Internet over IPsec



  • Buenas..
    Tengo el sigte escenario..

    Casa Central
    PFSense 2.0.1 Release
    WAN -> salida a Internet  (IP Publica Estatica)
    LAN -> 192.168.0.0/24
    OPT1 -> VPN 10.0.0.4/30 (x ISP)

    Suc 1
    Router IPSec
    WAN -> 10.0.0.8/30 (VPN x ISP a Casa Central)
    LAN -> 192.168.1.0/24
    Tunel IPSEC entre las redes 192.168.0.0/24 y 192.168.1.0/24

    Ya tengo acceso a la LAN de Casa Central, todo funciona bien, pero no tengo salida a internet..

    Ya configure el NAT manual para las redes de la suc, pero todavia no consigo salir..

    Consulta:

    COmo puedo hacer para salir a internet de Casa Central utilizando el tunel IPSec??
    Cual seria otra alternativa para pasar internet a mi sucursal??

    Desde ya, muchas gracias por los aportes..



  • ¿ Puedes poner imágenes de cómo tienes los NAT Outbound ?

    No termino de entender qué quieres decir con configurar los NAT. En principio, en automático debería ir todo.

    Y si la surcursal tiene salida física a internet también debería salir. El túnel no tiene nada que ver, a menos que por razones de seguridad desees obligar a la sucursal a navegar por la conexión a internet de la central.

    Saludos,

    Josep Pujadas-Jubany



  • Gracias Sr. Josep por la pronta respuesta.

    En la Sucursal no tengo salida a internet solo una VPN fisica hasta Casa Central, por eso y por seguridad necesito pasar internet a travez del IPSec.
    o en su defecto generar rutas por defecto (sin levantar IPSec sobre mi VPN), para poder encausar todo el trafico hacia casa central.

    INTERNET  10.0.107.64/30 * * * * * NO
    INTERNET  192.168.2.0/24 * * * * * NO

    Internet = es mi tarjeta WAN en casa central (mediante VLAN)
    El mismo ISP me provee la VPN fisica (otra VLAN) hasta la sucursal (por interface OPT1)



  • Con OpenVPN esto es simplemente un parámetro.

    Con IPSEC creo que no se puede hacer automáticamente.

    Prueba en un equipo cliente de la sucursal a ponerle como puerta de enlace la IP de la LAN de la central.

    Y en la LAN de la central pon una regla en LAN rules que permita que el tráfico de dicha IP salga (a internet).

    Si esto funciona, entonces en el DHCP del pfSense de la sucursal tendrás que indicar que la puerta sea la IP de la LAN de la central. De esa forma, todos los equipos de la sucursal tendrán dicha puerta.

    A su vez, en la central tendrás que aplicar la regla de LAN rules para toda la subred de la sucursal.

    Insisto en que igual no funciona el tema, pues son dos subredes distintas y, además, la LAN tiene que "rebotar" el tráfico procedente la VPN.

    Ya dirás si "el invento" funciona.

    Saludos,

    Josep Pujadas-Jubany



  • Si sólo es navegación otra solución sería imponer un proxy en la central para la sucursal…



  • gracias….

    probare ambas "recetas" y luego comento..

    Saludos...



  • estimado Bellera..

    queria comentarte que solamente pude hacer funcionar poniendo el proxy en mis navegadores y otros servicios, el cual funciona perfecto..

    Ahora estoy con otro dilema ya que el MS Outlook ni el Zimbra Desktop me funciona..pero eso es otro cuento..

    Gracias por tu asistencia nuevamente..

    Saludos..



  • Tendrás que dar más permisos. Tienes puertos inaccesibles (supongo que a través de la VPN):

    http://wiki.zimbra.com/wiki/Firewall_Configuration



  • lo raro es que mi mailserver lo tengo en una DMZ (OPT2), y desde la red VPN (OPT1), tengo una regla con full acceso desde VPN a DMZ..
    Por lo que voy a seguir investigando…hacientro un tracert o ping, se resuelve sin dramas, pero no me deja abrir ningun puerto del servicio de mail.

    gracias por la sugerencia...



  • Seguramente tengas que indicar una ruta estática en tus servidores para la subred que tienes al otro lado. De lo contrario las peticiones llegan, pero la vuelta es por su puerta de enlace por defecto.



  • Estimado Bellera, efectivamente

    agregue una ruta estatica indicando las subredes y todo funciona de maravillas..

    gracias por la ayuda..

    por mi parte doy por cerrado este hilo…

    saludos..


Log in to reply