Dúvida com NAT/IPSEC



  • Pessoal, tenho funcionando uma conexão IPSEC site-to-site entre pfsense (2.3.3-RELEASE) e Palo Alto.

    pfSense WAN: XXX.XX.190.97
    pfSense LAN: 192.168.10.0/24
    IP virtual LAN: 10.240.55.254/23
    Peer remoto: XXX.XXX.186.166

    A rede local tem dois endereçamentos diferentes no mesmo barramento, sendo 192.168.10.0/24 configurada na LAN e 10.24.54.0/23 com IP virtual.

    Um dos túneis é o seguinte:
    Local: 10.240.54.0/23 Remote: XXX.XXX.181.0/24

    Nessa configuração, quando mando um pacote da rede 10.240.54.0/23 para XXX.XXX.181.99, eu vejo o pacote ESP com origem XXX.XXX.190.97 e destino XXX.XXX.186.166, indicando corretamente que foi encaminhado pelo túnel.

    Porém, por exigência do peer remoto, as estações na rede 192.168.10.0/24 não podem acessar diretamente XXX.XXX.181.0/24, precisa ser feito um NAT de 192.168.10.0/24 para 10.240.55.254.

    Quando eu faço esse NAT OUTBOUND, o pacote não mais vai para o túnel, e eu vejo no tcpdump do gateway de borda uma tentativa de 10.240.55.254 para XXX.XXX.181.99, indicando que o NAT foi feito, mas o pacote tentou sair "por fora" do túnel.

    Alguém tem uma ideia do que possa ser?
    Não sei se consegui explicar corretamente.



  • @broonu:

    Pessoal, tenho funcionando uma conexão IPSEC site-to-site entre pfsense (2.3.3-RELEASE) e Palo Alto.

    pfSense WAN: XXX.XX.190.97
    pfSense LAN: 192.168.10.0/24
    IP virtual LAN: 10.240.55.254/23
    Peer remoto: XXX.XXX.186.166

    A rede local tem dois endereçamentos diferentes no mesmo barramento, sendo 192.168.10.0/24 configurada na LAN e 10.24.54.0/23 com IP virtual.

    Um dos túneis é o seguinte:
    Local: 10.240.54.0/23 Remote: XXX.XXX.181.0/24

    Nessa configuração, quando mando um pacote da rede 10.240.54.0/23 para XXX.XXX.181.99, eu vejo o pacote ESP com origem XXX.XXX.190.97 e destino XXX.XXX.186.166, indicando corretamente que foi encaminhado pelo túnel.

    Porém, por exigência do peer remoto, as estações na rede 192.168.10.0/24 não podem acessar diretamente XXX.XXX.181.0/24, precisa ser feito um NAT de 192.168.10.0/24 para 10.240.55.254.

    Quando eu faço esse NAT OUTBOUND, o pacote não mais vai para o túnel, e eu vejo no tcpdump do gateway de borda uma tentativa de 10.240.55.254 para XXX.XXX.181.99, indicando que o NAT foi feito, mas o pacote tentou sair "por fora" do túnel.

    Alguém tem uma ideia do que possa ser?
    Não sei se consegui explicar corretamente.

    Atualizando: vi aqui mesmo no forum recomendações pra fazer o NAT na fase 2.
    Acontece que lá no peer remoto, eles não esperam um túnel com origem 192.168.10.0/24, então se eu criar uma fase 2 com essa rede e o IP 10.240.55.254 no NAT, o túnel não sobe. Se ao invés de IP eu colocar a rede inteira 10.240.54.0/23 como NAT, aí sim o túnel sobe, porém o NAT é aleatório, fiz um teste aqui do IP 192.168.10.251 por exemplo, tentando pingar XXX.XXX.181.99, e ele traduziu pra 10.240.54.0, enviando corretamente por dentro do túnel, mas na outra ponta não sei o peer remoto vai aceitar se não chegar lá com 10.240.55.254. Creio que ele nem deve saber que é NAT, e aceitar normalmente como se viesse da própria rede 10.240.54.0/23, confere?



  • Veja com NAT tranversal. Se você precisa enviar IPSEC passando por um NAT precisa usar NAT TRANVERSAL.



  • @jotaherre:

    Veja com NAT tranversal. Se você precisa enviar IPSEC passando por um NAT precisa usar NAT TRANVERSAL.

    Sim, creio que essa opção de NAT/BINAT na fase2 seja o NAT transversal dele.


Log in to reply