¿Me ayudais con la configuracion? (IPSEC site-to-site con varias redes privadas)
-
[System] [Advanced] [Firewall / NAT] [Disable Auto-added VPN rules]
Note: This disables automatically added rules for IPsec, PPTP.Si esta casilla está desmarcada se supone que no son necesarias las reglas que pones en las WAN para IPSEC. Pero, bueno, esto es sólo un detalle.
A parte de esto, si en las WANs tienes una primera regla que autoriza todo el resto (de reglas) no sirven de nada. Supongo que esto es porque pusiste una regla "no restrictiva" en primer lugar para hacer pruebas.
Tu túnel desde Edificio 2 termina en LAN de Edificio 1 por lo que pienso te falta autorización del tráfico de Edificio 2 en [Firewall] [Rules] [LAN] de Edificio 1.
Para hacer pruebas quita LAN net como origen, poniendo cualquier origen, en la regla que tienes para LAN. De esta forma no tendrás restricción alguna.
La ruta a 10.0.10.0/8 en Edificio 1 es innecesaria. Es más, según documentación de pfSense jamás deben ponerse rutas estáticas para subredes de pfSense.
Mapea la interfase WAN coorporativa como 10.0.10.x/8. Quiero decir que te asegures que tu máscara coincide con la de la red corporativa.
-
La ruta del 10.0.10.x/8, la habia puesto porque los equipos por ejemplo tienen ip 10.0.10.70, con mascara 255.255.255.192, (el router corporativo es 10.0.10.65/255.255.255.192) y los pc's por ejemplo acceden a un servidor dns en 10.80.1.100. Por eso habia puesto la ruta.
-
Entonces:
10.10.0.64/26 (10.10.0.64 - 10.10.0.127 con máscara 255.255.255.192) para tu WAN1.
10.0.0.0/8 (10.0.0.0 - 10.255.255.255 con máscara 255.0.0.0) para tu red corporativa.
por lo que, claro, estás obligado a indicar la ruta. Si funciona, bien.
No termino de entender los 8 bit de máscara porque entonces fíjate que el rango es todas las direcciones ip que empiecen por 10.
http://www.subnet-calculator.com/cidr.php
-
Lo de los 8 bits, lo ponia, para que todo lo que sea una peticion a 10.xxxx, lo enrute por la conexion corporativa.
-
Ya…
La reflexión es que 10.0.10.0/8 es lo mismo que 10.0.0.0/8
Si lo tienes claro, ningún problema...
-
Uno de los principales problemas que creo que tengo es que al no tener acceso al router cisco corporativo, no tengo puesto ninguna ruta, ni como puerta de enlace la ip del pfsense, y creo que por ahi puede venir algun problema, no?
-
Pero a tu router corporativo las peticiones le llegan siempre con la IP de la WAN1, que pertenece a su subred. O sea que no precisa ruta alguna.
Si la interfase de pfSense unida al enrutador está como una WAN (WAN1), las peticiones hacia la ruta corporativa están NATeadas y por eso se ven como si fueran de WAN1.
El hilo es de hace días, ¿dónde estás exactamente? Quiero decir si tienes algún punto no resuelto en estos momentos…
