VPN IPsec traffico di ritorno



  • Ciao

    abbiamo configurato una VPN site-to-site che usa HTTPS e scambio di certificati ed abbiamo il seguente problema.

    VPN 1.1.1.1(ip pubblico via alias) -> 2.2.2.0/28 [rete interna] -> NAT in IPSEC 3.3.3.16/28 -> rete remota 4.4.4.128/28.

    Se provo da tutte tranne una macchina non va ma a buon fine il traffico di ritorno. La macchina ha come indirizzo 2.2.2.5 non va mentre se provo dalla 2.2.2.6 funziona. Ora la cosa più strana è che se inverto IP e MAC address tra le due macchine non funziona uguale. La cosa che non capiamo è che abbiamo provato sia con Linux/win 2012/2016 la situazione è sempre la stessa.

    Il pfsense è installato su Hyperv e le macchine sono o sullo stesso host o su host diversi.

    Guardando i log del firewall vedo

    Action Time Interface   Source                           Destination         Protocol
    Jul 26 16:43:43 IPsec   4.4.4.129                   3.3.3.21                 TCP:
    Jul 26 16:43:43 IPsec   4.4.4.129:443                   3.3.3.21:61974 TCP:A

    ho provato di ogni nelle regole ma non va.

    La cosa strana è che se provo a fare l'EasyRule Add mi dice la porta è vuota (per la prima regola ipsec rule è configurato come prima regola con any to any… ma niente da fare. Il traffico viene bloccato da block 1000000103.

    Qualche idea di cosa possa essere?



  • Abbiamo rifatto un nuovo FW da zero e la situazione non cambia.

    La cosa strana che abbiamo notato guardado con wireshark i pacchetti è che la macchina WIN che funziona ha nel protocollo TLSv1.2 mentre tutte le altre hanno nel protocollo SSL…