Vlan e ipsec



  • Hola,
    Tengo que crear un túnel ipsec entre mi pfsense y un router cisco. el asunto es que tras el pfsense tengo 3 vlans 802.1q y el tunel debe armarse entre un equipo en una de las vlans y un equipo tras el cisco. adjunto esquema

    pc1–----------Interface:vlan700---------Pfsense---------INTERNET-----------CISCO---------pc2
    172.16.15.2      172.16.15.1        192.168.1.1-200.2.x.x.x.                            194.x.x.x          172.13.3.31

    El problema es que en la configuracion de la vpn si en local subnet del tunel ingreso la ip tras la vlan (172.16.15.2) la policy no hace match y el tunel no levanta, en modo agresivo levanta pero no logro pasar tráfico entre los equipos. Si en cambio si en la local subnet pongo la ip de la lan (192.168.1.1) del pfsense el tunel levanta pero como no pertenece al dominio de encriptacion, no hay trafico....
    Al parecer no se puede hacer un tunel ipsec en la subred de la vlan, solo funciona en la subred de la lan..
    ¿alguna sugerencia?
    gracias....



  • ¡Hola!

    No he montado ninguna VLAN, pero igual el problema es que tienes que poner reglas en la LAN que autorizen el tráfico para la VLAN que has definido en ella …

    Saludos,

    Josep Pujadas



  • Hola,
    cuando se crea la vlan se crea un interfaz virtual nueva (vlan2 en este caso), a la cual se le asigna ip y mantiene su direccion mac por separado. Como es una interfaz de red independiente aparece en el listado de interfaces y tambien posee sus propias reglas de firewall, entiendo que internamente el tráfico entrante y saliente es ruteado hasta esta "nueva interface",, lo curioso es que el tráfico ipsec no aparecere al hacer un tcpdump. En fín, cuando creo el túnel y asigno el dominio de encriptación en el lado local, al parecer sólo puedo ponerle la red/ip local  de la tarjeta lan, no la de vlan. Intenté permitiendo el tráfico a las ip's de origen y destino en la LAN que teóricamente es una interfaz distinta, pero igual mente no pasa nada.. al parecer al no ser una interface física el tráfico no es encriptado..
    bueno, gracias por tu respuesta y tu tiempo….
    Bona nit,



  • Finalmente funcionó con la release 1.2-BETA-1 , le dí permisos al origen - destino ….en la interface ipsec y anduvo bien...
    saludos


Log in to reply