Error enrutando trafico de internet site-to-site IPsec tunnel Cisco-PFSense



  • Estimados,

    Tengo conectado un cisco 2801 y un PFsense que se encuentran remotos, cada uno con su WAN distinta mediante IPSEC. El tunel está establecido sin problemas, ambas LAN se ven y hay trafico. Sin embargo, quisiera que el trafico en la LAN del Cisco se enrutara a través del tunel IPSEC para que sea filtrado por el PFSense.

    Realicé esta configuración con 2 PFSense y funciona a la perfección: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel pero al cambiar uno de los PFSense por el Cisco, el trafico no se enruta a través del tunel.

    El problema es que no se como decirle al Cisco que envíe el trafico a través del tunel y NO a través de la WAN.

    Alguien ha podido realizar con éxito esta configuración?

    Adjunto el diagrama de lo que quiero montar.

    Alexis Rondon




  • Buenas.

    No comentas nada de la configuración que has usado en el cisco que es punto clave aquí. Supongo que estará basada en crypto maps. Es así? Qué ACL has configurado?

    La ACL es la que le dice al cisco lo que quieres meter en la VPN. El resto va a la WAN (o, mejor, al interfaz configurado como gateway por defecto).



  • Buenas Mikee.

    Efectivamente el túnel esta establecido utilizando crypto map, la configuración que estoy utilizando es la siguiente:

    crypto isakmp policy 10
    encr 3des
    authentication pre-share
    group 2
    crypto isakmp key ABCDEFG address 67.xxx.xxx.xxx no-xauth
    !
    !
    crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
    !
    crypto map PFSMIACCS 15 ipsec-isakmp
    set peer 67.xxx.xxx.xxx
    set transform-set 3DES-SHA
    set pfs group2
    match address VPN-ACL
    !
    interface Tunnel1
    no ip address
    !
    interface FastEthernet0/0
    ip address 10.0.80.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly in
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 200.xxx.xxx.xxx 255.255.255.224
    ip nat outside
    ip virtual-reassembly in
    duplex auto
    speed auto
    crypto map PFSMIACCS
    !
    ip forward-protocol nd
    no ip http server
    no ip http secure-server
    !
    !
    ip nat inside source list 100 interface FastEthernet0/1 overload
    ip route 0.0.0.0 0.0.0.0 200.xxx.xxx.xxx
    !
    ip access-list extended VPN-ACL
    remark CCS to MIA
    permit ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
    !
    access-list 100 deny  ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
    access-list 100 permit ip 10.0.80.0 0.0.0.255 any
    !

    Con esta configuración el túnel esta establecido en ambas fases y mi Lan posee conexión hacia Internet, pero como te comente la conexión hacia Internet se esta enrrutando por mi puerta de enlace local y no mediante el túnel.

    También probé con esta otra configuración, para establecer estaticamente la conectividad entre ambas redes internas y no mediante PAT, en este caso el túnel queda OK y no tengo salida hacia Internet.

    crypto isakmp policy 10
    encr 3des
    authentication pre-share
    group 2
    crypto isakmp key ABCDEFG address 67.xxx.xxx.xxx no-xauth
    !
    !
    crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
    !
    crypto map PFSMIACCS 15 ipsec-isakmp
    set peer 67.xxx.xxx.xxx
    set transform-set 3DES-SHA
    set pfs group2
    match address VPN-ACL
    !
    interface Tunnel1
    no ip address
    !
    interface FastEthernet0/0
    ip address 10.0.80.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly in
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 200.xxx.xxx.xxx 255.255.255.224
    ip nat outside
    ip virtual-reassembly in
    duplex auto
    speed auto
    crypto map PFSMIACCS
    !
    ip forward-protocol nd
    no ip http server
    no ip http secure-server
    !
    !
    ip route 64.xxx.xxx.xxx 255.255.255.224 67.xxx.xxx.xxx
    ip route 67.xxx.xxx.xxx 255.255.255.0 FastEthernet0/1
    !
    ip access-list extended VPN-ACL
    remark CCS to MIA
    permit ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
    !
    access-list 100 deny  ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31
    access-list 100 permit ip 10.0.80.0 0.0.0.255 any



  • Buenas Alex.

    La ACL que estás usando le dice al cisco que cifre, y meta por la VPN, el tráfico que vaya desde la red interna 10.0.80.x hacia la red 64….

    ip access-list extended VPN-ACL
    remark CCS to MIA
    permit ip 10.0.80.0 0.0.0.255 64.xxx.xxx.xxx 0.0.0.31

    Estoy casi seguro que esa 64 no es la red privada del otro extremo del túnel sino la IP pública del extremo remoto de la VPN. Evidentemente eso no va a funcionar. De hecho sólo se cifraría el tráfico que vaya al interfaz público de tu pfsense y eso no sirve para mucho.

    Prueba a usar la siguiente regla en la ACL:

    permit ip 10.0.80.0 0.0.0.255 0.0.0.0 0.0.0.0

    en lugar de la que tienes.


Log in to reply