¿Me ayudais con la configuracion? (IPSEC site-to-site con varias redes privadas)



  • Hola gente. Os explico una configuracion que tengo que montar a ver que opciones se os ocurren.

    Edificio 1                                                                      Edificio 2
              router adsl (192.168.1.0/24)                                              Router adsl (192.168.10.9/24)
              router corporativo (172.16.10.0/24)

    El tema es el siguiente. El edificio 1 es el principal, y estaria unido al edificio 2, mediante vpn ipcsec.
    Actualmente en el edificio 1, tenemos en los equipos doble ip, pero es un jaleo para gestionarlo.
    Necesitaria que me asesoraseis para poner en el edificio 1 los dos routers, y poder poner una "ruta estatica" (creo que es), para que lo sea de llamada a la 172.16… salga por la conexion corporativa.

    Al mismo tiempo, necesito que desde el edificio 2, se pueda salir por los dos rangos del edificio 1, ya que en la adsl del 1, tambien hay una vpn, con una aplicacion. Me explico, en el edificio 2 necesito que lo que sea 172.10, salga por la conexion del 1, de ese rango, y que tambien pueda salir por el 192.168.1.... Sobre esta ultima opcion no hay mucho problema, porque mas o menos ya lo tengo resuelto, tengo la vpn echa, y el equipo del edificio 2, va correcto por la adsl de la 1, pero sobre la conexion corporativa, no acabo de aclararme de como montarla...

    Me podriais echar una mano? Si hacen falta mas datos, decirme, porque a veces cuesta describir las conexiones...

    Gracias...



  • En Edificio 1 tienes que añadir la conexión corporativa a [System] [Routing] [Gateway].

    Después, en [Firewall] [LAN] [Rules] tendrás que poner esta puerta a la reglas que desees.

    Entiendo que en Edificio 1 tienes un pfSense con LAN y dos WAN (router adsl y router corporativo).

    En Edificio 2 tendrás que poner una ruta en [System] [Routing] [Routes] para que el tráfico de tu red corporativa vaya por la VPN. Esta es la parte que tampoco te puedo clarificar del todo porque actualmente no tengo nada con IPSEC. Empleo OpenVPN y el tratamiento es diferente, pues en OpenVPN puedes indicar las rutas como una opción más.



  • Entiendo lo de las dos gateways, pero como indico el rango para decir, lo que sea llamada a xxx.xxx.xxx.xxx, lo encaminas por esta gateway, y el resto por la otra?



  • Una regla en LAN que indique como destino el rango de IPs y puerta la que tu quieras.
    Y después otra regla en LAN con destino cualquiera y puerta por defecto.



  • Y como y donde indico eso?
    En msdos, a veces he hecho algo parecido con las rutas, pero en el pfsense, no acabo de ver como es



  • [Firewall] [LAN] [Rules]



  • Seguro que es asi? porque en las reglas del cortafuegos, yo entendia, que era para reglas de permisos de acceso y de salida, pero no reglas para encaminar…
    He mirado y no ve o como indicar en esa zona, porque gateway quieres que salga la informacion.



  • Edificio 1. Las reglas sirven para autorizar tráfico e indicar puerta de salida, caso de haber más de una.

    La puerta de salida se indica en [Advanced features] [Gateway]

    Si el destino forma parte de una subred de pfSense no es necesario indicar puerta, pues entre subredes de pfSense el enrutado está definido "por defecto". Y no deben ponerse rutas entre subredes de pfSense.

    Dices tener un enrutador corporativo pero no sabemos el rango de IPs de destino. Por lo que planteabas parece una subred al margen de las de pfSense. Es por esto que te indiqué la solución como si se trate de una segunda WAN y reglas en LAN para ir por esa segunda WAN.

    Caso de necesitar más aclaraciones deberías postearnos un esquema más detallado, enmascarando los datos que puedan ser confidenciales.



