Problema IPSEC x SRV AD
-
@luick Fico feliz que tenha resolvido :)
-
@mcury, estou tentando fazer pelo OpenVPN Site to Site, e a rede filial não consegue ping para o AD, interessante que para o FW funciona.
Quando ping de uma maquina que está na filial para o AD da matriz.
Ficando: Resposta de 00.00.00.0: A vida útil (TTL) expirou em trânsito.
-
Dê um traceroute da filial para o AD da matriz e confirme se não há um loop ou assimetria pfv
-
Fica um loop apontando para o FW da Filial.
Os 30 salto fica apontando para o IP do FW da Filial.
-
@luick Então há um problema de roteamento, pois se entendi corretamente o que você informou, o pacote não sai da filial, ele chega no Firewall da filial mas não sai pelo túnel.
Pode ser um problema de rotas sobrepostas, por ex você tem um 10.x.x.x/16 na tabela de roteamento da filial, e está tentando sair pelo túnel openvpn para uma rede 10.y.y.y/16
Dê uma conferida se não existem redes sobrepostas, e também na configuração do openvpn
-
Não existe pelo menos olhei nas configurações e nada.
Cara testei aqui e só está com problema no IP específico que é o do AD, muito estranho.
-
@luick Hm, só no IP do AD?
Pingando da filial você consegue então pingar outros IPs da mesma rede do AD, mas não o AD? -
@mcury , consigo pinga para outros computadores.
-
@luick É, essa parece que será necessário fazer uma captura de pacotes lá no firewall da matriz.
Tem lá na GUI do pfsense, um menu chamado Diagnostics > Packet Capture
Clique lá, seleciona a interface onde o AD está, coloque o protocolo ICMP, e host o IP do computador da filial que está tentando pingar.
Confirme se há ECHO chegando da filial e REPLY do AD de volta para a filial. -
Fiz e não da nenhum resultado. Investigando mais na tabela de roteamento do PFSENSE Filial, está com o IP do AD e gateway apontando para o próprio PFSENSEFILIAL.
Uma obs eu não exclui as configurações do ipsec, só desabilitei. Teria algum problema neste sentido?
-
@luick Eu acho que não, desabilitar já seria o suficiente, mas eu não posso garantir sem margem de dúvida pois nunca tive um ipsec desabilitado e uma openvpn configurada para o mesma interface.
Mas levando em consideração que o ping vindo de computadores da filial, passando pela openvpn, e funcionando para outros hosts que não sejam o AD e que estão na mesma rede do AD, isso indica que o problema não é a openvpn.
Na tabela de roteamento do firewall da filial, não deveria constar a rede do AD?
Estranho você mencionar que só aparece o IP do AD e gateway apontando para o próprio IP da filial. -
No FW da Filial está um regra explicita IP do AD + Gateway do FW da Filial.
E em baixo está a REDE da Matriz + Gateway do Rede remota que conecta os dois FW.Está rota IP do AD + Gateway FW Filial deveria existir? Acho que é por causa desta rota que gera o conflito.
Lembrando que no DNS resolver da Filial estou especificando o host e domain do AD, apontando para o IP do AD.
-
@luick Desabilita essa regra do AD que tem o gateway, e tente novamente.
-
Na verdade passei a informação errada, em Diagnostics > Routes contem está info 'IP do AD Matriz + Gateway do FW da Filial', agora é possível excluir está rota de algum jeito?
-
@luick Essa rota é proveniente da regra de firewall que você criou com o gateway.
-
Já fiz a exclusão da regra é ainda consta lá.
-
@luick Se ela continua lá, provavelmente você deve ter configurado o firewall da filial para utilizar o dns do AD, certo?
-
Ja deletei todas as configurações vinculadas ao ip do AD no firewall da filial, e não saiu da tabela de rota. Complicado!
Acho que vou voltar para o IPSec que estava funcionando mesmo. O problema que eu identifiquei no IPSec é que fica caindo em tempos em tempos e não reconecta novamente.
Não sei se teria uma solução para está situação.
-
@luick Quais são os logs de quando o ipsec cai? Você ativou o dead peer detection?
Em relação ao openvpn, salve a configuração do firewall, edite o arquivo da configuração .xml, e procure pelo ip do AD, deve haver um registro lá.
Edit: Habilitar o keep alive nos 2 lados do túnel também costuma resolver o problema do ipsec.
-
please let clear all one by one . i really need to understand