Problema IPSEC x SRV AD



  • Fala galera, boa tarde!

    Consegui implementar um IPSEC site to site entre matriz e filial, ping e tracert funciona de boa e até consigo acessar o painel do firewall, até colocar o nome do SRV e domínio pelo tracert e chega até o destino.

    Só estou com problema para se conectar ao AD, a filial não consegue conectar.

    Alguém tem um sugestão?



  • @luick Você adicionou a rede remota lá no reverse DNS do AD?
    Os usuários da rede remota não conseguem se tornar membros do domínio?
    A rede remota está utilizando o servidor DNS do AD?
    As portas TCP/UDP 53, TCP/389 e TCP/445 estão permitidas?

    Caso não seja isso, informe mais detalhes.



  • Você adicionou a rede remota lá no reverse DNS do AD? É preciso realizar está tarefa, tenho uma rede com o openvpn client to site e não precisei colocar a rede.

    Os usuários da rede remota não conseguem se tornar membros do domínio? Isso, apresenta aquela mensagem que não é possível encontrar o domínio.

    A rede remota está utilizando o servidor DNS do AD? Então, mesmo eu configurando direto na placa de rede da estão de trabalho , não pega o dominio.

    As portas TCP/UDP 53, TCP/389 e TCP/445 estão permitidas? Todo o trafego pelo IPSEC está lcomo any.



  • @luick said in Problema IPSEC x SRV AD:

    Você adicionou a rede remota lá no reverse DNS do AD? É preciso realizar está tarefa, tenho uma rede com o openvpn client to site e não precisei colocar a rede.

    Você adicionou a rede remota lá no reverse DNS do AD? É preciso realizar está tarefa, tenho uma rede com o openvpn client to site e não precisei colocar a rede.
    R: Para se tornar membro ou ingressar no domínio, as redes de origem precisam estar declaradas lá no reverse DNS do AD.

    Os usuários da rede remota não conseguem se tornar membros do domínio? Isso, apresenta aquela mensagem que não é possível encontrar o domínio.
    R: Tem algum log do servidor, ou até uma captura de pacote durante a tentativa para que possamos avaliar?

    A rede remota está utilizando o servidor DNS do AD? Então, mesmo eu configurando direto na placa de rede da estão de trabalho , não pega o dominio.
    R: Você pode utilizar o DNS do pfsense local mesmo, apenas coloque lá no DNS override, o domínio e o IP do servidor AD.

    As portas TCP/UDP 53, TCP/389 e TCP/445 estão permitidas? Todo o trafego pelo IPSEC está lcomo any.
    R: Ok.



  • Consegue me passar mais detalhes sobre está questão do DNS do Windows Server?

    Amanhã, vou realizar um teste e tentar capturar algum log.



  • @luick Para autenticar por LDAP, você não precisa de dns reverse lookup para cada subnet.
    De repente você até consiga ingressar no domínio sem isso configurado, mas:

    Não criando um reverse DNS para cada subnet, você vai ter problemas para seu servidor de e-mail caso o tenha, e alguns aplicativos que dependam disso não irão funcionar, normalmente baseados em Citrix e VMware.
    Você também terá problemas com kerberos, onde sem configurar o DNS reverso, apenas o nome netbios pode ser retornado, e não o fqdn, te impedindo de gerar tickets até para um simples compartilhamento de pasta, relacionado ao principal name e serviços.
    Em adição a isso, até o Squid pode utilizar a autenticação kerberos caso assim você o configure, e isso terá problemas também.

    Referência:
    https://www.conversantgroup.com/wp-content/uploads/2020/02/DC-CUGC-10-Things-in-AD.pdf

    Além disso, te ajudará bastante em troubleshooting caso o configure, nslookup tools, entre outras coisas, tem algumas implicações de segurança também mas agora não me recordo totalmente.

    Então, reformulando, dependendo do seu cenário, e do que usa dentro dele, pode ser ou não necessário, mas é uma boa prática e irá te salvar de vários problemas, e te ajudar a identificar outros.