  • 
    Mas o menos el esquema que habia pensado montar es asi.
    
                       |                        |                                    
             ----------------------      -------------------------------------          --------------------
             | Router corporativo |      | Router adsl                       |          | pfsense con ipsec|
             |    (10.0.10.1)     |      |  (192.168.2.1)                    |      ----|  VPN             |
             |                    |      |   con dmz, apuntado a 192.168.2.2 |          |    192.168.10.1  |
             ----------------------      -------------------------------------          --------------------
                       |                        | 
                       |                        |
                       |                        |
               ----------------------------------------------------------------                 
               | wan1  (10.0.10.2)	|	wan2   (192.168.2.2)              |
               ----------------------------------------------------------------                 
               |                Maquina pfsense                               | 
               |                Lan (192.168.1.1)                             | 
               ----------------------------------------------------------------                 
    				|
    				|
    				red (192.168.1.x)
    
    

    Entonces si desde una ip del rango 192.168.1.x, se pide algo de la 10.0.10.x, tendria que encaminarlo por la wan1, sino, por la 2, y si desde la vpn (192.168.10.x), se pide algo de la 10.0.10.x que lo cogiese tambien a traves de la wan1, y pasase por la vpn.



  • Lo que te dije:

    • Para que un equipo de LAN vaya por 10.0.10.1 cuando tenga una petición a 10.0.10.0/24 bastará con que en [Firewall] [Rules] [LAN] pongas:
    > * 	LAN net 	* 	WAN1 net 	* 	WAN1 	none
    > * 	LAN net 	* 	* 	        * 	* 	none
    
    • Además tendrás que desactivar en [Interfaces] [WAN1] la casilla [Block Private Networks] ya que más allá de tu WAN1 està tu red corporativa (privada). Esto hará que en [Firewall] [Rules] [WAN1] te desaparezca la primera de estas dos reglas:
    
    x * 	RFC 1918 networks 	        * 	* 	* 	* 	* 	        Block private networks 	
    x * 	Reserved/not assigned by IANA 	* 	* 	* 	* 	* 	* 	Block bogon networks
    

    Le dí al botón antes de terminar. Te respondo la segunda parte… en un nuevo post...



  • Entiendo que en Edificio 2:

    internet WAN - Enrutador ADSL - LAN 192.168.10.1/24 <–--> 192.168.10.2/24 WAN - pfSense - LAN 192.168.20.1/24 <----> Equipos 192.168.20.0/24

    Propones IPSEC con Edificio 1.

    En Edificio 1 tendrás que definir ruta estática (creo que IPSEC no lo hace por defecto): Interface LAN - Destination network 192.168.20.0/24 - Gateway 192.168.1.1

    En Edificio 2 tendrás que definir rutas estáticas:

    Interface LAN - Destination network 192.168.1.0/24 - Gateway 192.168.20.1
    Interface LAN - Destination network 10.0.10.0/24 - Gateway 192.168.20.1

    Como entonces tendrás tráfico en LAN de Edificio 1 que llega de 192.168.20.0/24 tendrás que dar permisos:

    > * 	LAN net 	        * 	WAN1 net 	* 	WAN1 	none
    > * 	192.168.20.0/24 	* 	WAN1 net 	* 	WAN1 	none
    > * 	LAN net              	* 	* 	        * 	* 	none
    

    Espero funcione, pues hace tiempo que no hago cosas con IPSEC. OpenVPN es más evolucionado y mi VPN favorita…

    Uf, me había basado en el libro de pfSense para las rutas estáticas y veo que con la 2.x funcionan diferente.

    Igual se puede añadir la propia LAN como puerta y después la ruta estática usando esta puerta. A probar… Pues las rutas estáticas no piden ahora la interfase, sólo red de destino y puerta. Adjunto imágenes...






  • Olvidé decirte que en [Firewall] [Rules] [IPsec] también tendrás que poner reglas, a ambos lados.



  • Una respuesta muy completa…

    Gracias por tu ayuda, sin una mano, a veces te encuentras como perdido...

    Mañana me pondre con las pruebas, que tengo que probarlo con varios pfsense en vmware, para no parar a la empresa, y ver que tal va la implementación de todo...
    A ver si consigo que funcione, y al final intentaré hacer unas capturas para que queden por aqui... por si lo mismo, luego le sirve a alguien.

    Gracias por todo... y voy comentando...



