IPsec LAN / DMZ Matriz Filial
-
Bom dia pessoal,
Alguém pode me ajudar com a configuração VPN IPsec, consegui fazer comunicar meu site Matriz / Filial entre as redes LAN, porem a minha filial não pinga minha DMZ Matriz.
 -
Wesley, mascara seu ip real na imagem. Publicar seu ip é potencialmente perigoso, ainda mais com o desenho da topologia.
Sobre a configuração, criou as regras de fw tanto na lan quanto na interface da vpn permitindo o trafego?
-
Wesley, mascara seu ip real na imagem. Publicar seu ip é potencialmente perigoso, ainda mais com o desenho da topologia.
Sobre a configuração, criou as regras de fw tanto na lan quanto na interface da vpn permitindo o trafego?
Marcelo, obrigado pela dica, já fiz as alterações na imagem.
Com relação as regras de fw esta liberando tudo nas duas pontas, para facilitar, segue prints.
-
Nas respectivas LANs inclusive? sem regras de load balance ou failover?
-
Não temos Load balance nem failover.
-
Não temos Load balance nem failover.
Monitora via tcpdump para ver até onde a comunicação está indo, nas duas lans e na enc0 que é a interface do túnel.
-
Eu fiz monitoramento via tcpdump, nas duas pontas porem não ocorre nenhum tipo de trafego nas pontas entre LAN Filial e DMZ Matriz, agora entre LAN Filial e LAN Matriz a comunicação esta perfeita.
Comando utilizado tcpdump -n -p -i enc0
-
Eu fiz monitoramento via tcpdump, nas duas pontas porem não ocorre nenhum tipo de trafego nas pontas entre LAN Filial e DMZ Matriz, agora entre LAN Filial e LAN Matriz a comunicação esta perfeita.
O trafego das estações da Lan Filial para a matriz não chega no firewall? Se for isso, pode estar com o gateway errado, ou faltando uma rota estática.
-
O trafego entre LAN's chega entre filial e Matriz, porem minha DMZ que esta no site Matriz não comunica com a LAN Filial.
-
E o meu problema esta entre a minha DMZ e LAN Filial, na DMZ Matriz esta configurado meu servidor OpenLdap, e na Matriz um Slave OpenLdap que esta na LAN.
-
Alguém tem alguma sugestão do que posso tentar realizar?
-
O trafego entre LAN's chega entre filial e Matriz, porem minha DMZ que esta no site Matriz não comunica com a LAN Filial.
adicionou a rede dmz na fase2 do ipsec?
-
Sim, apenas na ponta da Filial, segue print.
-
A fase 2 precisa casar nas duas pontas.
-
Marcelo, bom dia.
Eu não entendi como ficaria a fase 2 na ponta da DMZ " Matriz ". -
Marcelo, bom dia.
Eu não entendi como ficaria a fase 2 na ponta da DMZ " Matriz ".Ela precisa fazer referência as suas duas redes locais também. LAN e DMZ.
-
Marcello, deu certo, após fazer apontamento na fase 2 para rede DMZ na ponta Matriz.
-
Marcelo, agora esta funcionando a comunicação das duas redes da Matriz com a filial, porem quando clico em " VPN / IPsec / Related Status / Overview ", esta exibindo duas conexões para rede 192.168.40.0 / 22, e minha VPN já ficou Down por duas vezes, então não sei se esta informação pode ter relação, para facilitar o entendimento vou colocar em anexo um print.
-
Uma conexão para cads fase 2, de acordo com a rede de origem e destino.
-
Uma conexão para cads fase 2, de acordo com a rede de origem e destino.
Mas conforme meu ultimo print ele esta fazendo três conexões, duas para mesma rede, no caso a LAN Matriz, isso esta correto?
