Problema IPSEC x SRV AD

luick

@mcury , consigo pinga para outros computadores.

mcury

@luick É, essa parece que será necessário fazer uma captura de pacotes lá no firewall da matriz.
Tem lá na GUI do pfsense, um menu chamado Diagnostics > Packet Capture
Clique lá, seleciona a interface onde o AD está, coloque o protocolo ICMP, e host o IP do computador da filial que está tentando pingar.
Confirme se há ECHO chegando da filial e REPLY do AD de volta para a filial.

luick

Fiz e não da nenhum resultado. Investigando mais na tabela de roteamento do PFSENSE Filial, está com o IP do AD e gateway apontando para o próprio PFSENSEFILIAL.

Uma obs eu não exclui as configurações do ipsec, só desabilitei. Teria algum problema neste sentido?

mcury

@luick Eu acho que não, desabilitar já seria o suficiente, mas eu não posso garantir sem margem de dúvida pois nunca tive um ipsec desabilitado e uma openvpn configurada para o mesma interface.

Mas levando em consideração que o ping vindo de computadores da filial, passando pela openvpn, e funcionando para outros hosts que não sejam o AD e que estão na mesma rede do AD, isso indica que o problema não é a openvpn.

Na tabela de roteamento do firewall da filial, não deveria constar a rede do AD?
Estranho você mencionar que só aparece o IP do AD e gateway apontando para o próprio IP da filial.

luick

No FW da Filial está um regra explicita IP do AD + Gateway do FW da Filial.
E em baixo está a REDE da Matriz + Gateway do Rede remota que conecta os dois FW.

Está rota IP do AD + Gateway FW Filial deveria existir? Acho que é por causa desta rota que gera o conflito.

Lembrando que no DNS resolver da Filial estou especificando o host e domain do AD, apontando para o IP do AD.

mcury

@luick Desabilita essa regra do AD que tem o gateway, e tente novamente.

luick

Na verdade passei a informação errada, em Diagnostics > Routes contem está info 'IP do AD Matriz + Gateway do FW da Filial', agora é possível excluir está rota de algum jeito?

mcury

@luick Essa rota é proveniente da regra de firewall que você criou com o gateway.

luick

Já fiz a exclusão da regra é ainda consta lá.

mcury

@luick Se ela continua lá, provavelmente você deve ter configurado o firewall da filial para utilizar o dns do AD, certo?

luick

Ja deletei todas as configurações vinculadas ao ip do AD no firewall da filial, e não saiu da tabela de rota. Complicado!

Acho que vou voltar para o IPSec que estava funcionando mesmo. O problema que eu identifiquei no IPSec é que fica caindo em tempos em tempos e não reconecta novamente.

Não sei se teria uma solução para está situação.

mcury

@luick Quais são os logs de quando o ipsec cai? Você ativou o dead peer detection?

Em relação ao openvpn, salve a configuração do firewall, edite o arquivo da configuração .xml, e procure pelo ip do AD, deve haver um registro lá.

Edit: Habilitar o keep alive nos 2 lados do túnel também costuma resolver o problema do ipsec.

dreamtuhin3

please let clear all one by one . i really need to understand

luick

@mcury , Aumentei os números de reconexão, até agora não caiu. Consigo colocar os computadores no domínio sendo que está tendo uma grande demora cerca de 25 a 40 minutos na hora que coloca as credencias nos computadores dos usuários.

Na minha rede local não demora nem 1 minuto.

Por conta desta demora não carrega gpo e nada. Como eu tenho openvpn client to site, não posso por esta lentidão quando coloco o computador no domínio, só estou com problema no IPSec.

mcury

@luick estranho, você consegue instalar o iperf3 em uma das máquinas e testar pelo outro lado do túnel?

luick

Consegui baixar o iperf3 em um computador da filial, quais comandos posso utilizar nele?

mcury

@luick Precisa ter o iperf3 dos 2 lados do túnel.
Um lado você já conseguiu, no computador da filial.

Se conseguir instalar em um computador da matriz, seguem os comandos para um teste básico:

Cliente: iperf3 -c ip_do_servidor -i 1
Server: iperf3 -s

Desta forma, você consegue ter uma ideia da banda que o IPsec está conseguindo, e também do openvpn, para fins de comparação.

obs: use computadores atrás do túnel, evite usa o aplicativo iperf3 que tem no pfsense, pois essa não é a maneira recomendada.

Também, durante o teste, recomendo verificar a utilização de CPU do pfsense, para confirmar se você não está com um processador fraco para a criptografia escolhida.

Em relação a observação que fiz anteriormente, onde pedi para que você salvasse a configuração do pfsense e editasse com notepad ou editor de texto, é para confirmar o motivo daquela rota ainda estar lá.
Existe um bug que só foi corrigido de fato na versão 2.5, na versão 2.4.5p1 ainda existe, e você pode estar passando por isso, vide bug: https://redmine.pfsense.org/issues/8922

Edit: Esqueci de mencionar, para monitorar o cpu do pfsense, você pode conectar por SSH e digitar, top -aSH

luick

Iperf3 funcionou perfeitamente, o trafego na rede fluiu.

Por fim desabilitei o IPSEC e também o DNS resolver.
Fiz a habilitação do DNS Forwarder, coloquei na lista dos SERVERS DNS Matriz e ativei o OPENVPN funcionou como uma luva sem travamento e demora na hora do User logar na estação de trabalho.

Aquela rota desapareceu do nada da lista.

Muito obrigado pela ajuda ai.

mcury

De nada luick, o importante é estar funcionando e te atendendo.

abirahemmed

I am going to read this. I will be sure to return. thanks for sharing. and also This article gives the light in which we can observe the reality. this is very good and gives detailed information. Thanks for this good article ... Total Market Enquiry