  • Una preguntilla mas… Ya lo tengo medio funcionando... ahora viene lo fuerte... en el edificio1, ya tengo el enrutamiento, con las dos wan... Como se os ocurre que pueda hacer que desde el edificio2 pueda acceder a los dos rangos de ips?



  • Ya te contesté, ¿no?

    Usar LAN como puerta y en [System] [Gateway] [Routes]

    Destination network 192.168.1.0/24 - Gateway 192.168.20.1
    Destination network 10.0.10.0/24 - Gateway 192.168.20.1

    pues los equipos tiene siempre a LAN como puerta… También te dije que "a probar" porque no tengo un montaje así con IPSEC y no sé si la primera ruta ya la gestiona directamente IPSEC. En la 1.x no lo hacía, según el libro de pfSense.



  • El problema es que en el edificio 2, cuando voy a las rutas estaticas, no me deja seleccionar la lan, solamente me deja seleccionar como gateways, las gateways que hay definidas, y solamente esta la de la wan, entonces la ruta estatica, no la aplica para la vpn…

    He encontrado una manera, en el ipsec, he definido dos phases 2, con diferentes rangos, y llego a hacer ping del rango 10 al edificio 1, desde el 2, pero no llega a enrutarme la salida por la conexion corporativa... me explico:

    en el equipo del edificio 2, (192.168.10.2), hago un ping a 10.0.10.100, que es un equipo que esta en el edificio 1, pero con doble ip, y puerta de enlace, 192.168.1.1, y este ping me responde.
    En cambio, tengo la ip, 10.100.1.100, que esta detras de la conexion corporativa, ( y haciendo ping desde la 10.0.10.100, responde), y si le hago ping desde el edificio 2, no llego a verla... como si no me terminase de enrutar a traves del pfsense de edificio 1, para la vpn en concreto.

    No se si me explico con claridad...



  • Igual se puede añadir la propia LAN como puerta

    Ver las imágenes que te pasé. Se puede añadir la propia LAN como puerta:

    http://forum.pfsense.org/index.php/topic,54911.msg293759.html#msg293759

    un equipo que esta en el edificio 1, pero con doble ip

    A saber si vuelve por una u otra. Ojo con estas cosas porque se entra fácilmente en enrutados erróneos. A ser evitable, una tarjeta y una IP por equipo. Y cableado o VLANs que separen el nivel físico.

    Lo primero es llegar a WAN1 desde un equipo en la LAN de Edificio 2. Si llegas a WAN1 desde Edificio 2, llegarás al resto.

    He encontrado una manera, en el ipsec, he definido dos phases 2, con diferentes rangos

    Si se puede hacer, es un buena solución.

    Recuerda tener reglas que autoricen el paso. Inicialmente no hagas restricciones, para poder hacer las pruebas.



  • Te muestro un esquema un poco mejor de como estoy montandolo y lo explico.

    Como ves el edificio 1, es un caos… Me explico. La wan1 (10.0.10.65) es un router cisco corporativo, al  cual no se tiene acceso, este se trabaja con el rango 10.0.10.65/8 por imposicion corporativa.
    Luego tenemos una wan2, que es el router adsl, de telefonica, que si que podemos gestionar, y que tengo redireccionado al pfsense, mediante el dmz.

    La wan1, y la wan2, no van directos a las tarjetas, del pfsense, porque los equipos tienen doble ip, una del rango 10.0.10.x, y otra del rango 192.168.1.x
    con la puerta de enlace por defecto 192.168.1.1, para que todo salga por la adsl de telefonica, salvo lo que se enruta por la 10.0.10.65, que es la conexion corporativa.
    El tema de la doble ip, no me gusta nada, pero me veo obligado a dejarlo, porque hay servidores que tienen este rango y puerta de enlace, (10), y no puedo cambiarlos por imposicion.
    En el tema de la 192, es algo mas flexible.

