IPSEC VPN site to site \ desconexiones intermintentes
-
Buen dia a todos,
Tengo configurada una VPN entre 2 oficinas:
site A site B
172.16.1.0\16 192.168.10.0\24matriz (cyberoam) <–--> Internet <-----------> sucursal (pfsense)
|____________ (IPSEC)_________________|Ahora, tengo el tunel configurado correctamente, si hago ping desde el siteA algun equipo en el site b, responde el ping y viceversa. Quiero imaginar que no tengo problemas de conectividad de ningun tipo.
Los problemas que tengo son los siguientes, despues de algun tiempo la conexion se pierde entre los puntos, y la unica manera de poner a funcionar el tunel de nuevo es reinciando el servicio en alguno de los lados.
Y el otro, en el SiteA tengo un servidor web con un aplicacion para registrar clientes etc. no puedo acceder por medio http que es como funciona el sistema, pero si tengo respuesta de pings y puedo conectarme a el a travez de ssh sin ningun problema. me explico, desde la red remota 192.168.10.X no puedo abrir la pagina de inicio, pero desde la red local 172.16.1.X funciona perfectamente.
Ya tengo varios dias con este problema y no he podido solucionarlo, alguna idea?
Gracias de antemano.
-
Hola.
me paso lo mismo. utilizando 2 Pfsense, en ese entonces ambos eran versión 2.2.6
IPSEC tiene una opción de Monioreo para evitar que eso pase. (Automatically ping host) es decir Keep Alive
https://doc.pfsense.org/index.php/What_should_I_ping_for_IPsec_Keep_Alive
Pero en mi caso no me convenció y la solución fue pasar a openvpn entre los 2 pfsense.
Y deje IPSEC solo para casos donde mi otro extremo sea otro fabricante como Cisco-ASA, Fortinet, Sophos. etc…
No se si era un Bug, pero tendría que volver a probarlo pero ahora en la 2.3.4 y ver si IPSEC me convence.
Vi hace meses un caso de éxito de Pfsense con IPSEC como server site-to-site conectado con 16 nodos Cisco-ASA y caminaba fino.
-
tengo mas de 24 hrs monitoreando la conexion y no se ha caido.
Incremente el valor de la duracion de la KEY y hasta ahorita todo bien, parece que ese era el problema.
ahora, alguna pista sobre el problema con el servidor web? Estaba pensando si es necesario hacer una modificiacion a los route del servidor, agregar el gateway (ip local de pfsense) e indicarle la red 192.168.10.0/24.
Saludos.
-
Lo del servidor Web si ya le llegas por ping y ssh, deberias tambien tener respuesta web.
VAlida en los log del firewall a ver si el paquete esta pasando.
Pero no deberías modificar rutas ni nada.
-
si pasan los paquetes, un tracert desde las pc remotas y llega el paquete.
En las route del servidor, si hago un route -n me muestra solo las redes de la red interna por ejemplo, 172.16.1.0/16 y el GW 172.16.1.11 a lo q me referia era indicarle tambien que estara recibiendo desde la red 192.168.10.0/24 y el GW 192.168.10.16.
No se si me explique bien…..
-
Buen día
Haz un telnet hacia el servidor por el puerto 80. Otra pregunta, intentas acceder via hhtp por dirección IP o por URL?
Saludos
-
En cuanto a lo del IPSEC, hace tiempo experimente un problema similar, como no me dejan tiempo suficiente para hacer el upgrade y pruebas en caso de que falle, sigo con la version 2.2.1 pero se que es un bug del pfsense, tengo 5 tuneles ipsec de los 4 sin problemas pero 1 cada cierto tiempo dejaba de funcionar, lo que observaba es que la segunda fase hacia muchas conexiones a veces hasta mas de 50, hasta que se colgaba el tunel. La manera en que lo solucione fue agregando el sig valor en System: Advanced: System Tunables
net.key.preferred_oldsa 0
Tambien deshabilite las extensiones cisco DISABLE UNITY PLUGIN, la cual me ocasionaba conflicto en otro tunel.
Aun sobrevivo con ese ligero inconveniente, mi tunel es muy raro que se cuelgue pero hace muchas conexiones en la fase 2, de manera que se generan muchos SPI.
En cuanto al problema del webserver, si lo estas alcanzando por otros puertos, y localmente, creo que el problema radica en que tengas algun blockeo en el pfsense local o bien en el firewall del mismo webserver, de manera que estes blockeando las solicitudes al puerto 80 desde una zona publica pero no la local, para propositos del firewall al menos en windows la otra lan la considera como zona publica o remota.
Saludos