[Resolvido] Pingando entre Filiais com tunel IPSEC

claylson

Se tua matriz é o ponto central (gateway) dessa configuração, acredito que apenas esta faltando rotas na sua matriz pra que as lojas se encontrem.

O link abaixo pode lhe ajudar.
https://forum.pfsense.org/index.php?topic=48325.0

Olá empbilly,
Minha matriz não é o gateway, quando me referi a "ponto central" é que todas as filias se encontram na matriz, já tentei a configuração desse link ai e não deu certo, porque o pacote nem chega a sair da minha filial.

rlrobs

Para as duas filiais se enxergarem vc precisa incluir as redes de cada uma delas na fase 2 do ipsec.

Loja 1 = 192.168.1.0/24
Loja 2 = 192.168.2.0/24

Na fase 2 de loja 1 inclua a rede 192.168.2.0/24 e na fase 2 da loja 2 inclua a rede 192.168.1.0/24

Faça isso no IPsec da matriz tbm

claylson

Olá pessoal,
Segui a dica do fabricioguzzy e do rlRobs mas mesmo assim não consigo pingar da loja 1 para loja 2.

Segue minha configuração.

pfREGRAS.jpg_thumb

pfIPSEC.jpg_thumb

brunok

Acho que precisa de uma rota de retorno.

Loja 1 pra Loja 2 com GW interface IPSEC
Loja 2 pra Loja 1 com GW interface IPSEC

rlrobs

A config é essa mesmo. Uso dessa forma aqui e funciona bem.

Você liberou o tráfego nas pontas (interface ipsec da loja 1 e loja 2)?

fabricioguzzy

Olá CSMELO,
Boa Tarde!!

Sua configuração está OK. Eu uso exatamente desta forma (conforme imagem que postei) e tudo OK.
Penso que vc deva re-verificar suas regras entre as Filiais e a Matriz. Verifique os LOGs de Firewall. (Verifique se as regras que vc criou estão gerando LOG).
Veja também se os Túneis estão todos Up and Running (Verificar na ABA, STATUS / IPSEC - Phase 1 e Phase 2)
os LOGs vão delatar o que está acontecendo ai. Veja se os pacotes estão realmente chegando das filiais para a Matriz.
Outra coisa muito Importante: Lembre-se que os pacotes das Filiais vão chegar do outro lado com os IP's de origem, ou seja, sua regras de Firewall devem permitir a rede do outro lado a trafegar e não a rede da sua interface LAN apenas. (Vejo muita gente se perder nessa parte)

Escreva contanto o que achou nos LOGs

Abraço
Fabricio Guzzy.

claylson

Bom dia Pessoal,

Verifiquei que os tuneis que eu crie(PHASE 2 com a rede das filiais) que não estão UP, reiniciei até o servidor e mesmo assim não subiu. Vou verificar quando estiver na empresa e retorno.

Obrigado pelo apoio!
Claylson Melo

rlrobs

Só uma dica. Use IKEv2, pois a autenticação é bem mais rápida que a V1.

claylson

Olá pessoal,
Deu tudo certo com essa configuração que coloquei, o problema era porque os tuneis novos que criei não estavam UP, daí reiniciei o servidor dos 2 lados e deu tudo certo.

Muito Obrigado e até mais!!!

P.S.: Como eu coloco esse tópico como Resolvido

marcelloc

@csmelo:

P.S.: Como eu coloco esse tópico como Resolvido

Altera o assunto do primeiro post do tópico