IPsec LAN / DMZ Matriz Filial
-
Bom dia pessoal,
Alguém pode me ajudar com a configuração VPN IPsec, consegui fazer comunicar meu site Matriz / Filial entre as redes LAN, porem a minha filial não pinga minha DMZ Matriz.
 -
Wesley, mascara seu ip real na imagem. Publicar seu ip é potencialmente perigoso, ainda mais com o desenho da topologia.
Sobre a configuração, criou as regras de fw tanto na lan quanto na interface da vpn permitindo o trafego?
-
Wesley, mascara seu ip real na imagem. Publicar seu ip é potencialmente perigoso, ainda mais com o desenho da topologia.
Sobre a configuração, criou as regras de fw tanto na lan quanto na interface da vpn permitindo o trafego?
Marcelo, obrigado pela dica, já fiz as alterações na imagem.
Com relação as regras de fw esta liberando tudo nas duas pontas, para facilitar, segue prints.
-
Nas respectivas LANs inclusive? sem regras de load balance ou failover?
-
Não temos Load balance nem failover.
-
Não temos Load balance nem failover.
Monitora via tcpdump para ver até onde a comunicação está indo, nas duas lans e na enc0 que é a interface do túnel.
-
Eu fiz monitoramento via tcpdump, nas duas pontas porem não ocorre nenhum tipo de trafego nas pontas entre LAN Filial e DMZ Matriz, agora entre LAN Filial e LAN Matriz a comunicação esta perfeita.
Comando utilizado tcpdump -n -p -i enc0
-
Eu fiz monitoramento via tcpdump, nas duas pontas porem não ocorre nenhum tipo de trafego nas pontas entre LAN Filial e DMZ Matriz, agora entre LAN Filial e LAN Matriz a comunicação esta perfeita.
O trafego das estações da Lan Filial para a matriz não chega no firewall? Se for isso, pode estar com o gateway errado, ou faltando uma rota estática.
-
O trafego entre LAN's chega entre filial e Matriz, porem minha DMZ que esta no site Matriz não comunica com a LAN Filial.
-
E o meu problema esta entre a minha DMZ e LAN Filial, na DMZ Matriz esta configurado meu servidor OpenLdap, e na Matriz um Slave OpenLdap que esta na LAN.
-
Alguém tem alguma sugestão do que posso tentar realizar?
-
O trafego entre LAN's chega entre filial e Matriz, porem minha DMZ que esta no site Matriz não comunica com a LAN Filial.
adicionou a rede dmz na fase2 do ipsec?
-
Sim, apenas na ponta da Filial, segue print.
-
A fase 2 precisa casar nas duas pontas.
-
Marcelo, bom dia.
Eu não entendi como ficaria a fase 2 na ponta da DMZ " Matriz ". -
Marcelo, bom dia.
Eu não entendi como ficaria a fase 2 na ponta da DMZ " Matriz ".Ela precisa fazer referência as suas duas redes locais também. LAN e DMZ.
-
Marcello, deu certo, após fazer apontamento na fase 2 para rede DMZ na ponta Matriz.
-
Marcelo, agora esta funcionando a comunicação das duas redes da Matriz com a filial, porem quando clico em " VPN / IPsec / Related Status / Overview ", esta exibindo duas conexões para rede 192.168.40.0 / 22, e minha VPN já ficou Down por duas vezes, então não sei se esta informação pode ter relação, para facilitar o entendimento vou colocar em anexo um print.
-
Uma conexão para cads fase 2, de acordo com a rede de origem e destino.
-
Uma conexão para cads fase 2, de acordo com a rede de origem e destino.
Mas conforme meu ultimo print ele esta fazendo três conexões, duas para mesma rede, no caso a LAN Matriz, isso esta correto?
-
No meu entendimento está sim. você tem dois pares de conexão entre rede origem e destino, isso deve gerar até quatro conexões nessa tela.
-
No meu entendimento está sim. você tem dois pares de conexão entre rede origem e destino, isso deve gerar até quatro conexões nessa tela.
Realmente dentro de SPDs existem quatro pares de conexões, porem dentro de Overview Child SA esta apenas três, segue prints.
-
Marcelo, oque eu estou com problema agora é intermitências em copias utilizando scp entre as filiais.
-
Marcelo, oque eu estou com problema agora é intermitências em copias utilizando scp entre as filiais.
Tem log de queda da vpn ou instabilidade do link?
-
Quando eu vejo status da VPN as duas pontas sempre estão UP, simplesmente a copia para conforme imagem que esta anexada, e ao cancelar a copia eu continuo conectado no servidor remotamente.
Como faço para fazer a coleta de log e realmente saber se houve alguma indisponibilidade no serviço VPN.
