Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN IPsec 3 sites

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 5 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fabiomoraes055
      last edited by

      Boa tarde pessoal,

      Meu cenario:

      vpn ipsec 1                                vpn ipsec 2
      Cliente <–-------------------->Matriz <--------------------------->Filial
      Cisco                              Pfsense                                      Pfsense

      • Tenho uma vpn do meu cliente ligando a matriz por ipsec
      • Tenho uma vpn da minha filial ligando a  matriz por ipsec
      • VPNs isoladas
      • Agora preciso acessar meu Cliente da minha Filial. O Cliente não liberou fazer uma VPN nova da minha Filial direto para o Cliente. Tive a idéia de acessar da minha Filial passando pela Matriz e por fim conectando ao Cliente.

      vpn ipsec  1                              vpn ipsec2
      Cliente -----------------------Matriz ------------------------------Filial
      Cisco                              Pfsense                                        Pfsense
        |-----------------------------------------------------------------

      O cliente aprovou a idéia. Seria possível esse cenário? Como posso configurar a rota da minha filial ate o cliente?

      Obrigado

      1 Reply Last reply Reply Quote 0
      • S
        Sorriso
        last edited by

        Acredito que com "static route" resolveria seu problema…

        O PFSense da filial têm que saber que o acesso para rede do cliente terá que ser feita através do PFSense da matriz.

        https://doc.pfsense.org/index.php/Static_Routes

        1 Reply Last reply Reply Quote 0
        • F
          fernandofolha
          last edited by

          Segundo já li a respeito, basta que as configurações (policies) da conexão do cliente façam referência a rede da filia e vice-versa.
          Em teoria é bem simples… mas sou novo em VPN IPSec e todas as vezes que precisei de algo do tipo, levei a maior surra e sempre corri para a alternativa de múltiplas VPNs.

          1 Reply Last reply Reply Quote 0
          • R
            rlrobs
            last edited by

            É simples fazer oq vc quer, basta incluir a rede do cliente na fase 2 da filial e a rede da filial na fase 2 do cliente.

            1 Reply Last reply Reply Quote 0
            • F
              fabiomoraes055
              last edited by

              Bom dia Pessoal,

              Antes de colocar em produção eu estou simulando o ambiente em maquinas virtuais.

              Na minha filial eu dei um trarcert para meu cliente:

              tracert  10.2.1.11
              1  <1 ms      <1 ms    <1ms  172.16.0.254  (IP do gateway da filial)
              2  <1 ms      <1 ms    <1ms  192.168.139.2 (minha wan)
              3    *              *              *      Esgotado o tempo limite do pedido.

              Agora, fui na fase 2 do meu pfsene da filial eu configurei a rede do meu cliente e no cliente eu fiz o  mesmo.

              Quando eu dou tracert da minha filial no cliente aparece:

              tracert  10.2.1.11
              1  <1 ms      <1 ms    <1ms  172.16.0.254  (IP do gateway da filial)
              2    *              *            *      Esgotado o tempo limite do pedido.
              3    *              *              *      Esgotado o tempo limite do pedido.
              4    *              *              *      Esgotado o tempo limite do pedido.

              @ Na matriz, só existe um regra da Vpn Ipsec que libera tudo.
              @ Na filial, só existe um regra da Vpn Ipsec que libera tudo.

              Protocolo  Source Port Destination Port Gateway Queue Schedule
              IPV4 *        *        *        *            *      *          none    *

              Está parecendo problema de rota, chega no meu firewall e fica perdido.

              Obrigado pela ajuda de todos.

              Fabio

              1 Reply Last reply Reply Quote 0
              • R
                rlrobs
                last edited by

                Coloca o print da fase 2 dos seus ipsec (os 3)

                1 Reply Last reply Reply Quote 0
                • F
                  fabiomoraes055
                  last edited by

                  Ola,

                  Segue o print.

                  Rede Cliente: 10.0.0.0/8
                  Matriz: 172.16.30.0/24
                  Filial: 172.16.0.0/24

                  Att
                  Fabio Moraes

                  ![cliente matriz.JPG](/public/imported_attachments/1/cliente matriz.JPG)
                  ![cliente matriz.JPG_thumb](/public/imported_attachments/1/cliente matriz.JPG_thumb)
                  ![matriz cliente filial.JPG](/public/imported_attachments/1/matriz cliente filial.JPG)
                  ![matriz cliente filial.JPG_thumb](/public/imported_attachments/1/matriz cliente filial.JPG_thumb)
                  ![filial matriz.JPG](/public/imported_attachments/1/filial matriz.JPG)
                  ![filial matriz.JPG_thumb](/public/imported_attachments/1/filial matriz.JPG_thumb)

                  1 Reply Last reply Reply Quote 0
                  • R
                    rlrobs
                    last edited by

                    Tem q ajustar a matriz.

                    • Na matriz existe duas fases dois, certo?

                    OBS: alterações serão feitas NA MATRIZ. Deixe a filial e o cliente do jeito q falei no post acima.

                    Na fase 2 da "vpn matriz/cliente" vc irá acrescentar uma entrada da seguinte forma:
                    Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8

                    Na fase 2 da "vpn cliente/filial" vc irá acrescentar uma entrada da seguinte forma:
                    Local Subnet:10.0.0.0/8  e Remote Subnet: 172.16.0.0/24

                    No final ficará +- assim:

                    "vpn matriz/cliente":

                    Loal Subnet: LAN                e Remote Subnet: 10.0.0.0/8

                    Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8

                    "vpn cliente/filial":

                    Loal Subnet: LAN                e Remote Subnet: 172.16.0.0/24

                    Local Subnet:10.0.0.0/8  e Remote Subnet: 172.16.0.0/24

                    OBS: só uma dica de segurança –> não exponha o IP da WAN do seu firewall. Sempre q postar um print faça um borrão no IP.

                    1 Reply Last reply Reply Quote 0
                    • F
                      fabiomoraes055
                      last edited by

                      Maravilha, deu certo, obrigado pela ajuda. :)

                      1 Reply Last reply Reply Quote 0
                      • R
                        rlrobs
                        last edited by

                        Só uma observação.

                        Você terá problemas se tiver q incluir + algum cliente ou filial que tenha rede 10.X.X.X, visto que o seu cliente tem rede 10.0.0.0/8.

                        t+

                        1 Reply Last reply Reply Quote 0
                        • R
                          rjunqueira
                          last edited by

                          Essa dica valeu para mim tbm. Obrigado pessoal!

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.