Modem router para tunel ipsec



  • Buenas noches. Puede alguien recomendarme algun modem router para conectar a mi pfsense 2.0.1 y hacer tunel ipsec entre dos sedes. Ahora dispongo de unos amper de telefonica, y cuando quieren se hace el tunel, luego dejan de funcionar. Los reinicio y vuelven a funcionar. Slds.



  • ¿Tienes esos equipos en modo enrutador o en modo puente? Es decir, la WAN de pfSense está en rango privado o en rango público?



  • Hola bellera. Parece un problema de negociacion entre los dos firewalls de los sites pero debido a los modem routers en modo enrutamiento (la ip publica la recibe el modem router). Tengo un site con dos pfsense con carp y funcionan perfectos para salida a internet. Solo tengo una adsl para internet. El caso es que tengo definido un tunnel ipsec y conecta cuando quiere. A veces esta conectado por el pfsense master y al rato deja de funcionar, reinicio el pfsense master y al entrar el pfsense backup se vuelve a conectar el tunel. Luego cuando arranca el master, a veces se mantiene e tunel y otras no. Otras veces reinicio el modem router y se inicia bien el tunel. La verdad es que no se por donde puede venir el problema. Slds.



  • Hay enrutadores que gestionan automáticamente el paso de IPSEC pero hay otros en los que conviene hacer NAT. Ejemplo para un ComTrend de Telefónica/MoviStar:

    NAT -- Virtual Servers Setup
    
    Virtual Server allows you to direct incoming traffic from WAN side (identified by Protocol and External port) to the Internal server with private IP address on the LAN side. The Internal port is required only if the external port needs to be converted to a different port number used by the server on the LAN side. A maximum 32 entries can be configured.
    
    Server Name 	External Port Start 	External Port End 	Protocol 	Internal Port Start 	Internal Port End 	Server IP Address 	Remove
    IPsec 	500 	500 	TCP/UDP 	500 	500 	192.168.0.2 	
    IPsec 	4500 	4500 	TCP/UDP 	4500 	4500 	192.168.0.2
    

    siendo 192.168.0.2 la IP de la WAN de pfSense.

    Prueba haciendo esto en ambos enrutadores ADSL, a ver si mejora.



  • Hola Bellera. Ya lo he probado haciendo el nat en los dos sites, pero el tema funciona igual. Sin embargo, si conecto uno de los sites con otro totalmente diferente que tiene un modem router de fibra, todo funciona bien. Con lo cual, voy a probar del cambiar el modem router del site problemático y ya te digo. Slds.



  • Buenas tardes Bellera. He cambiado el modem router del site remoto por un tipico zyxel hw660  de telefonica. Lo he configurado en modo multipuesto (router) y conectado al firewall. Toda la conectividad del firewall incluso el carp funcionan bien. Sigo teniendo problemas con el tunel. Los he vuelto a recrear, y se conectan pero los fallos se suceden cuando reinicio alguna linea adsl. Incluso en ocasiones veo que el status del tunel en un lado esta conectado y en el otro lado (site) marca desconectado y logicamente no hay conectividad.
    Todos los modems router esta en modo multipuesto (router). Alguno de los mensajes que me da el firewall son como este

    racoon: INFO: delete phase 2 handler.

    Jan 3 13:50:29

    racoon: [vpn madrid-barcelona]: INFO: IPsec-SA request for <ip publica="" de="" site="" remoto="">queued due to no phase1 found.

    Jan 3 13:50:29

    racoon: [vpn madrid-barcelona]: INFO: initiate new phase 1 negotiation: 192.168.1.2[500]<=><ip publica="" de="" site="" remoto="">[500]

    Jan 3 13:50:29

    racoon: INFO: begin Aggressive mode.

    Jan 3 13:51:01

    racoon: [vpn madrid-barcelona]: [<ip publica="" de="" site="" remoto="">] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP <ip publica="" de="" site="" remoto="">[0]->192.168.1.2[0]

    Jan 3 13:51:01

    racoon: INFO: delete phase 2 handler.</ip></ip></ip></ip>



  • ¿Tienes algo puesto en Advanced Options - Automatically ping host de Phase 2?

