OSPF sobre ipsec



  • Necesito algo de ayuda:

    Necesito que 3+1 pfsenses 2.3.1-RELEASE-p5 comunicados por ipsec comuniquen sus redes por ospf

    Por desgracia no puedo hacer pruebas asi que si alguien sabe como hacerlo…

    Trato de explicar la situación sin pantallazos por que no puedo sacarlos, a ver si lo consigo

    pfsense01 (redes: wan, lan1,lan2,lan3) pfsense02( redes wan lan4,lan5) pfsense03(redes wan lan6,lan7,lan8,lan9)

    hay tueneles ipsec entre todos los pfsenses:

    pfsense01<-ipsec->pfsense02      pfsense02<-ipsec->pfsense01    pfsense03<-ipsec->pfsense01
    pfsense01<-ipsec->pfsense03      pfsense02<-ipsec->pfsense03    pfsense03<-ipsec->pfsense02

    Por ahora todo lo tengo apañado por que en las configuraciones phase2 del ipsec tengo puesto las redes de cada uno.

    Pero ahora necesito añadir otro pfsense (pfsense04 con redes wan, lan10,lan11 ) que solo tiene un tunel ipsec con pfsense03

    Mi intención es que pfsense03 publique sus redes (incluida las de pfsense04) por ospf a los demas pfsenses (pfsense01,02,03) y si puedo quitarme las phase2 de los tuneles ipsec pues perfecto.

    Buscando algo por internet encontre el check Redistribute Kernel pero tengo dudas de que funcione y por desgracia no puedo hacer muchas pruebas. En caso de que el check ese sea mi solución me descoloca que no pueda elegir a traves de que tunel se publican las rutas. En el apartado de Interfaces Settings no tengo la opción de elegir por que tunel ( si fueran tuneles openvpn si que puedo )

    En cuanto pueda pongo algun pantallazo, si es necesaria mas informacion para ayudarme decírmelo que la pongo rápido

    muchas gracias



  • En general, no se puede asi como lo planteas.
    Lo que sí se puede es configurar IPsec en modo transporte entre las IPs públicas de los pfSense y luego armar túneles GRE o GIF sobre los mismos, sobre los cuales se puede rutear normalmente (incluido OSPF).

    Si lo configuras, considera estos 2 bugs que te pueden llegar a afectar (ambos tienen workarounds):
    https://redmine.pfsense.org/issues/4479
    https://redmine.pfsense.org/issues/6305



  • Que put…. mi gozo en un pozo, cambiare los tuneles ipsec por openvpn y mientras creare rutas estáticas a ver si lo puedo ir apañando

    gracias ¡¡¡



  • Lo hare de esta manera
    http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/
    imagino que funcionara bien

    muchas gracioas