Problema Rota VPN Site to Site IPSEC
-
Prezados,
Sou novo aqui no fórum mais trabalho com pfsense a pouco tempo. Estou com um problema de roteamento, vou tentar ser o mais claro
possível quanto este caso:Tenho um cliente que vamos chamar ele de Matriz ok? Pois é o cliente que está a fornecer o serviço de VPN site to site através de IP sec. Eu sou o Remote Partner
Esse cliente me passou as seguintes configurações:
Com as informações por eles passadas iniciei a fase1:
Realizei a configuração da Fase2:
E o resultado foi a conexão, a VPN está estabelecida:
O meu problema:
-O meu firewall (Pfsense) está na rede 192.168.20.0/24
-Eles liberaram para Tráfego de vpn a Rede 192.168.191.64/29 então fiz um NAT na Fase2 está correto?
-A rede deles é 172.25.96.0/22
-Porque eu não consigo pingar nenhum host da rede 172.25.96.0?
-Detalhe eu fui em Firewall>Rules e em IPsec e criei as regras:
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 ICMP * * * * * none ipsec
IPv4 * * * * * * none Libera_Site_SiteE mesmo assim continuo não pigando nenhum endereço da 172.
Será que alguém pode me dar alguma luz? O que mais está faltando liberar? Alguma regra?
Muito Obrigado
-
Ninguém pra dar uma luz no fim do túnel?
-
Gostaria de poder ajudar, mas estou aqui na rebarba pra aprender também porque o assunto me interessa.
Quero fechar uma VPN pra interligar acesso entre matriz e filial.
-
Vamos lá…
Se eu entendi a sua subrede local é a 192.168.20.0/24 e a remota deles a 172.25.96.0/22.
Minhas recomendações:
1 - Não use SHA1 como HASH, não é mais seguro, mas se não houver opção ok, só uma sugestão.
2 - Só habilite DPD na Fase 1 se do outro lado o dispositivo suporta a função e também está ativada.
3 - Na Fase 2 do seu pfSense você tem duas criptografias ativadas, AES128 e AES128-GCM, deixe só AES128 a não ser que a matriz tenha especificado.
4 - Na Fase 2, se a sua subrede estiver na interface LAN do pfSense não é preciso especifica-la novamente.Se essas mudanças não surtirem resultado, melhor postar o LOG do IPSec aqui.
-
Felipe tudo bem?
Isso mesmo, a minha rede é 192.168.20.0/24 e a remota deles 172.25.96.0/22 e eles pediram para fazer um nat em 192.168.191.64/29.
Cara eu realizei as recomendações mais mesmo assim sem nenhum efeito.Segue o log do ipsec:
Last 50 IPsec log entries
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1001{665} with SPIs cfc8b5bf_i (0 bytes) c77833e1_o (0 bytes) and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI cfc8b5bf
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI cfc8b5bf
Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 2961096954 [ HASH D ]
Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1000{668} with SPIs ce8061ff_i (0 bytes) e818ac8e_o (0 bytes) and TS 192.168.191.64/29|192.168.188.0/22 === 10.101.4.0/22|/0
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1000{668} with SPIs ce8061ff_i (0 bytes) e818ac8e_o (0 bytes) and TS 192.168.191.64/29|192.168.188.0/22 === 10.101.4.0/22|/0
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI ce8061ff
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI ce8061ff
Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 2685326949 [ HASH D ]
Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>deleting IKE_SA con1000[37] between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>deleting IKE_SA con1000[37] between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for IKE_SA con1000[37]
Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for IKE_SA con1000[37]
Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 1185124002 [ HASH D ]
Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (92 bytes)
Dec 1 15:47:37 charon: 06[CFG] received stroke: terminate 'con1000'
Dec 1 15:47:37 charon: 06[CFG] no IKE_SA named 'con1000' found
Dec 1 15:47:37 charon: 09[CFG] received stroke: initiate 'con1000'
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>initiating Main Mode IKE_SA con1000[38] to 200.250.232.233
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>initiating Main Mode IKE_SA con1000[38] to 200.250.232.233
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ SA V V V V V V ]
Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (200 bytes)
Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (104 bytes)
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ SA V ]
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>received FRAGMENTATION vendor ID
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>received FRAGMENTATION vendor ID
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ KE No ]
Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (196 bytes)
Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (184 bytes)
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ KE No ]
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ ID HASH ]
Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (76 bytes)
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ ID HASH ]
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>IKE_SA con1000[38] established between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>IKE_SA con1000[38] established between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>scheduling reauthentication in 28009s
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>scheduling reauthentication in 28009s
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>maximum IKE_SA lifetime 28549s
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>maximum IKE_SA lifetime 28549s
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating QUICK_MODE request 1461502246 [ HASH SA No ID ID ]
Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (188 bytes)
Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (172 bytes)
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed QUICK_MODE response 1461502246 [ HASH SA No ID ID ]
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>CHILD_SA con1000{671} established with SPIs c3447cda_i 8f9c31ea_o and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
Dec 1 15:47:37 charon: 06[IKE] <con1000|38>CHILD_SA con1000{671} established with SPIs c3447cda_i 8f9c31ea_o and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating QUICK_MODE request 1461502246 [ HASH ]
Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (60 bytes)Tracert para o IP de destino:
Tracing route to 172.25.104.75 over a maximum of 30 hops1 <1 ms <1 ms <1 ms 192.168.20.1
2 1 ms 1 ms 1 ms gvt-b-sr02.spo.gvt.net.br [189.59.241.160]
3 2 ms 1 ms 1 ms gvt-be-1.rd21.spo.gvt.net.br [187.115.223.51]
4 * * * Request timed out.
5 * * * Request timed out.Valeu pela força, mais to perdidinho não sei pq não consigo atingir o outro lado.</con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37>
-
UP!!!!