VPN IPSec to Zyxel USG



  • Ho un problema con una VPN IPSec.
    Il pfsense ha 10 indirizzi statici. Ho configurato tutti gli indirizzi come IP alias.
    Creo la VPN IPSec. Se la faccio puntare all'interfaccia WAN (quindi lo statico esterno "principale") funziona correttamente.
    se voglio farla puntare a uno degli indirizzi aggiuntivi non funziona.
    Mi spiego meglio, gli ip alias sono (ovviamente il range non è questo) 10.10.10.63 - 64 - 65 - 66 - ….
    Controllando lo stato il pfsense cerca di far uscire la vpn dal 63 anche se io ho impostato il 65
    Allego un pò di screenshot per far chiarezza.

    Non riesco a capire come muovermi.
    Grazie
    ![ip alias.JPG](/public/imported_attachments/1/ip alias.JPG)
    ![ip alias.JPG_thumb](/public/imported_attachments/1/ip alias.JPG_thumb)


    ![vpn ike.JPG](/public/imported_attachments/1/vpn ike.JPG)
    ![vpn ike.JPG_thumb](/public/imported_attachments/1/vpn ike.JPG_thumb)



  • Ciao,
    Oltre a creare degli alias devi configurare un nat 1:n o 1:1
    Nel primo caso devi creare un nat outbound esplicito per i pacchetti della tua vpn, mentre nel caso del nat 1:1 no.

    Ciao Fabio

    Ps attenzione che con l'automatic outbound hai già le regole che intercettano il traffico ipsec dato che devono avere un source port statico. Metti il  nat in manuale e cambia l'ip di nat con l'ip pubblico che vuoi usare, così dovrebbe funzionare.



  • Ciao Fabio e grazie della risposta.
    Avevo già provato con il NAT 1:1
    Interface WAN
    ext IP  10.10.10.65
    int IP  192.168.150.80
    destination  *

    In OUTBOUND NAT avevo già in HYBRID e ho specificato 192.168.150.80/32  NAT  10.10.10.65

    La cosa strana è che in STATUS/VPN/OVERVIEW continuo a trovarmi come LOCAL IP 10.10.10.63 e non il 65 e la VPN non và su.



  • Prova a controllare, dovresti avere delle regole create di default proprio per ipsec. Come avevo accennato, venvono create perché ipsec non gradisce l'uso di porte sorgente statiche.
    Devi necessariamente modificare questa regola altrimenti se messa prima della tua ne fa un override.
    Fabio



  • Ho messo in manuale le regole di NAT OUT però continuo ad avere l'instradamento verso il .63 e non il .65
    Allego screenshot.
    Dove sbaglio?
    Grazie

    P.S.
    Come vedi dalle regole ho anche un altra VPN che gira verso la rete 192.168.10.0 da il IP principale della WAN.

    ![NAT manual.JPG](/public/imported_attachments/1/NAT manual.JPG)
    ![NAT manual.JPG_thumb](/public/imported_attachments/1/NAT manual.JPG_thumb)



  • Cambia la 4 regola mettendo il tuoi ip pubblico al posto di wan address
    Ciao fabio



  • Ho messo il IP .65 al posto di WAN IP.
    Pensavo andasse a modificare anche la VPN che punta al .62 (IP principale della WAN)
    La situazione però non cambia.



  • Ciao,
    scusa ma leggendo/scrivendo da uno smartphone ho qualche problema. Ho visto solo ora gli screenshot del primo post.
    Primo errore: negli alias non devi indicare l'IP/32 ma devi riportare la subnet corretta (immagino una /29). se leggi la nota sotto il campo te lo specifica chiaramente: "The mask must be the network's subnet mask. It does not specify a CIDR range."

    Altra cosa che ho notato e che non avevo considerato prima è il fatto che il bind del server ipsec è fatto direttaente su gli ip della wan, quindi il nat outbound perde di senso perchè neanche in ingresso hai un nat (dovrebbe essere così)

    Domanda stupida, perchè non hai usato per entrambe le vpn l'ip della wan?
    Ciao Fabio



  • Grazie per il supporto

    Se vado a inserire nei VIP un indirizzo del tipo 10.10.10.0/24 mi risponde
    The network address cannot be used for this VIP

    L'interfaccia WAN è configurata con The network 10.10.10.62/24

    Se non ricordo male, se non inserisco i VIP singolarmente, non posso richiamarli dalle regole di NAT



  • Infatti devi riportare il tuo ip .65/29 o .65/la tua subnet.
    Fabio



  • Il problema di base è che il provider mi indica come IP utilizzabili dal .62 al .71 (estremi compresi)
    Ho assegnato alla WAN il .62/24
    A questo punto cosa dovrei indicare nel range VIP ?



  • Metti la stessa subnet che hai indicato x la wan, se li hai 255.255.255.0 allora metti /24
    Fabio



  • OK
    ora prima di procedere devo eliminare tutti i VIP che avevo creato tenendo solo quello con la subnet.
    Come devo gestire le regole di NAT?
    Al momento andavo a richiamare il VIP sulle varie regole. Se inserisco SINGLE HOST e metto a mano il IP pfsense mi riporta con il VIP
    Vedo che posso creare anche degli ALIAS
    Stò cercando di assegnare i vari IP a vari LAN presenti sotto pfsense e mi sarebbe comodo richiamarli per ALIAS.
    Come mi consigli di procedere?
    Una volta sistemato il NAT elimino i VIP e vado avanti con la VPN.

    Grazie 1000 per il supporto

    P.S.
    Per quanto riguarda la precedente domanda,
    abbiamo un private cloud con vari server vmware. Devo gestire i backup su cloud per dei clienti e lo scambio dati lo faccio sotto VPN.
    Anche noi abbiamo una VPN IPSec con il datacenter.
    Vorrei differenziare le cose, ovvero far entrare noi su un IP (tra l'altro "dedicato" alla LAN1 mentre far entrare i clienti su un altro.