Encapsular red local en Tunel IPsec ¿NAT OUTBOUND?

odric

Buenas,

Tengo un tunel Ipsec establecido entre dos Pfsense y funcionado.
Normalmente paso el trafico de la red 192.168.30/24 a la 10.0.0.0/22 y a la inversa.

El caso es que tengo usuarios que se conectan por VPN al Pfsense1 y tienen que acceder a la red del Pfsense2 pero no puedo añadir otra Fase2 al tunel con la red del OpenVPN puesto que el Pfsense2 no lo administro yo y no quieren añadir otra red.

La pregunta es ¿cómo lo hago en mi firewall enrute el trafico de los clientes OPENVPN (192.168.40.0/24) y el otro firewall crea que es trafico de la red 192.168.30.0/24?

Cliente OpenVPN                  >> PfSense1 <>                        INTERNET        <>Pfsense2
IP Cliente 192.168.40.x/30        {LAN 192.168.30.0/24}===      ipsec    ==={LAN 10.0.0.0/22}
                                        {OpenVPN 192.168.40.0/24}

tengo la ruta puesta para los clientes de VPN y parece enrutar el trafico pero no llega de vuelta.

Gracias.

j.sejo1

Creo que todo es rutas,

En el OpenVPN Cliente-servidor, en dicha instancia debe colocar la red 10.0.0.0/22 en el parámetro:  IPv4 Local network(s),  de esta forma todo el trafico del cliente vpn que vaya a 10.0.0.0/22 pfsense por defecto sabrá por donde enrutarlo.

Ahora en el lado del Pfsense2 (10.0.0.0/22) Para el retorno, debes indicarle en algun Lado del IPSEC que así como tu conoces la Red 192.168.30.0/24  debes agregarle la de la VPN cliente-servidor es decir 192.168.40.0/24

Ahora, en el pfsense2 (10.0.0.0/22) valida si le haces Ping al GW de la VPN Cliente-servidor que debería ser 192.168.40.1. si le haces ping, es buena noticia, es cuestion de bien sea mediante el ipsec o directo en ruta de pfsense crear que todo lo que vaya a 192.168.40.0/24 pase por 192.168.40.1

Yo he tenido el escenario que planteas, la diferencia que ha sido OpenVPN en ambos lados y solvento con el parámetro: Pv4 Local network(s) en ambos extremos. , no he usado ipsec.

Saludos.

odric

@j-sejo1 said in Encapsular red local en Tunel IPsec ¿NAT OUTBOUND?:

192.168.40.1

Gracias por la respuesta, pero como decía el Pfsense2 no lo puedo tocar. La red del VPN no la puede conocer el Pfsense2.
En el OpenVPN cliente-servidor si añadí la red remota (10.0.0.0/22) y el tráfico lo enruta por el tunel, aunque se pierde en el retorno. El problema es que debería de hacer algún enmascaramiento, (supongo en el Nat Outbound) para que el trafico sea con origen la LAN del PFsense1 pero no me funciona o no lo hago bien.

¿Alguien sabe cómo solucionar este tema?

Gracias de nuevo.

Konstanti

@odric
Saludo
Puedes intentar hacer asi .
Como opción, dividimos la red 192.168.30.0 / 24 en dos partes.
con máscara de subred / 25
Entonces, por ejemplo, los hosts 192.168.30.1-192.168.30.126 perteneсen a la red LAN PF1
Y los hosts 192.168.30.129-192.168.30.254 pertenecen a la red OPENVPN.
Entonces todo el tráfico de estas subredes para la red 10.0.0.0 / 24 entra en el túnel

gersonofstone

tendiras que hacer 2 cosas

1 que la red del openvpn esta enruta y nateada en las reglas de ipsec, para que se pueda comunicar entre los 2 sitios
2 que en el servidor openvpn tenga una ruta estatica que diga que cuando busque la red del otro sitio, enrutarla al pfsense del del primer sitio