Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Error enrutando trafico de internet site-to-site IPsec tunnel Cisco-PFSense

    Español
    2
    4
    856
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alex_lebbrom last edited by

      Estimados,

      Tengo conectado un cisco 2801 y un PFsense que se encuentran remotos, cada uno con su WAN distinta mediante IPSEC. El tunel está establecido sin problemas, ambas LAN se ven y hay trafico. Sin embargo, quisiera que el trafico en la LAN del Cisco se enrutara a través del tunel IPSEC para que sea filtrado por el PFSense.

      Realicé esta configuración con 2 PFSense y funciona a la perfección: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel pero al cambiar uno de los PFSense por el Cisco, el trafico no se enruta a través del tunel.

      El problema es que no se como decirle al Cisco que envíe el trafico a través del tunel y NO a través de la WAN.

      Alguien ha podido realizar con éxito esta configuración?

      Adjunto el diagrama de lo que quiero montar.

      Alexis Rondon


      Alexis Rondon

      1 Reply Last reply Reply Quote 0
      • M
        mikee last edited by

        Buenas.

        No comentas nada de la configuración que has usado en el cisco que es punto clave aquí. Supongo que estará basada en crypto maps. Es así? Qué ACL has configurado?

        La ACL es la que le dice al cisco lo que quieres meter en la VPN. El resto va a la WAN (o, mejor, al interfaz configurado como gateway por defecto).

        1 Reply Last reply Reply Quote 0
        • A
          alex_lebbrom last edited by

          Buenas Mikee.

          Efectivamente el túnel esta establecido utilizando crypto map, la configuración que estoy utilizando es la siguiente:

          crypto isakmp policy 10
          encr 3des
          authentication pre-share
          group 2
          crypto isakmp key ABCDEFG address 67.xxx.xxx.xxx no-xauth
          !
          !
          crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
          !
          crypto map PFSMIACCS 15 ipsec-isakmp
          set peer 67.xxx.xxx.xxx
          set transform-set 3DES-SHA
          set pfs group2
          match address VPN-ACL
          !
          interface Tunnel1
          no ip address
          !
          interface FastEthernet0/0
          ip address 10.0.80.1 255.255.255.0
          ip nat inside
          ip virtual-reassembly in
          duplex auto
          speed auto
          !
          interface FastEthernet0/1
          ip address 200.xxx.xxx.xxx 255.255.255.224
          ip nat outside
          ip virtual-reassembly in
          duplex auto
          speed auto
          crypto map PFSMIACCS
          !
          ip forward-protocol nd
          no ip http server
          no ip http secure-server
          !
          !
          ip nat inside source list 100 interface FastEthernet0/1 overload
          ip route 0.0.0.0 0.0.0.0 200.xxx.xxx.xxx
          !
          ip access-list extended VPN-ACL
          remark CCS to MIA
          permit ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
          !
          access-list 100 deny  ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
          access-list 100 permit ip 10.0.80.0 0.0.0.255 any
          !

          Con esta configuración el túnel esta establecido en ambas fases y mi Lan posee conexión hacia Internet, pero como te comente la conexión hacia Internet se esta enrrutando por mi puerta de enlace local y no mediante el túnel.

          También probé con esta otra configuración, para establecer estaticamente la conectividad entre ambas redes internas y no mediante PAT, en este caso el túnel queda OK y no tengo salida hacia Internet.

          crypto isakmp policy 10
          encr 3des
          authentication pre-share
          group 2
          crypto isakmp key ABCDEFG address 67.xxx.xxx.xxx no-xauth
          !
          !
          crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
          !
          crypto map PFSMIACCS 15 ipsec-isakmp
          set peer 67.xxx.xxx.xxx
          set transform-set 3DES-SHA
          set pfs group2
          match address VPN-ACL
          !
          interface Tunnel1
          no ip address
          !
          interface FastEthernet0/0
          ip address 10.0.80.1 255.255.255.0
          ip nat inside
          ip virtual-reassembly in
          duplex auto
          speed auto
          !
          interface FastEthernet0/1
          ip address 200.xxx.xxx.xxx 255.255.255.224
          ip nat outside
          ip virtual-reassembly in
          duplex auto
          speed auto
          crypto map PFSMIACCS
          !
          ip forward-protocol nd
          no ip http server
          no ip http secure-server
          !
          !
          ip route 64.xxx.xxx.xxx 255.255.255.224 67.xxx.xxx.xxx
          ip route 67.xxx.xxx.xxx 255.255.255.0 FastEthernet0/1
          !
          ip access-list extended VPN-ACL
          remark CCS to MIA
          permit ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
          !
          access-list 100 deny  ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
          access-list 100 permit ip 10.0.80.0 0.0.0.255 any

          Alexis Rondon

          1 Reply Last reply Reply Quote 0
          • M
            mikee last edited by

            Buenas Alex.

            La ACL que estás usando le dice al cisco que cifre, y meta por la VPN, el tráfico que vaya desde la red interna 10.0.80.x hacia la red 64….

            ip access-list extended VPN-ACL
            remark CCS to MIA
            permit ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31

            Estoy casi seguro que esa 64 no es la red privada del otro extremo del túnel sino la IP pública del extremo remoto de la VPN. Evidentemente eso no va a funcionar. De hecho sólo se cifraría el tráfico que vaya al interfaz público de tu pfsense y eso no sirve para mucho.

            Prueba a usar la siguiente regla en la ACL:

            permit ip 10.0.80.0 0.0.0.255 0.0.0.0 0.0.0.0

            en lugar de la que tienes.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post