VPN IPsec 3 sites



  • Boa tarde pessoal,

    Meu cenario:

    vpn ipsec 1                                vpn ipsec 2
    Cliente <–-------------------->Matriz <--------------------------->Filial
    Cisco                              Pfsense                                      Pfsense

    • Tenho uma vpn do meu cliente ligando a matriz por ipsec
    • Tenho uma vpn da minha filial ligando a  matriz por ipsec
    • VPNs isoladas
    • Agora preciso acessar meu Cliente da minha Filial. O Cliente não liberou fazer uma VPN nova da minha Filial direto para o Cliente. Tive a idéia de acessar da minha Filial passando pela Matriz e por fim conectando ao Cliente.

    vpn ipsec  1                              vpn ipsec2
    Cliente -----------------------Matriz ------------------------------Filial
    Cisco                              Pfsense                                        Pfsense
      |-----------------------------------------------------------------

    O cliente aprovou a idéia. Seria possível esse cenário? Como posso configurar a rota da minha filial ate o cliente?

    Obrigado



  • Acredito que com "static route" resolveria seu problema…

    O PFSense da filial têm que saber que o acesso para rede do cliente terá que ser feita através do PFSense da matriz.

    https://doc.pfsense.org/index.php/Static_Routes



  • Segundo já li a respeito, basta que as configurações (policies) da conexão do cliente façam referência a rede da filia e vice-versa.
    Em teoria é bem simples… mas sou novo em VPN IPSec e todas as vezes que precisei de algo do tipo, levei a maior surra e sempre corri para a alternativa de múltiplas VPNs.



  • É simples fazer oq vc quer, basta incluir a rede do cliente na fase 2 da filial e a rede da filial na fase 2 do cliente.



  • Bom dia Pessoal,

    Antes de colocar em produção eu estou simulando o ambiente em maquinas virtuais.

    Na minha filial eu dei um trarcert para meu cliente:

    tracert  10.2.1.11
    1  <1 ms      <1 ms    <1ms  172.16.0.254  (IP do gateway da filial)
    2  <1 ms      <1 ms    <1ms  192.168.139.2 (minha wan)
    3    *              *              *      Esgotado o tempo limite do pedido.

    Agora, fui na fase 2 do meu pfsene da filial eu configurei a rede do meu cliente e no cliente eu fiz o  mesmo.

    Quando eu dou tracert da minha filial no cliente aparece:

    tracert  10.2.1.11
    1  <1 ms      <1 ms    <1ms  172.16.0.254  (IP do gateway da filial)
    2    *              *            *      Esgotado o tempo limite do pedido.
    3    *              *              *      Esgotado o tempo limite do pedido.
    4    *              *              *      Esgotado o tempo limite do pedido.

    @ Na matriz, só existe um regra da Vpn Ipsec que libera tudo.
    @ Na filial, só existe um regra da Vpn Ipsec que libera tudo.

    Protocolo  Source Port Destination Port Gateway Queue Schedule
    IPV4 *        *        *        *            *      *          none    *

    Está parecendo problema de rota, chega no meu firewall e fica perdido.

    Obrigado pela ajuda de todos.

    Fabio



  • Coloca o print da fase 2 dos seus ipsec (os 3)



  • Ola,

    Segue o print.

    Rede Cliente: 10.0.0.0/8
    Matriz: 172.16.30.0/24
    Filial: 172.16.0.0/24

    Att
    Fabio Moraes

    ![cliente matriz.JPG](/public/imported_attachments/1/cliente matriz.JPG)
    ![cliente matriz.JPG_thumb](/public/imported_attachments/1/cliente matriz.JPG_thumb)
    ![matriz cliente filial.JPG](/public/imported_attachments/1/matriz cliente filial.JPG)
    ![matriz cliente filial.JPG_thumb](/public/imported_attachments/1/matriz cliente filial.JPG_thumb)
    ![filial matriz.JPG](/public/imported_attachments/1/filial matriz.JPG)
    ![filial matriz.JPG_thumb](/public/imported_attachments/1/filial matriz.JPG_thumb)



  • Tem q ajustar a matriz.

    • Na matriz existe duas fases dois, certo?

    OBS: alterações serão feitas NA MATRIZ. Deixe a filial e o cliente do jeito q falei no post acima.

    Na fase 2 da "vpn matriz/cliente" vc irá acrescentar uma entrada da seguinte forma:
    Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8

    Na fase 2 da "vpn cliente/filial" vc irá acrescentar uma entrada da seguinte forma:
    Local Subnet:10.0.0.0/8  e Remote Subnet: 172.16.0.0/24

    No final ficará +- assim:

    "vpn matriz/cliente":

    Loal Subnet: LAN                e Remote Subnet: 10.0.0.0/8

    Local Subnet: 172.16.0.0/24 e Remote Subnet: 10.0.0.0/8

    "vpn cliente/filial":

    Loal Subnet: LAN                e Remote Subnet: 172.16.0.0/24

    Local Subnet:10.0.0.0/8  e Remote Subnet: 172.16.0.0/24

    OBS: só uma dica de segurança –> não exponha o IP da WAN do seu firewall. Sempre q postar um print faça um borrão no IP.



  • Maravilha, deu certo, obrigado pela ajuda. :)



  • Só uma observação.

    Você terá problemas se tiver q incluir + algum cliente ou filial que tenha rede 10.X.X.X, visto que o seu cliente tem rede 10.0.0.0/8.

    t+



  • Essa dica valeu para mim tbm. Obrigado pessoal!


Log in to reply