Problema IPSEC x SRV AD

mcury

@luick Então há um problema de roteamento, pois se entendi corretamente o que você informou, o pacote não sai da filial, ele chega no Firewall da filial mas não sai pelo túnel.

Pode ser um problema de rotas sobrepostas, por ex você tem um 10.x.x.x/16 na tabela de roteamento da filial, e está tentando sair pelo túnel openvpn para uma rede 10.y.y.y/16

Dê uma conferida se não existem redes sobrepostas, e também na configuração do openvpn

luick

Não existe pelo menos olhei nas configurações e nada.

Cara testei aqui e só está com problema no IP específico que é o do AD, muito estranho.

mcury

@luick Hm, só no IP do AD?
Pingando da filial você consegue então pingar outros IPs da mesma rede do AD, mas não o AD?

luick

@mcury , consigo pinga para outros computadores.

mcury

@luick É, essa parece que será necessário fazer uma captura de pacotes lá no firewall da matriz.
Tem lá na GUI do pfsense, um menu chamado Diagnostics > Packet Capture
Clique lá, seleciona a interface onde o AD está, coloque o protocolo ICMP, e host o IP do computador da filial que está tentando pingar.
Confirme se há ECHO chegando da filial e REPLY do AD de volta para a filial.

luick

Fiz e não da nenhum resultado. Investigando mais na tabela de roteamento do PFSENSE Filial, está com o IP do AD e gateway apontando para o próprio PFSENSEFILIAL.

Uma obs eu não exclui as configurações do ipsec, só desabilitei. Teria algum problema neste sentido?

mcury

@luick Eu acho que não, desabilitar já seria o suficiente, mas eu não posso garantir sem margem de dúvida pois nunca tive um ipsec desabilitado e uma openvpn configurada para o mesma interface.

Mas levando em consideração que o ping vindo de computadores da filial, passando pela openvpn, e funcionando para outros hosts que não sejam o AD e que estão na mesma rede do AD, isso indica que o problema não é a openvpn.

Na tabela de roteamento do firewall da filial, não deveria constar a rede do AD?
Estranho você mencionar que só aparece o IP do AD e gateway apontando para o próprio IP da filial.

luick

No FW da Filial está um regra explicita IP do AD + Gateway do FW da Filial.
E em baixo está a REDE da Matriz + Gateway do Rede remota que conecta os dois FW.

Está rota IP do AD + Gateway FW Filial deveria existir? Acho que é por causa desta rota que gera o conflito.

Lembrando que no DNS resolver da Filial estou especificando o host e domain do AD, apontando para o IP do AD.

mcury

@luick Desabilita essa regra do AD que tem o gateway, e tente novamente.

luick

Na verdade passei a informação errada, em Diagnostics > Routes contem está info 'IP do AD Matriz + Gateway do FW da Filial', agora é possível excluir está rota de algum jeito?

mcury

@luick Essa rota é proveniente da regra de firewall que você criou com o gateway.

luick

Já fiz a exclusão da regra é ainda consta lá.

mcury

@luick Se ela continua lá, provavelmente você deve ter configurado o firewall da filial para utilizar o dns do AD, certo?

luick

Ja deletei todas as configurações vinculadas ao ip do AD no firewall da filial, e não saiu da tabela de rota. Complicado!

Acho que vou voltar para o IPSec que estava funcionando mesmo. O problema que eu identifiquei no IPSec é que fica caindo em tempos em tempos e não reconecta novamente.

Não sei se teria uma solução para está situação.

mcury

@luick Quais são os logs de quando o ipsec cai? Você ativou o dead peer detection?

Em relação ao openvpn, salve a configuração do firewall, edite o arquivo da configuração .xml, e procure pelo ip do AD, deve haver um registro lá.

Edit: Habilitar o keep alive nos 2 lados do túnel também costuma resolver o problema do ipsec.

dreamtuhin3

please let clear all one by one . i really need to understand

luick

@mcury , Aumentei os números de reconexão, até agora não caiu. Consigo colocar os computadores no domínio sendo que está tendo uma grande demora cerca de 25 a 40 minutos na hora que coloca as credencias nos computadores dos usuários.

Na minha rede local não demora nem 1 minuto.

Por conta desta demora não carrega gpo e nada. Como eu tenho openvpn client to site, não posso por esta lentidão quando coloco o computador no domínio, só estou com problema no IPSec.

mcury

@luick estranho, você consegue instalar o iperf3 em uma das máquinas e testar pelo outro lado do túnel?

luick

Consegui baixar o iperf3 em um computador da filial, quais comandos posso utilizar nele?

mcury

@luick Precisa ter o iperf3 dos 2 lados do túnel.
Um lado você já conseguiu, no computador da filial.

Se conseguir instalar em um computador da matriz, seguem os comandos para um teste básico:

Cliente: iperf3 -c ip_do_servidor -i 1
Server: iperf3 -s

Desta forma, você consegue ter uma ideia da banda que o IPsec está conseguindo, e também do openvpn, para fins de comparação.

obs: use computadores atrás do túnel, evite usa o aplicativo iperf3 que tem no pfsense, pois essa não é a maneira recomendada.

Também, durante o teste, recomendo verificar a utilização de CPU do pfsense, para confirmar se você não está com um processador fraco para a criptografia escolhida.

Em relação a observação que fiz anteriormente, onde pedi para que você salvasse a configuração do pfsense e editasse com notepad ou editor de texto, é para confirmar o motivo daquela rota ainda estar lá.
Existe um bug que só foi corrigido de fato na versão 2.5, na versão 2.4.5p1 ainda existe, e você pode estar passando por isso, vide bug: https://redmine.pfsense.org/issues/8922

Edit: Esqueci de mencionar, para monitorar o cpu do pfsense, você pode conectar por SSH e digitar, top -aSH