Problema con IPSEC



  • Estoy con un problema bastante grave con IPSEC. Necesito levantar una VPN con un prooveedor externo a nuestra empresa. Estoy utilizando pfSense 2.01 y sin ningún problema. El único tema es que no puedo levantar la VPN. En el log lo único que sale medio coherente es: ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange. Los parámetros en ambos sitios (proveedor y yo todo igual) están bien.
    Si alguien me puede guiar un poco por donde encarar este tema le agradezco.
    Gracias.



  • Hola borleni, una pregunta, ¿tu proveedor tambien esta usando pfsense?.
    Algo muy importante, verifica que los algoritmos de encriptacion en la Phase1 y Phase2 de tu pfsense coincidan con los algoritmos que tu proveedor esta utilizando, tambien debe coincidir tu PFS Group con el de tu proveedor. Estas coincidencias son necesarias para que ambos equipos puedan intercambiar información y realizar una conexion correcta entre ambos.



  • Que tal Changel. Antes que nada quiero agradecerte tu ayuda.
    El proveedor utiliza un Cisco IOS
    Todos los parámetros están iguales en ambas fases.
    Te adjunto una captura de pantalla de las 2 fases.
    Muchas gracias.




  • De nada borleni, para eso estamos, para ayudarnos.

    Prueba con lo siguiente, en tu Fase 2 en Remote Network en Type escoge Network y coloca la red de tu proveedor. Te paso el siguiente enlace al manual para configurar la VPN entre pfsense y Cisco IOS, espero te ayude, tal vez ya lo hayas visto.

    http://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS

    Un favor, podrias poner aqui el log de Ipsec donde te arroja el error.

    Saludos.



  • Hola Changel, lo de la fase 2 con ese que cambio que me sugeriste ya lo había probado, también me leí la documentación que me adjuntaste :-(
    Pero bueno seguiré investigando, te adjunto el log cuando intento levantar la VPN.
    Muchas gracias y saludos.

    Sep 11 16:54:56 racoon: [MOVISTAR BILLING ]: [200.58.143.9] ERROR: error message: '4 Gu H P B B dG Gu `Gu '.
    Sep 11 16:54:56 racoon: [MOVISTAR BILLING ]: [200.58.143.9] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Sep 11 16:54:56 racoon: [MOVISTAR BILLING ]: INFO: initiate new phase 2 negotiation: 201.217.158.242[500]<=>200.58.143.9[500]
    Sep 11 16:54:55 racoon: [MOVISTAR BILLING ]: INFO: ISAKMP-SA established 201.217.158.242[500]-200.58.143.9[500] spi:3e60192ae9fa0624:7fc58a467f74ff6e
    Sep 11 16:54:55 racoon: INFO: NAT not detected
    Sep 11 16:54:55 racoon: INFO: NAT-D payload #1 verified
    Sep 11 16:54:55 racoon: [MOVISTAR BILLING ]: [200.58.143.9] INFO: Hashing 200.58.143.9[500] with algo #2
    Sep 11 16:54:55 racoon: INFO: NAT-D payload #0 verified
    Sep 11 16:54:55 racoon: [Self]: [201.217.158.242] INFO: Hashing 201.217.158.242[500] with algo #2
    Sep 11 16:54:55 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
    Sep 11 16:54:55 racoon: INFO: received Vendor ID: DPD
    Sep 11 16:54:55 racoon: INFO: received Vendor ID: CISCO-UNITY
    Sep 11 16:54:55 racoon: INFO: Adding remote and local NAT-D payloads.
    Sep 11 16:54:55 racoon: [Self]: [201.217.158.242] INFO: Hashing 201.217.158.242[500] with algo #2
    Sep 11 16:54:55 racoon: [MOVISTAR BILLING ]: [200.58.143.9] INFO: Hashing 200.58.143.9[500] with algo #2
    Sep 11 16:54:55 racoon: [MOVISTAR BILLING ]: [200.58.143.9] INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
    Sep 11 16:54:55 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
    Sep 11 16:54:55 racoon: INFO: begin Identity Protection mode.
    Sep 11 16:54:55 racoon: [MOVISTAR BILLING ]: INFO: initiate new phase 1 negotiation: 201.217.158.242[500]<=>200.58.143.9[500]
    Sep 11 16:54:55 racoon: [MOVISTAR BILLING ]: INFO: IPsec-SA request for 200.58.143.9 queued due to no phase1 found.
    Sep 11 16:54:43 racoon: INFO: unsupported PF_KEY message REGISTER
    Sep 11 16:54:42 racoon: INFO: unsupported PF_KEY message REGISTER



  • Hola borleni, hay manera de que puedas poner la configuracion de IPSEC que tienen en el Cisco?

    Por lo pronto, trata de reiniciar el servicio de ipsec en el cisco y luego en tu pfsense, y desactiva la opcion de NAT en tu Fase 1.

    Saludos.


Locked