Problema IPSEC x SRV AD



  • @luick Hm, só no IP do AD?
    Pingando da filial você consegue então pingar outros IPs da mesma rede do AD, mas não o AD?



  • @mcury , consigo pinga para outros computadores.



  • @luick É, essa parece que será necessário fazer uma captura de pacotes lá no firewall da matriz.
    Tem lá na GUI do pfsense, um menu chamado Diagnostics > Packet Capture
    Clique lá, seleciona a interface onde o AD está, coloque o protocolo ICMP, e host o IP do computador da filial que está tentando pingar.
    Confirme se há ECHO chegando da filial e REPLY do AD de volta para a filial.



  • Fiz e não da nenhum resultado. Investigando mais na tabela de roteamento do PFSENSE Filial, está com o IP do AD e gateway apontando para o próprio PFSENSEFILIAL.

    Uma obs eu não exclui as configurações do ipsec, só desabilitei. Teria algum problema neste sentido?



  • @luick Eu acho que não, desabilitar já seria o suficiente, mas eu não posso garantir sem margem de dúvida pois nunca tive um ipsec desabilitado e uma openvpn configurada para o mesma interface.

    Mas levando em consideração que o ping vindo de computadores da filial, passando pela openvpn, e funcionando para outros hosts que não sejam o AD e que estão na mesma rede do AD, isso indica que o problema não é a openvpn.

    Na tabela de roteamento do firewall da filial, não deveria constar a rede do AD?
    Estranho você mencionar que só aparece o IP do AD e gateway apontando para o próprio IP da filial.



  • No FW da Filial está um regra explicita IP do AD + Gateway do FW da Filial.
    E em baixo está a REDE da Matriz + Gateway do Rede remota que conecta os dois FW.

    Está rota IP do AD + Gateway FW Filial deveria existir? Acho que é por causa desta rota que gera o conflito.

    Lembrando que no DNS resolver da Filial estou especificando o host e domain do AD, apontando para o IP do AD.



  • @luick Desabilita essa regra do AD que tem o gateway, e tente novamente.



  • Na verdade passei a informação errada, em Diagnostics > Routes contem está info 'IP do AD Matriz + Gateway do FW da Filial', agora é possível excluir está rota de algum jeito?



  • @luick Essa rota é proveniente da regra de firewall que você criou com o gateway.



  • Já fiz a exclusão da regra é ainda consta lá.



  • @luick Se ela continua lá, provavelmente você deve ter configurado o firewall da filial para utilizar o dns do AD, certo?



  • Ja deletei todas as configurações vinculadas ao ip do AD no firewall da filial, e não saiu da tabela de rota. Complicado!

    Acho que vou voltar para o IPSec que estava funcionando mesmo. O problema que eu identifiquei no IPSec é que fica caindo em tempos em tempos e não reconecta novamente.

    Não sei se teria uma solução para está situação.



  • @luick Quais são os logs de quando o ipsec cai? Você ativou o dead peer detection?

    Em relação ao openvpn, salve a configuração do firewall, edite o arquivo da configuração .xml, e procure pelo ip do AD, deve haver um registro lá.

    Edit: Habilitar o keep alive nos 2 lados do túnel também costuma resolver o problema do ipsec.



  • please let clear all one by one . i really need to understand



  • @mcury , Aumentei os números de reconexão, até agora não caiu. Consigo colocar os computadores no domínio sendo que está tendo uma grande demora cerca de 25 a 40 minutos na hora que coloca as credencias nos computadores dos usuários.

    Na minha rede local não demora nem 1 minuto.

    Por conta desta demora não carrega gpo e nada. Como eu tenho openvpn client to site, não posso por esta lentidão quando coloco o computador no domínio, só estou com problema no IPSec.



  • @luick estranho, você consegue instalar o iperf3 em uma das máquinas e testar pelo outro lado do túnel?



  • Consegui baixar o iperf3 em um computador da filial, quais comandos posso utilizar nele?



  • @luick Precisa ter o iperf3 dos 2 lados do túnel.
    Um lado você já conseguiu, no computador da filial.

    Se conseguir instalar em um computador da matriz, seguem os comandos para um teste básico:

    Cliente: iperf3 -c ip_do_servidor -i 1
    Server: iperf3 -s

    Desta forma, você consegue ter uma ideia da banda que o IPsec está conseguindo, e também do openvpn, para fins de comparação.

    obs: use computadores atrás do túnel, evite usa o aplicativo iperf3 que tem no pfsense, pois essa não é a maneira recomendada.

    Também, durante o teste, recomendo verificar a utilização de CPU do pfsense, para confirmar se você não está com um processador fraco para a criptografia escolhida.

    Em relação a observação que fiz anteriormente, onde pedi para que você salvasse a configuração do pfsense e editasse com notepad ou editor de texto, é para confirmar o motivo daquela rota ainda estar lá.
    Existe um bug que só foi corrigido de fato na versão 2.5, na versão 2.4.5p1 ainda existe, e você pode estar passando por isso, vide bug: https://redmine.pfsense.org/issues/8922

    Edit: Esqueci de mencionar, para monitorar o cpu do pfsense, você pode conectar por SSH e digitar, top -aSH



  • Iperf3 funcionou perfeitamente, o trafego na rede fluiu.

    Por fim desabilitei o IPSEC e também o DNS resolver.
    Fiz a habilitação do DNS Forwarder, coloquei na lista dos SERVERS DNS Matriz e ativei o OPENVPN funcionou como uma luva sem travamento e demora na hora do User logar na estação de trabalho.

    Aquela rota desapareceu do nada da lista.

    Muito obrigado pela ajuda ai.



  • De nada luick, o importante é estar funcionando e te atendendo.


Log in to reply