[Resolvido] - IPSEC - Comunicação

slanbr

Não tenho snort instalado/configurado.

slanbr

Segue o State

IPsec tcp 201.x.x.x:62504 (192.168.1.103:62283) -> 170.x.x.x:21 SYN_SENT:CLOSED 2 / 0 100 B / 0 B

dreivi

pode ser bug, nas regras do firewall ipsec tenta colocar o a rede do BB na origem e a sua rede interna no destino veja nessas regras se tem estados

suporteita

eu acho que pode ser algo na outra ponta, as vezes não configuraram rota de lá para sua rede. porque na parte do pfsense geralmente é bem simples, se as regras estão liberadas e deu como conectado, teoricamente sempre funciona.

dreivi

Verdade, essas regras de ipsec é se a rede da BB vai conectar alguma coisa dentro da sua rede não precisa vc pode até remover, quando a conexão sai da sua rede quando chegar lá tem que ter regras permitindo.

slanbr

@suporteita

Então, também achei que seria lá... porém, hora funciona hora não.... está muito estranho. Queria saber se tem algo que eu possa analisar para tentar entender o problema..

dreivi

Eu tive um problema parecido com a Mandic (não recomendo essa empresa) as vezes a vpn travava e a conexão ficava presa revisamos todas as configurações, por final era a opção de configuração do pfsense que estava habilitada [ ]Desativar rekey Desabilitar renegociação quando a conexão estiver expirando.
quando expirava a conexão, travava e não voltava mais tinha que reiniciar dos dois lados. revise as configurações dos dois lados.

slanbr

Segue o log do swanctl

[2.4.3-RELEASE][admin@localhost]/root: swanctl --log
10[IKE] initiating IKE_SA con1[5] to 170.x.x.85
10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(                                                                                                                                                             FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
10[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (336 bytes)
10[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (356 bytes)
10[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_S_IP) N(NAT                                                                                                                                                             D_S_IP) N(NATD_D_IP) N(CHDLESS_SUP) ]
10[IKE] authentication of '201.x.x.x' (myself) with pre-shared key
10[IKE] establishing CHILD_SA con1{12}
10[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_P                                                                                                                                                             AD_N) SA TSi TSr N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
10[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (256 bytes)
10[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (272 bytes)
10[ENC] parsed IKE_AUTH response 1 [ IDr AUTH N(CRASH_DET) SA TSi TSr N(ESP_TFC_                                                                                                                                                             PAD_N) N(NON_FIRST_FRAG) ]
10[IKE] authentication of '170.x.x.85' with pre-shared key successful
10[IKE] IKE_SA con1[5] established between 201.x.x.x[201.x.x.x]...170.x                                                                                                                                                             .x.85[170.x.x.85]
10[IKE] scheduling reauthentication in 14384s
10[IKE] maximum IKE_SA lifetime 14394s
10[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
10[IKE] CHILD_SA con1{12} established with SPIs c88d7812_i 055d2c70_o and TS 201                                                                                                                                                             .x.x.x/26|192.168.0.0/23 === 170.x.x.0/24|/0
13[IKE] sending DPD request
13[ENC] generating INFORMATIONAL request 2 [ ]
13[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (80 bytes)
07[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (80 bytes)
07[ENC] parsed INFORMATIONAL response 2 [ ]
14[IKE] sending DPD request
14[ENC] generating INFORMATIONAL request 3 [ ]
14[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (80 bytes)
14[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (80 bytes)
14[ENC] parsed INFORMATIONAL response 3 [ ]
07[IKE] sending DPD request
07[ENC] generating INFORMATIONAL request 4 [ ]
07[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (80 bytes)
07[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (80 bytes)
07[ENC] parsed INFORMATIONAL response 4 [ ]

slanbr

@dreivi

Fiz este teste... nada... não chega a demorar. Eu fecho o tunnel as vezes nem comunica, as vezes comunica depois da primeira conexao para. Aparentemente é bug realmente.

slanbr

12[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding

Isso poderia ser algum problema?

slanbr

Configurei outro servidor PFSense, sem nada so WAN e LAN, configurei o IPSec, funcionou em um primeiro momento... depois parou.

dreivi

veja esse item que eu te falei, revisa item por item da planilha da vpn que o banco te mandou, pode ser que o lifetime esteja errada, revisa nas duas fases também.
desmarcar o item na primeira fase:
[ ]Desativar rekey Desabilitar renegociação quando a conexão estiver expirando

slanbr

@dreivi

Como disse na resposta que vc falou dessa opção, já fiz esse teste... o problema é que não tenho acesso na ponta deles pra resetar na ponta de lá... o pessoal me responde somente por email, e demora essa resposta... as vezes dias...

Complicado. Não sei mais o que fazer, disse pra eles verificar se o problema nao é lá... por essa intermitencia funciona e nao funciona rsrsrs.

slanbr

Resolvido, era problema na rede deles mesmo. Muito obrigado galera.

obmor

Que maravilha! É froid ficar quebrando a cabeça e o problema ser do outro lado ¬¬ o bom é o aprendizado XD

Lembrar de colocar resolvido no título do post o/

Parabéns aos que ajudaram na busca da solução =D