Regla por defecto bloquea retorno ipsec
-
Buenos dias,
tengo un tunel ipsec con un cliente y estoy teniendo algun problema con el trafico de red:
- En el apartado de reglas, en la parte de ipsec tengo una unica regla que permite todo.
- Puedo llegar a los host del cliente pero el pfsense me bloquea el trafico que viene de ellos
- El cliente utiliza la red 10.215.235.0/24
- La regla que me para el trafico es esta:
Jun 11 12:40:39 IPsec Default deny rule IPv4 (1000000103) 10.215.235.31 192.168.2.113 TCP:
He intentado incorporar la regla a traves del asistente, pero tampoco funciona.
Alguien puede echarme un cabñe a`pra habilitar el trafico de retorno de esta red? ALguna idea de que puedo probar?Gracias!
-
Hola
en las Rules Ipsec que tienes configurado?
-
Buenas, gracias por la respuesta.
Este es mi apartado de reglas del ipsec, como veras, esta todo permitido:
https://i.imgur.com/4SJVSKf.png
Creo que el problema viene porque los paquetes que me llegan del cliente son TCP:A, por lo que por defecto se dropean. Lo que no se es como evitar esta asincronizacion...
Puedes ayudarme con esto?
Gracias.
-
puedes colocar mas inforacion, como tu dominio de encription de cada lado? de paso las reglas, puede q tu trafico este enrutado hacia internet y no hacia la vpn
-
Hola, como puedo mirar si el trafico se enruta correctamente o no?
La verdad es que he probado de hacer una ruta estatica a su red, pero el resultado es el mismo.
En el otro lado del tunel hay un Fortinet (no tengo acceso a el). Me da la impresion que el problema esta en el otro lado (en el Fortinet) ya que yo llego perfectamente y es el retorno el que no va (si me hacen ping a mi , no responde, al reves, si).
El dominio de encriptacion phase 1:
https://i.imgur.com/uJwGJ9s.pngPhase 2:
https://imgur.com/sKddQ5f
Me decanto por lo del enrutamiento. Como puedo comprobar que mi parte esta bien?
Gracias!
-
Hola
Puedes intentar hacer un tracert con el compruebas hacia donde va tu trafico si a internet o a VPN, no es nesecario crear una ruta estatica.
Es importante saber que rules en la LAN tienes configurada, por que puede q este evitando que el trafico sea enrutada correctamente.
-
Hola,
en el tracer hay 3 saltos:sale la ip de mi pfsense, la ip publica del cliente y la ip final del host de su lan.
Sobre las reglas, lo permito todo, pero en la parte de ipsec. Influye la parte LAN en esto?
Le comentare a los de sistemas del otro lado del tunel que hagan un tracert a ver que les sale a ellos. Cada vez creo con mas certeza que los que no enrutan bien son ellos...
Gracias!
-
@linuch said in Regla por defecto bloquea retorno ipsec:
Hola,
en el tracer hay 3 saltos:sale la ip de mi pfsense, la ip publica del cliente y la ip final del host de su lan.
Sobre las reglas, lo permito todo, pero en la parte de ipsec. Influye la parte LAN en esto?
Le comentare a los de sistemas del otro lado del tunel que hagan un tracert a ver que les sale a ellos. Cada vez creo con mas certeza que los que no enrutan bien son ellos...
Gracias!
Si el tracert llega a la lan del otro lado la vpn esta bien, que rules tienes en la interfaz ipsec de tu pfsense?
-
Hola,
https://i.imgur.com/4SJVSKf.png
todo permitido.
-
hola
Tienes trafico, parece ser que el otro lado te tienen bloqueado
-
Era lo que me imaginaba.
Muchas gracias, hablare con ellos para que se lo miren bien.