  • Fiz a inclusão da REDE na zona de DNS Inversa.

    7528784e-367c-485c-b03d-8bb9c5ceb0ad-image.png

    Agora está IP da Matriz e Filial.
    Mesmo assim não tive exito,



  • @luick Você pingar o domínio?
    Por ex, domínio local.lan
    Tente pingar local.lan da rede remota



  • Sim, consigo realizar o Ping.



  • Você está usando NAT na VPN?
    Tente repetir o processo, sem NAT na VPN caso esteja usando, e apenas com o DNS do DC configurado no cliente.



  • Não, estou sem NAT na Rede remota.

    Está só apontando para rede de origem e rede remota.



  • @luick Cliente é Windows?
    Dá um telnet do computador remoto que está com problema pro IP do DC na porta 389 e vê se completa pfv.. Pode ser o Firewall do WIndows Server ou do samba caso esteja usando linux



  • Problema foi resolvido, realizado a liberação da porta LDAP na rede LAN da Filial.



  • @luick Fico feliz que tenha resolvido :)



  • @mcury, estou tentando fazer pelo OpenVPN Site to Site, e a rede filial não consegue ping para o AD, interessante que para o FW funciona.

    Quando ping de uma maquina que está na filial para o AD da matriz.

    Ficando: Resposta de 00.00.00.0: A vida útil (TTL) expirou em trânsito.



  • Dê um traceroute da filial para o AD da matriz e confirme se não há um loop ou assimetria pfv



  • Fica um loop apontando para o FW da Filial.

    Os 30 salto fica apontando para o IP do FW da Filial.



  • @luick Então há um problema de roteamento, pois se entendi corretamente o que você informou, o pacote não sai da filial, ele chega no Firewall da filial mas não sai pelo túnel.

    Pode ser um problema de rotas sobrepostas, por ex você tem um 10.x.x.x/16 na tabela de roteamento da filial, e está tentando sair pelo túnel openvpn para uma rede 10.y.y.y/16

    Dê uma conferida se não existem redes sobrepostas, e também na configuração do openvpn



  • Não existe pelo menos olhei nas configurações e nada.

    Cara testei aqui e só está com problema no IP específico que é o do AD, muito estranho.



  • @luick Hm, só no IP do AD?
    Pingando da filial você consegue então pingar outros IPs da mesma rede do AD, mas não o AD?



  • @mcury , consigo pinga para outros computadores.



  • @luick É, essa parece que será necessário fazer uma captura de pacotes lá no firewall da matriz.
    Tem lá na GUI do pfsense, um menu chamado Diagnostics > Packet Capture
    Clique lá, seleciona a interface onde o AD está, coloque o protocolo ICMP, e host o IP do computador da filial que está tentando pingar.
    Confirme se há ECHO chegando da filial e REPLY do AD de volta para a filial.



  • Fiz e não da nenhum resultado. Investigando mais na tabela de roteamento do PFSENSE Filial, está com o IP do AD e gateway apontando para o próprio PFSENSEFILIAL.

    Uma obs eu não exclui as configurações do ipsec, só desabilitei. Teria algum problema neste sentido?



  • @luick Eu acho que não, desabilitar já seria o suficiente, mas eu não posso garantir sem margem de dúvida pois nunca tive um ipsec desabilitado e uma openvpn configurada para o mesma interface.

    Mas levando em consideração que o ping vindo de computadores da filial, passando pela openvpn, e funcionando para outros hosts que não sejam o AD e que estão na mesma rede do AD, isso indica que o problema não é a openvpn.

    Na tabela de roteamento do firewall da filial, não deveria constar a rede do AD?
    Estranho você mencionar que só aparece o IP do AD e gateway apontando para o próprio IP da filial.



  • No FW da Filial está um regra explicita IP do AD + Gateway do FW da Filial.
    E em baixo está a REDE da Matriz + Gateway do Rede remota que conecta os dois FW.

