VPN IPsec traffico di ritorno
-
Ciao
abbiamo configurato una VPN site-to-site che usa HTTPS e scambio di certificati ed abbiamo il seguente problema.
VPN 1.1.1.1(ip pubblico via alias) -> 2.2.2.0/28 [rete interna] -> NAT in IPSEC 3.3.3.16/28 -> rete remota 4.4.4.128/28.
Se provo da tutte tranne una macchina non va ma a buon fine il traffico di ritorno. La macchina ha come indirizzo 2.2.2.5 non va mentre se provo dalla 2.2.2.6 funziona. Ora la cosa più strana è che se inverto IP e MAC address tra le due macchine non funziona uguale. La cosa che non capiamo è che abbiamo provato sia con Linux/win 2012/2016 la situazione è sempre la stessa.
Il pfsense è installato su Hyperv e le macchine sono o sullo stesso host o su host diversi.
Guardando i log del firewall vedo
Action Time Interface Source Destination Protocol
Jul 26 16:43:43 IPsec 4.4.4.129 3.3.3.21 TCP:
Jul 26 16:43:43 IPsec 4.4.4.129:443 3.3.3.21:61974 TCP:Aho provato di ogni nelle regole ma non va.
La cosa strana è che se provo a fare l'EasyRule Add mi dice la porta è vuota (per la prima regola ipsec rule è configurato come prima regola con any to any… ma niente da fare. Il traffico viene bloccato da block 1000000103.
Qualche idea di cosa possa essere?
-
Abbiamo rifatto un nuovo FW da zero e la situazione non cambia.
La cosa strana che abbiamo notato guardado con wireshark i pacchetti è che la macchina WIN che funziona ha nel protocollo TLSv1.2 mentre tutte le altre hanno nel protocollo SSL…