Espero que te ajude.
Abraço
Fabricio Guzzy.
-
Claylson,
Você precisa "divulgar/publicar" as redes das Filiais 1 e 2 nos tuneis com Matriz ou os pacotes não serão roteados pra lá mesmo que vc coloque uma rota estática. Segue uma imagem abaixo para ilustrar. Eu tenho exatamente este mesmo modelo aqui.
Espero que te ajude.
Abraço
Fabricio Guzzy.Olá fabricioguzzy,
Mas isso eu configuro do lado da minha filial, visto que na matriz já estão todas as vpn das outras filiais? -
Se tua matriz é o ponto central (gateway) dessa configuração, acredito que apenas esta faltando rotas na sua matriz pra que as lojas se encontrem.
O link abaixo pode lhe ajudar.
https://forum.pfsense.org/index.php?topic=48325.0Olá empbilly,
Minha matriz não é o gateway, quando me referi a "ponto central" é que todas as filias se encontram na matriz, já tentei a configuração desse link ai e não deu certo, porque o pacote nem chega a sair da minha filial. -
Para as duas filiais se enxergarem vc precisa incluir as redes de cada uma delas na fase 2 do ipsec.
Loja 1 = 192.168.1.0/24
Loja 2 = 192.168.2.0/24Na fase 2 de loja 1 inclua a rede 192.168.2.0/24 e na fase 2 da loja 2 inclua a rede 192.168.1.0/24
Faça isso no IPsec da matriz tbm
-
Olá pessoal,
Segui a dica do fabricioguzzy e do rlRobs mas mesmo assim não consigo pingar da loja 1 para loja 2.Segue minha configuração.
-
Acho que precisa de uma rota de retorno.
Loja 1 pra Loja 2 com GW interface IPSEC
Loja 2 pra Loja 1 com GW interface IPSEC -
A config é essa mesmo. Uso dessa forma aqui e funciona bem.
Você liberou o tráfego nas pontas (interface ipsec da loja 1 e loja 2)?
-
Olá CSMELO,
Boa Tarde!!Sua configuração está OK. Eu uso exatamente desta forma (conforme imagem que postei) e tudo OK.
Penso que vc deva re-verificar suas regras entre as Filiais e a Matriz. Verifique os LOGs de Firewall. (Verifique se as regras que vc criou estão gerando LOG).
Veja também se os Túneis estão todos Up and Running (Verificar na ABA, STATUS / IPSEC - Phase 1 e Phase 2)
os LOGs vão delatar o que está acontecendo ai. Veja se os pacotes estão realmente chegando das filiais para a Matriz.
Outra coisa muito Importante: Lembre-se que os pacotes das Filiais vão chegar do outro lado com os IP's de origem, ou seja, sua regras de Firewall devem permitir a rede do outro lado a trafegar e não a rede da sua interface LAN apenas. (Vejo muita gente se perder nessa parte)Escreva contanto o que achou nos LOGs
Abraço
Fabricio Guzzy. -
Bom dia Pessoal,
Verifiquei que os tuneis que eu crie(PHASE 2 com a rede das filiais) que não estão UP, reiniciei até o servidor e mesmo assim não subiu. Vou verificar quando estiver na empresa e retorno.
Obrigado pelo apoio!
Claylson Melo -
Só uma dica. Use IKEv2, pois a autenticação é bem mais rápida que a V1.
-
Olá pessoal,
Deu tudo certo com essa configuração que coloquei, o problema era porque os tuneis novos que criei não estavam UP, daí reiniciei o servidor dos 2 lados e deu tudo certo.Muito Obrigado e até mais!!!
P.S.: Como eu coloco esse tópico como Resolvido
-
@csmelo:
P.S.: Como eu coloco esse tópico como Resolvido
Altera o assunto do primeiro post do tópico
