[Resolvido] Pingando entre Filiais com tunel IPSEC
-
Se tua matriz é o ponto central (gateway) dessa configuração, acredito que apenas esta faltando rotas na sua matriz pra que as lojas se encontrem.
O link abaixo pode lhe ajudar.
https://forum.pfsense.org/index.php?topic=48325.0Olá empbilly,
Minha matriz não é o gateway, quando me referi a "ponto central" é que todas as filias se encontram na matriz, já tentei a configuração desse link ai e não deu certo, porque o pacote nem chega a sair da minha filial. -
Para as duas filiais se enxergarem vc precisa incluir as redes de cada uma delas na fase 2 do ipsec.
Loja 1 = 192.168.1.0/24
Loja 2 = 192.168.2.0/24Na fase 2 de loja 1 inclua a rede 192.168.2.0/24 e na fase 2 da loja 2 inclua a rede 192.168.1.0/24
Faça isso no IPsec da matriz tbm
-
Olá pessoal,
Segui a dica do fabricioguzzy e do rlRobs mas mesmo assim não consigo pingar da loja 1 para loja 2.Segue minha configuração.
-
Acho que precisa de uma rota de retorno.
Loja 1 pra Loja 2 com GW interface IPSEC
Loja 2 pra Loja 1 com GW interface IPSEC -
A config é essa mesmo. Uso dessa forma aqui e funciona bem.
Você liberou o tráfego nas pontas (interface ipsec da loja 1 e loja 2)?
-
Olá CSMELO,
Boa Tarde!!Sua configuração está OK. Eu uso exatamente desta forma (conforme imagem que postei) e tudo OK.
Penso que vc deva re-verificar suas regras entre as Filiais e a Matriz. Verifique os LOGs de Firewall. (Verifique se as regras que vc criou estão gerando LOG).
Veja também se os Túneis estão todos Up and Running (Verificar na ABA, STATUS / IPSEC - Phase 1 e Phase 2)
os LOGs vão delatar o que está acontecendo ai. Veja se os pacotes estão realmente chegando das filiais para a Matriz.
Outra coisa muito Importante: Lembre-se que os pacotes das Filiais vão chegar do outro lado com os IP's de origem, ou seja, sua regras de Firewall devem permitir a rede do outro lado a trafegar e não a rede da sua interface LAN apenas. (Vejo muita gente se perder nessa parte)Escreva contanto o que achou nos LOGs
Abraço
Fabricio Guzzy. -
Bom dia Pessoal,
Verifiquei que os tuneis que eu crie(PHASE 2 com a rede das filiais) que não estão UP, reiniciei até o servidor e mesmo assim não subiu. Vou verificar quando estiver na empresa e retorno.
Obrigado pelo apoio!
Claylson Melo -
Só uma dica. Use IKEv2, pois a autenticação é bem mais rápida que a V1.
-
Olá pessoal,
Deu tudo certo com essa configuração que coloquei, o problema era porque os tuneis novos que criei não estavam UP, daí reiniciei o servidor dos 2 lados e deu tudo certo.Muito Obrigado e até mais!!!
P.S.: Como eu coloco esse tópico como Resolvido
-
@csmelo:
P.S.: Como eu coloco esse tópico como Resolvido
Altera o assunto do primeiro post do tópico