-
Olha primeiro o relatório de qualidade do link em status -> monitoring, depois nos logs do ipsec
-
Olá Marcelo, grato pelo retorno, com o link não consegui identificar perca, porem nos log do IPsec identifiquei a seguinte mensagem de " 02[CFG] vici client 9271 registered for: list-sa ", não sei se isso que pode esta acarretando algo na conexão, segue print do monitoramento do link e coleta de log do IPsec.
charon 05[CFG] vici client 9260 requests: list-sas
May 10 12:22:58 charon 10[CFG] vici client 9260 disconnected
May 10 12:22:58 charon 10[CFG] vici client 9260 registered for: list-sa
May 10 12:23:04 charon 05[CFG] vici client 9261 connected
May 10 12:23:04 charon 05[CFG] vici client 9261 disconnected
May 10 12:23:04 charon 05[CFG] vici client 9261 registered for: list-sa
May 10 12:23:04 charon 10[CFG] vici client 9261 requests: list-sas
May 10 12:23:10 charon 09[CFG] vici client 9262 connected
May 10 12:23:10 charon 09[CFG] vici client 9262 requests: list-sas
May 10 12:23:10 charon 12[CFG] vici client 9262 disconnected
May 10 12:23:10 charon 12[CFG] vici client 9262 registered for: list-sa
May 10 12:23:16 charon 05[CFG] vici client 9263 connected
May 10 12:23:16 charon 05[CFG] vici client 9263 requests: list-sas
May 10 12:23:16 charon 09[CFG] vici client 9263 disconnected
May 10 12:23:16 charon 09[CFG] vici client 9263 registered for: list-sa
May 10 12:23:22 charon 02[CFG] vici client 9264 disconnected
May 10 12:23:22 charon 05[CFG] vici client 9264 connected
May 10 12:23:22 charon 05[CFG] vici client 9264 registered for: list-sa
May 10 12:23:22 charon 09[CFG] vici client 9264 requests: list-sas
May 10 12:23:28 charon 02[CFG] vici client 9265 connected
May 10 12:23:28 charon 02[CFG] vici client 9265 disconnected
May 10 12:23:28 charon 11[CFG] vici client 9265 registered for: list-sa
May 10 12:23:28 charon 11[CFG] vici client 9265 requests: list-sas
May 10 12:23:34 charon 08[CFG] vici client 9266 requests: list-sas
May 10 12:23:34 charon 11[CFG] vici client 9266 connected
May 10 12:23:34 charon 11[CFG] vici client 9266 disconnected
May 10 12:23:34 charon 11[CFG] vici client 9266 registered for: list-sa
May 10 12:23:40 charon 02[CFG] vici client 9267 connected
May 10 12:23:40 charon 02[CFG] vici client 9267 registered for: list-sa
May 10 12:23:40 charon 02[CFG] vici client 9267 requests: list-sas
May 10 12:23:40 charon 11[CFG] vici client 9267 disconnected
May 10 12:23:46 charon 02[CFG] vici client 9268 connected
May 10 12:23:46 charon 02[CFG] vici client 9268 requests: list-sas
May 10 12:23:46 charon 15[CFG] vici client 9268 disconnected
May 10 12:23:46 charon 15[CFG] vici client 9268 registered for: list-sa
May 10 12:23:52 charon 02[CFG] vici client 9269 connected
May 10 12:23:52 charon 02[CFG] vici client 9269 requests: list-sas
May 10 12:23:52 charon 02[IKE] <con1000|7>activating new tasks
May 10 12:23:52 charon 02[IKE] <con1000|7>nothing to initiate
May 10 12:23:52 charon 13[CFG] vici client 9269 disconnected
May 10 12:23:52 charon 13[KNL] creating rekey job for CHILD_SA ESP/0xc1eb00d8/187.75.209.246
May 10 12:23:52 charon 15[CFG] vici client 9269 registered for: list-sa
May 10 12:23:58 charon 02[CFG] vici client 9270 connected
May 10 12:23:58 charon 02[CFG] vici client 9270 requests: list-sas
May 10 12:23:58 charon 14[CFG] vici client 9270 disconnected
May 10 12:23:58 charon 14[CFG] vici client 9270 registered for: list-sa
May 10 12:24:04 charon 02[CFG] vici client 9271 connected
May 10 12:24:04 charon 02[CFG] vici client 9271 disconnected
May 10 12:24:04 charon 02[CFG] vici client 9271 registered for: list-sa
May 10 12:24:04 charon 14[CFG] vici client 9271 requests: list-sas
</con1000|7></con1000|7> -
Marcello, bom dia.
Baseado nas imagens você identificou algo de errado?