    Actualmente tengo el pfsense1 que me hace ping, desde la lan a 10.x.x.x, saliendo por la 10.0.10.65

    En el edificio 2, tengo un pfsense que monte con una placa alix, detras de un router de telefonica de fibra. Con el dmz del router apuntando a la tarjeta wan del pfsense.
    En el edificio 2, hay de momento un par de equipos, que como puerta de enlace tienen al pfsense (192.168.10.1)
    El pfsense 1 esta unido al pfsense 2, mediante vpn por ipsec. De momento, desde el pfsense2 puedo hacer ping por su lan, a 10.0.10.66. Pero no llego a poder hacer un ping a algun servidor que cuelgue en la red corporativa (p. ej. 10.100.20.100).
    La intencion, es que este equipo pueda acceder al rango del 10.x.x.x, mediante el router corporativo del edificio 1 (pasando por la vpn). He conseguido que llegue a salir por la 192.x.x.x del edificio 1, ya que hay una aplicacion que mediante esa adsl, se conecta a unos servidores en inglaterra. El tema es que necesito que pueda salir por las dos.

    Intentare hacer captura de configuración actual, para mostrarla, a ver que se os ocurre.




  • Algunas capturas del edificio 1










  • Y algo mas del edificio 1








  • [System] [Advanced] [Firewall / NAT] [Disable Auto-added VPN rules]
    Note: This disables automatically added rules for IPsec, PPTP.

    Si esta casilla está desmarcada se supone que no son necesarias las reglas que pones en las WAN para IPSEC. Pero, bueno, esto es sólo un detalle.

    A parte de esto, si en las WANs tienes una primera regla que autoriza todo el resto (de reglas) no sirven de nada. Supongo que esto es porque pusiste una regla "no restrictiva" en primer lugar para hacer pruebas.

    Tu túnel desde Edificio 2 termina en LAN de Edificio 1 por lo que pienso te falta autorización del tráfico de Edificio 2 en [Firewall] [Rules] [LAN] de Edificio 1.

    Para hacer pruebas quita LAN net como origen, poniendo cualquier origen, en la regla que tienes para LAN. De esta forma no tendrás restricción alguna.

    La ruta a 10.0.10.0/8 en Edificio 1 es innecesaria. Es más, según documentación de pfSense jamás deben ponerse rutas estáticas para subredes de pfSense.

    Mapea la interfase WAN coorporativa como 10.0.10.x/8. Quiero decir que te asegures que tu máscara coincide con la de la red corporativa.



  • La ruta del 10.0.10.x/8, la habia puesto porque los equipos por ejemplo tienen ip 10.0.10.70, con mascara 255.255.255.192, (el router corporativo es 10.0.10.65/255.255.255.192) y los pc's por ejemplo acceden a un servidor dns en 10.80.1.100. Por eso habia puesto la ruta.



  • Entonces:

    10.10.0.64/26 (10.10.0.64 - 10.10.0.127 con máscara 255.255.255.192) para tu WAN1.

    10.0.0.0/8 (10.0.0.0 - 10.255.255.255 con máscara 255.0.0.0) para tu red corporativa.

    por lo que, claro, estás obligado a indicar la ruta. Si funciona, bien.

    No termino de entender los 8 bit de máscara porque entonces fíjate que el rango es todas las direcciones ip que empiecen por 10.

    http://www.subnet-calculator.com/cidr.php



  • Lo de los 8 bits, lo ponia, para que todo lo que sea una peticion a 10.xxxx, lo enrute por la conexion corporativa.



  • Ya…

    La reflexión es que 10.0.10.0/8 es lo mismo que 10.0.0.0/8

    Si lo tienes claro, ningún problema...



  • Uno de los principales problemas que creo que tengo es que al no tener acceso al router cisco corporativo, no tengo puesto ninguna ruta, ni como puerta de enlace la ip del pfsense, y creo que por ahi puede venir algun problema, no?



  • Pero a tu router corporativo las peticiones le llegan siempre con la IP de la WAN1, que pertenece a su subred. O sea que no precisa ruta alguna.

    Si la interfase de pfSense unida al enrutador está como una WAN (WAN1), las peticiones hacia la ruta corporativa están NATeadas y por eso se ven como si fueran de WAN1.

    El hilo es de hace días, ¿dónde estás exactamente? Quiero decir si tienes algún punto no resuelto en estos momentos…


Log in to reply