Regla por defecto bloquea retorno ipsec



  • Buenos dias,

    tengo un tunel ipsec con un cliente y estoy teniendo algun problema con el trafico de red:

    • En el apartado de reglas, en la parte de ipsec tengo una unica regla que permite todo.
    • Puedo llegar a los host del cliente pero el pfsense me bloquea el trafico que viene de ellos
    • El cliente utiliza la red 10.215.235.0/24
    • La regla que me para el trafico es esta:
      Jun 11 12:40:39 IPsec Default deny rule IPv4 (1000000103) 10.215.235.31 192.168.2.113 TCP:

    He intentado incorporar la regla a traves del asistente, pero tampoco funciona.
    Alguien puede echarme un cabñe a`pra habilitar el trafico de retorno de esta red? ALguna idea de que puedo probar?

    Gracias!



  • Hola

    en las Rules Ipsec que tienes configurado?



  • Buenas, gracias por la respuesta.

    Este es mi apartado de reglas del ipsec, como veras, esta todo permitido:

    https://i.imgur.com/4SJVSKf.png

    Creo que el problema viene porque los paquetes que me llegan del cliente son TCP:A, por lo que por defecto se dropean. Lo que no se es como evitar esta asincronizacion...

    Puedes ayudarme con esto?

    Gracias.



  • puedes colocar mas inforacion, como tu dominio de encription de cada lado? de paso las reglas, puede q tu trafico este enrutado hacia internet y no hacia la vpn



  • Hola, como puedo mirar si el trafico se enruta correctamente o no?

    La verdad es que he probado de hacer una ruta estatica a su red, pero el resultado es el mismo.

    En el otro lado del tunel hay un Fortinet (no tengo acceso a el). Me da la impresion que el problema esta en el otro lado (en el Fortinet) ya que yo llego perfectamente y es el retorno el que no va (si me hacen ping a mi , no responde, al reves, si).

    El dominio de encriptacion phase 1:
    https://i.imgur.com/uJwGJ9s.png

    Phase 2:

    https://imgur.com/sKddQ5f

    Me decanto por lo del enrutamiento. Como puedo comprobar que mi parte esta bien?

    Gracias!



  • Hola

    Puedes intentar hacer un tracert con el compruebas hacia donde va tu trafico si a internet o a VPN, no es nesecario crear una ruta estatica.

    Es importante saber que rules en la LAN tienes configurada, por que puede q este evitando que el trafico sea enrutada correctamente.



  • Hola,

    en el tracer hay 3 saltos:sale la ip de mi pfsense, la ip publica del cliente y la ip final del host de su lan.

    Sobre las reglas, lo permito todo, pero en la parte de ipsec. Influye la parte LAN en esto?

    Le comentare a los de sistemas del otro lado del tunel que hagan un tracert a ver que les sale a ellos. Cada vez creo con mas certeza que los que no enrutan bien son ellos...

    Gracias!



  • @linuch said in Regla por defecto bloquea retorno ipsec:

    Hola,

    en el tracer hay 3 saltos:sale la ip de mi pfsense, la ip publica del cliente y la ip final del host de su lan.

    Sobre las reglas, lo permito todo, pero en la parte de ipsec. Influye la parte LAN en esto?

    Le comentare a los de sistemas del otro lado del tunel que hagan un tracert a ver que les sale a ellos. Cada vez creo con mas certeza que los que no enrutan bien son ellos...

    Gracias!

    Si el tracert llega a la lan del otro lado la vpn esta bien, que rules tienes en la interfaz ipsec de tu pfsense?



  • Hola,

    https://i.imgur.com/4SJVSKf.png

    todo permitido.



  • hola

    Tienes trafico, parece ser que el otro lado te tienen bloqueado



  • Era lo que me imaginaba.

    Muchas gracias, hablare con ellos para que se lo miren bien.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy