Túnel IPSec. Problemas de acceso a través del túnel



  • Tengo creado un túnel IPSec contra router cisco. Esta levantado correctamente, pero cuando realizo pruebas desde los extremos tengo un problema. Desde el lado del pfsense realizo ping y otras pruebas de acceso a diferentes ips de la red remota, donde me responde correctamente. Hasta aquí todo bien, pero al realizar las pruebas desde el extremo del router Cisco es donde esta el problema. Lanzo ping contra ips del extremo del Pfsense sin obtener respuesta. No consigo llegar. He revisado la parte del router de cisco, observamos que las peticiones entran en el túnel pero no hay respuesta del lado del pfsense.
    Lo que he deducido es que cuando llegan las peticiones al lado del pfsense no esta devolviendo las respuesta, es como si lo mandase hacia internet o no fuese capaz de hacerlo llegar hasta la ip. Desde el pfsense a nivel local todo responde correctamente.
    Me podéis ayudar, creo que el trafico que llega por el túnel al ser entregado a su destino luego la respuesta se esta marchando hacia internet o no sabe regresar por donde debería que es el túnel.

    un saludo.



  • Hola

    @gts:

    Tengo creado un túnel IPSec contra router cisco. Esta levantado correctamente, pero cuando realizo pruebas desde los extremos tengo un problema. Desde el lado del pfsense realizo ping y otras pruebas de acceso a diferentes ips de la red remota, donde me responde correctamente. Hasta aquí todo bien, pero al realizar las pruebas desde el extremo del router Cisco es donde esta el problema. Lanzo ping contra ips del extremo del Pfsense sin obtener respuesta. No consigo llegar. He revisado la parte del router de cisco, observamos que las peticiones entran en el túnel pero no hay respuesta del lado del pfsense.

    Si el tunel se establece "correctamente":
    ¿Has probado en las interfaces WAN y/o la de IPsec a crear una regla que permita ICMP echo request and reply?. De esa forma te aseguras que pfSense conteste a un ping y entonces investigar si hay problemas de enrutamiento.

    Salu2



  • Hola javcasta
    La regla para que responda al ICMP la tengo creada. En esto soy nuevo.
    Creo que es algo de enrutamiento.
    Tiene que haber alguna manera de crear regla para evitar que el trafico del Túnel se valla por la salida de internet, es decir un "no NAT" como se llama en Cisco. Unas reglas que evita que el trafico del túnel salga a internet y sea redirigido a través del túnel.

    Yo he creado el túnel IPSec en sus dos fases y también la regla para el IPSec (la regla de acceso para las redes que están permitidas su paso en el túnel). Creo que no me queda nada mas, pero aun así me falla.



  • Hola

    Si haces un ping desde pfSense al Cisco,  => OK
    Si haces un ping desde el Cisco al pfSense => Imagino que OK
    Si haces un ping desde un máquina en la lan del Cisco a un host en la red del tunel IPsec tras el pfSense => NO OK

    Haz un Traceroute, para ver los saltos en los routers, es la mejor herramienta para ver las rutas

    Salu2



  • Hola,

    yo tengo un error parecido,

    si me conecto desde un pc detrás de pfsense a una ipsec de cisco , se establece la conexión, puedo conectarme a un servidor de la red detrás del router cisco pero al ejecutar cualquier comando sobre el servidor se me queda bloqueada la terminal pero la conexión sigue establecida.
    he probado quitando el pfsense y funciona perfecto, no tengo idea aun de que es lo que sucede, si a alguien le ha sucedido o tenga alguna idea por favor avisadme.

    gracias. ;)


Log in to reply