Problema IPSEC x SRV AD
-
Na verdade passei a informação errada, em Diagnostics > Routes contem está info 'IP do AD Matriz + Gateway do FW da Filial', agora é possível excluir está rota de algum jeito?
-
@luick Essa rota é proveniente da regra de firewall que você criou com o gateway.
-
Já fiz a exclusão da regra é ainda consta lá.
-
@luick Se ela continua lá, provavelmente você deve ter configurado o firewall da filial para utilizar o dns do AD, certo?
-
Ja deletei todas as configurações vinculadas ao ip do AD no firewall da filial, e não saiu da tabela de rota. Complicado!
Acho que vou voltar para o IPSec que estava funcionando mesmo. O problema que eu identifiquei no IPSec é que fica caindo em tempos em tempos e não reconecta novamente.
Não sei se teria uma solução para está situação.
-
@luick Quais são os logs de quando o ipsec cai? Você ativou o dead peer detection?
Em relação ao openvpn, salve a configuração do firewall, edite o arquivo da configuração .xml, e procure pelo ip do AD, deve haver um registro lá.
Edit: Habilitar o keep alive nos 2 lados do túnel também costuma resolver o problema do ipsec.
-
please let clear all one by one . i really need to understand
-
@mcury , Aumentei os números de reconexão, até agora não caiu. Consigo colocar os computadores no domínio sendo que está tendo uma grande demora cerca de 25 a 40 minutos na hora que coloca as credencias nos computadores dos usuários.
Na minha rede local não demora nem 1 minuto.
Por conta desta demora não carrega gpo e nada. Como eu tenho openvpn client to site, não posso por esta lentidão quando coloco o computador no domínio, só estou com problema no IPSec.
-
@luick estranho, você consegue instalar o iperf3 em uma das máquinas e testar pelo outro lado do túnel?
-
Consegui baixar o iperf3 em um computador da filial, quais comandos posso utilizar nele?
-
@luick Precisa ter o iperf3 dos 2 lados do túnel.
Um lado você já conseguiu, no computador da filial.Se conseguir instalar em um computador da matriz, seguem os comandos para um teste básico:
Cliente: iperf3 -c ip_do_servidor -i 1
Server: iperf3 -sDesta forma, você consegue ter uma ideia da banda que o IPsec está conseguindo, e também do openvpn, para fins de comparação.
obs: use computadores atrás do túnel, evite usa o aplicativo iperf3 que tem no pfsense, pois essa não é a maneira recomendada.
Também, durante o teste, recomendo verificar a utilização de CPU do pfsense, para confirmar se você não está com um processador fraco para a criptografia escolhida.
Em relação a observação que fiz anteriormente, onde pedi para que você salvasse a configuração do pfsense e editasse com notepad ou editor de texto, é para confirmar o motivo daquela rota ainda estar lá.
Existe um bug que só foi corrigido de fato na versão 2.5, na versão 2.4.5p1 ainda existe, e você pode estar passando por isso, vide bug: https://redmine.pfsense.org/issues/8922Edit: Esqueci de mencionar, para monitorar o cpu do pfsense, você pode conectar por SSH e digitar, top -aSH
-
Iperf3 funcionou perfeitamente, o trafego na rede fluiu.
Por fim desabilitei o IPSEC e também o DNS resolver.
Fiz a habilitação do DNS Forwarder, coloquei na lista dos SERVERS DNS Matriz e ativei o OPENVPN funcionou como uma luva sem travamento e demora na hora do User logar na estação de trabalho.Aquela rota desapareceu do nada da lista.
Muito obrigado pela ajuda ai.
-
De nada luick, o importante é estar funcionando e te atendendo.
-
I am going to read this. I will be sure to return. thanks for sharing. and also This article gives the light in which we can observe the reality. this is very good and gives detailed information. Thanks for this good article ... Total Market Enquiry