VPN IPsec traffico di ritorno

andmattia

Ciao

abbiamo configurato una VPN site-to-site che usa HTTPS e scambio di certificati ed abbiamo il seguente problema.

VPN 1.1.1.1(ip pubblico via alias) -> 2.2.2.0/28 [rete interna] -> NAT in IPSEC 3.3.3.16/28 -> rete remota 4.4.4.128/28.

Se provo da tutte tranne una macchina non va ma a buon fine il traffico di ritorno. La macchina ha come indirizzo 2.2.2.5 non va mentre se provo dalla 2.2.2.6 funziona. Ora la cosa più strana è che se inverto IP e MAC address tra le due macchine non funziona uguale. La cosa che non capiamo è che abbiamo provato sia con Linux/win 2012/2016 la situazione è sempre la stessa.

Il pfsense è installato su Hyperv e le macchine sono o sullo stesso host o su host diversi.

Guardando i log del firewall vedo

Action Time Interface   Source                           Destination         Protocol
Jul 26 16:43:43 IPsec   4.4.4.129                   3.3.3.21                 TCP:
Jul 26 16:43:43 IPsec   4.4.4.129:443                   3.3.3.21:61974 TCP:A

ho provato di ogni nelle regole ma non va.

La cosa strana è che se provo a fare l'EasyRule Add mi dice la porta è vuota (per la prima regola ipsec rule è configurato come prima regola con any to any… ma niente da fare. Il traffico viene bloccato da block 1000000103.

Qualche idea di cosa possa essere?

andmattia

Abbiamo rifatto un nuovo FW da zero e la situazione non cambia.

La cosa strana che abbiamo notato guardado con wireshark i pacchetti è che la macchina WIN che funziona ha nel protocollo TLSv1.2 mentre tutte le altre hanno nel protocollo SSL…