IPsec não fecha na fase2



  • Amigos, boa tarde!

    Preciso muito da ajuda de vocês. Infelizmente não tenho conhecimento de VPN e a empresa que trabalho é focada em desenvolvimento, com isso, não temos nenhuma infraestrutura robusta como firewall, etc. Porém estamos com um novo cliente e como todos os outros, fazemos acesso remoto para correção de bugs etc. Uma solicitação deste cliente foi a instalação de uma VPN para fazer Site to Site. Em pesquisas, vi que o PFsense tem essa funcionalidade. Instalei e configurei o mesmo porém em testes com a empresa, a fase2 não está fechando. Segundo ele é problema em minha rede e fica difícil de eu rebater algo que não tenho conhecimento. Então peço ajuda dos entendidos para me guiar neste problema que estou tendo. Vou mostra minha topologia de rede:

    Modem -> roteador (básico sem regra alguma no firewall) -> maquina fisíca -> máquina virtual com o PFsense estalado (criei uma placa de rede em modo NAT e outra em modo bright)

    Meu PFsense sai pra internet sem problema e toda minha Lan interna está pingando meu pfsense.

    Segundo o rapaz, ele disse que o problema pode esta no roteador pois o trafego está chegando nele e não está sendo direcionado para o PFsense. O ip da Wan é estático.

    Alguém tem alguma ideia que possa me ajudar ? Eu não posso mudar essa estrutura de rede que tenho hoje pq meu chefe nao quer… Sei que o mais certo seria o PFsense trabalhar atrás do roteador e ele mesmo fazer a parte de DHCP, mas ele n quer!!! ME AJUDEM PF  :'( :'(, sou um simples desenvolvedor júnior em busca de qualquer conhecimento em qualquer área!



  • Nao da pra saber muito bem o problema, mas realmente pode ser o pfsense atrás do modem.

    Três alternativas:

    1 -  Use o modem como bridge e faça o pfsense discar pra operadora via ppoe. (+complexo de fazer)
    2 - Crie nat das portas do ipsec do modem >> interface wan do pfsense.
    3- Conecte no modem e habilita a DMZ. Aponte pro IP da WAN do pfsense. Dessa forma todo tráfego externo será encaminhado diretamente pro pfsense sem que você precise fazer nat das portas do ipsec. (opção mais simples. Já usei essa e sem problemas)

    Outra coisa.. poste os prints da sua configuração aqui. (fase 1 e 2). OBS –> Nao esqueça de apagar a chave e o IP da WAN do seu cliente



  • Como o amigo acima disse, habilita a DMZ no roteador, apontando para o IP da interface onde está ligado no pfSense.

    Isso deve "resolver" seu problema.



  • kuika  seguinte mano…  trabalho aki na mesma Vibe que você  tenho clientes que usam VPN e um "BARALHO" trabalhar com VPN que clientes oferecem.  e o seguinte eu uso a VPN IPSec  Site to Site ... sem mistérios cara muito tranquilo

    esquece DMZ isso não se aplica no seu caso .....

    1- se a conexão e feita com sucesso entre as pontas  OK 50% feito
    2- para a conexão "fase 2" que seria os túneis as redes, devem esta iguais  o que mudaria seria na sua ponta vc colocar a rede de destino "seu cliente"  e vise versa  reveja essas configurações se estão iguais nas duas pontas isso e importante ate por que tem o lance da criptografia etc.. palavra chave...

    se puder pegue um print do seu cliente das configurações dele e compare com a sua...  ou poste pra que possamos dar uma olhada..