[Resolvido] - IPSEC - Comunicação
-
Olá Galera,
Estou com problema de comunicação na VPN IPSEC, fecho o túnel, porém, não consigo comunicação, a outra ponta diz que o trafego chega lá, mas não recebo o retorno. Houve um momento que funcionou, mas parou em seguida.
Segue Tcpdump:
[2.4.3-RELEASE][admin@localhost]/root: tcpdump -ni enc0 -vv tcpdump: listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 bytes 09:57:28.882825 (authentic,confidential): SPI 0x3b469a9f: IP (tos 0x0, ttl 127, id 6205, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 442a (->452a)!) 192.168.1.103.52926 > 170.66.50.11.21: Flags [S], cksum 0xca96 (correct), seq 2470937601, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 09:57:31.882154 (authentic,confidential): SPI 0x3b469a9f: IP (tos 0x0, ttl 127, id 6231, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 4410 (->4510)!) 192.168.1.103.52926 > 170.66.50.11.21: Flags [S], cksum 0xca96 (correct), seq 2470937601, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 09:57:37.876213 (authentic,confidential): SPI 0x3b469a9f: IP (tos 0x0, ttl 127, id 6278, offset 0, flags [DF], proto TCP (6), length 48, bad cksum 43e5 (->44e5)!) 192.168.1.103.52926 > 170.66.50.11.21: Flags [S], cksum 0xdea5 (correct), seq 2470937601, win 8192, options [mss 1460,nop,nop,sackOK], length 0
Alguém tem alguma idéia de qual poderia ser o problema?
-
nas regras de firewall do ipsec voce liberou o trafego?
-
Sim, na interface IPSec.
IPv4 * * * * * * none
tudo liberado.
-
o bloqueio não estaria na outra ponta?
-
É a VPN do BB eles dizem que o trafego está chegando lá e está normal a comunicação, há alguma maneira de verificar? Meu traceroute não passa do primeiro salto que é meu pfsense.
-
Você tem que ter uma regra da sua lan para a rede do BB, outra coisa as duas fases estão conectadas? e trafegando, olha em status ipsec mostra a entradas sa filhas, não recomendo deixar tudo liberado na conexão não, se houver algum problema na rede do BB vem pra sua rede e faz estrago;
-
Sim as 2 fazes estão UP... as filhas estabelece quando tento conexão com a rede deles... porém só acontece trafego de saida... não recebo o trafego de entrada... Como deveria criar essa regra na LAN? Fiz até uma regra igual a do IPSEC na LAN para testar porém... sem sucesso... Eu utilizo o IP para conexão é um IP Virtual CARP... é com este IP que fecho o túnel... Estou até montando outro servidor para testar utilizando o IP direto na interface para verificar se pode ser isso o problema.
-
@slanbr said in IPSEC - Comunicação:
IPSec
Essa regra da interface IPSec tem algum estado?
Estados Protocolo Origem Porta Destino Porta Gateway FILA -
Você tem snort? pode ser que ele tenha bloqueado o ip do cliente.
-
Não tenho snort instalado/configurado.
-
Segue o State
IPsec tcp 201.x.x.x:62504 (192.168.1.103:62283) -> 170.x.x.x:21 SYN_SENT:CLOSED 2 / 0 100 B / 0 B
-
pode ser bug, nas regras do firewall ipsec tenta colocar o a rede do BB na origem e a sua rede interna no destino veja nessas regras se tem estados
-
eu acho que pode ser algo na outra ponta, as vezes não configuraram rota de lá para sua rede. porque na parte do pfsense geralmente é bem simples, se as regras estão liberadas e deu como conectado, teoricamente sempre funciona.
-
Verdade, essas regras de ipsec é se a rede da BB vai conectar alguma coisa dentro da sua rede não precisa vc pode até remover, quando a conexão sai da sua rede quando chegar lá tem que ter regras permitindo.
-
Então, também achei que seria lá... porém, hora funciona hora não.... está muito estranho. Queria saber se tem algo que eu possa analisar para tentar entender o problema..
-
Eu tive um problema parecido com a Mandic (não recomendo essa empresa) as vezes a vpn travava e a conexão ficava presa revisamos todas as configurações, por final era a opção de configuração do pfsense que estava habilitada [ ]Desativar rekey Desabilitar renegociação quando a conexão estiver expirando.
quando expirava a conexão, travava e não voltava mais tinha que reiniciar dos dois lados. revise as configurações dos dois lados. -
Segue o log do swanctl
[2.4.3-RELEASE][admin@localhost]/root: swanctl --log 10[IKE] initiating IKE_SA con1[5] to 170.x.x.85 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N( FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] 10[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (336 bytes) 10[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (356 bytes) 10[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_S_IP) N(NAT D_S_IP) N(NATD_D_IP) N(CHDLESS_SUP) ] 10[IKE] authentication of '201.x.x.x' (myself) with pre-shared key 10[IKE] establishing CHILD_SA con1{12} 10[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_P AD_N) SA TSi TSr N(EAP_ONLY) N(MSG_ID_SYN_SUP) ] 10[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (256 bytes) 10[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (272 bytes) 10[ENC] parsed IKE_AUTH response 1 [ IDr AUTH N(CRASH_DET) SA TSi TSr N(ESP_TFC_ PAD_N) N(NON_FIRST_FRAG) ] 10[IKE] authentication of '170.x.x.85' with pre-shared key successful 10[IKE] IKE_SA con1[5] established between 201.x.x.x[201.x.x.x]...170.x .x.85[170.x.x.85] 10[IKE] scheduling reauthentication in 14384s 10[IKE] maximum IKE_SA lifetime 14394s 10[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding 10[IKE] CHILD_SA con1{12} established with SPIs c88d7812_i 055d2c70_o and TS 201 .x.x.x/26|192.168.0.0/23 === 170.x.x.0/24|/0 13[IKE] sending DPD request 13[ENC] generating INFORMATIONAL request 2 [ ] 13[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (80 bytes) 07[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (80 bytes) 07[ENC] parsed INFORMATIONAL response 2 [ ] 14[IKE] sending DPD request 14[ENC] generating INFORMATIONAL request 3 [ ] 14[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (80 bytes) 14[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (80 bytes) 14[ENC] parsed INFORMATIONAL response 3 [ ] 07[IKE] sending DPD request 07[ENC] generating INFORMATIONAL request 4 [ ] 07[NET] sending packet: from 201.x.x.x[500] to 170.x.x.85[500] (80 bytes) 07[NET] received packet: from 170.x.x.85[500] to 201.x.x.x[500] (80 bytes) 07[ENC] parsed INFORMATIONAL response 4 [ ]
-
Fiz este teste... nada... não chega a demorar. Eu fecho o tunnel as vezes nem comunica, as vezes comunica depois da primeira conexao para. Aparentemente é bug realmente.
-
12[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Isso poderia ser algum problema?
-
Configurei outro servidor PFSense, sem nada so WAN e LAN, configurei o IPSec, funcionou em um primeiro momento... depois parou.