    Está rota IP do AD + Gateway FW Filial deveria existir? Acho que é por causa desta rota que gera o conflito.

    Lembrando que no DNS resolver da Filial estou especificando o host e domain do AD, apontando para o IP do AD.



  • @luick Desabilita essa regra do AD que tem o gateway, e tente novamente.



  • Na verdade passei a informação errada, em Diagnostics > Routes contem está info 'IP do AD Matriz + Gateway do FW da Filial', agora é possível excluir está rota de algum jeito?



  • @luick Essa rota é proveniente da regra de firewall que você criou com o gateway.



  • Já fiz a exclusão da regra é ainda consta lá.



  • @luick Se ela continua lá, provavelmente você deve ter configurado o firewall da filial para utilizar o dns do AD, certo?



  • Ja deletei todas as configurações vinculadas ao ip do AD no firewall da filial, e não saiu da tabela de rota. Complicado!

    Acho que vou voltar para o IPSec que estava funcionando mesmo. O problema que eu identifiquei no IPSec é que fica caindo em tempos em tempos e não reconecta novamente.

    Não sei se teria uma solução para está situação.



  • @luick Quais são os logs de quando o ipsec cai? Você ativou o dead peer detection?

    Em relação ao openvpn, salve a configuração do firewall, edite o arquivo da configuração .xml, e procure pelo ip do AD, deve haver um registro lá.

    Edit: Habilitar o keep alive nos 2 lados do túnel também costuma resolver o problema do ipsec.



  • please let clear all one by one . i really need to understand



  • @mcury , Aumentei os números de reconexão, até agora não caiu. Consigo colocar os computadores no domínio sendo que está tendo uma grande demora cerca de 25 a 40 minutos na hora que coloca as credencias nos computadores dos usuários.

    Na minha rede local não demora nem 1 minuto.

    Por conta desta demora não carrega gpo e nada. Como eu tenho openvpn client to site, não posso por esta lentidão quando coloco o computador no domínio, só estou com problema no IPSec.



  • @luick estranho, você consegue instalar o iperf3 em uma das máquinas e testar pelo outro lado do túnel?



  • Consegui baixar o iperf3 em um computador da filial, quais comandos posso utilizar nele?



  • @luick Precisa ter o iperf3 dos 2 lados do túnel.
    Um lado você já conseguiu, no computador da filial.

    Se conseguir instalar em um computador da matriz, seguem os comandos para um teste básico:

    Cliente: iperf3 -c ip_do_servidor -i 1
    Server: iperf3 -s

    Desta forma, você consegue ter uma ideia da banda que o IPsec está conseguindo, e também do openvpn, para fins de comparação.

    obs: use computadores atrás do túnel, evite usa o aplicativo iperf3 que tem no pfsense, pois essa não é a maneira recomendada.

    Também, durante o teste, recomendo verificar a utilização de CPU do pfsense, para confirmar se você não está com um processador fraco para a criptografia escolhida.

    Em relação a observação que fiz anteriormente, onde pedi para que você salvasse a configuração do pfsense e editasse com notepad ou editor de texto, é para confirmar o motivo daquela rota ainda estar lá.
    Existe um bug que só foi corrigido de fato na versão 2.5, na versão 2.4.5p1 ainda existe, e você pode estar passando por isso, vide bug: https://redmine.pfsense.org/issues/8922

    Edit: Esqueci de mencionar, para monitorar o cpu do pfsense, você pode conectar por SSH e digitar, top -aSH



  • Iperf3 funcionou perfeitamente, o trafego na rede fluiu.

    Por fim desabilitei o IPSEC e também o DNS resolver.
    Fiz a habilitação do DNS Forwarder, coloquei na lista dos SERVERS DNS Matriz e ativei o OPENVPN funcionou como uma luva sem travamento e demora na hora do User logar na estação de trabalho.

    Aquela rota desapareceu do nada da lista.

    Muito obrigado pela ajuda ai.



  • De nada luick, o importante é estar funcionando e te atendendo.


Log in to reply