    Conviene tener algo a ambos lados, aunque la IP no exista, para mantener vivo el túnel.

    Los enrutadores ADSL "residenciales" suelen cortar conexiones si no hay tráfico. Pingueando a algo al otro lado (aunque no exista) generarás tráfico continuado.

    Otro posible problema es que no tengas bien mapeado el NAT Outbound para IPsec.

    Si tu NAT Outbound siempre ha estado en automático, las reglas que tienes para IPsec son correctas. Sin embargo, si has jugado con tu NAT Outbound puedes haberlas perdido. Tendrías que tener algo como lo explicado en:

    http://forum.pfsense.org/index.php/topic,55822.msg298676.html#msg298676

    Antes de tocar nada puedes verificarlo yendo a Diagnostics - Comand Prompt - Execute command

    pfctl -s nat | grep isakmp

    obteniendo algo como:

    $ pfctl -s nat | grep isakmp
    nat on rl0 inet from 192.168.10.0/24 port = isakmp to any port = isakmp -> 192.168.0.2 port 500
    nat on rl0 inet from 127.0.0.0/8 port = isakmp to any port = isakmp -> 192.168.0.2 port 500
    

    donde 192.168.10.0/24 sería la subred LAN y 192.168.0.2 la interfase WAN.

    Quedaría una última causa que sería un problema con el MTU de las tarjetas de red. No es habitual pero… En Hardware tenemos un apartado en que se trata el tema, http://forum.pfsense.org/index.php/topic,23685.0.html

    Evidentemente todo esto suponiendo que los túneles están correctamente configurados y en las pestañas Firewall - Rules - IPsec se autorizó (el) tráfico entre ambos lados del túnel.

    Saludos,

    Josep Pujadas-Jubany



  • Hola de nuevo, y gracias por la pronta respuesta. A ver, he configurado el ping automático en los dos sites y parece que esto hace que el tunel siga funcionando cuanda se reinicia el modem router de unos de los sites (solo lo he probado con un site), antes se cortaba el tunel y no se volvia a conectar.
      En uno de los sites, como te he comentado tengo dos pfsense 2.0.1 configurados con CARP y funciona perfectamente, pero cuando reinicio el master, entra en marcha el backup (con todos las configuraciones replicadas del master), pero este no es capaz de conectar el tunnel, hasta que vuelvo a conectar el master, y entonces puedo ver en es status que se conecta el tunel, pero EN OCASIONES (ahora mismo ha tardado un poco pero despues hace bien el ping)  cuando haces un ping al site remoto desde un pc te da la respuesta

    Respuesta desde <ip lan="" del="" host="" master="">: Host de destino inaccesible.

    Es como si se hubiera perdido la routa al destino .

    En referencia al nat outbound ya he ejecutado el comando que me indicas y todo parece OK. Realmente no he tocado nada de nat outbound.

    Tambien, en el otro site tengo un solo pfsense con multiwan. He configurado el tunel IPSEC para que vaya por la wan de mayor prioridad.

    He visto que hay una actualizacion a pfsense 2.0.2. ¿Crees que seria interesante que la actualizara? . Saludos.</ip>



  • Google ipsec carp site:pfsense.org

    Dejar marcado Dead Peer Detection
    http://forum.pfsense.org/index.php/topic,29154.msg171425.html#msg171425

    Usar como identificador la dirección IP de CARP
    http://forum.pfsense.org/index.php/topic,40272.msg208725.html#msg208725

    He visto que hay una actualización a pfsense 2.0.2. ¿Crees que sería interesante que la actualizara?

    Siempre da pereza y miedo actualizar pero al final terminamos actualizando…

    ¡Suerte!



  • Muy buenas. Perdona el retraso pero estaba con otros temas. He tenido el tunel funcionando durante una semana. Ayer se quedaron sin luz en un site (el que tiene los dos pfsense con carp). Al volver la luz ya no se conecto el tunel.
        He hecho pruebas. Primero decirte que he actualizado los dos firewalls a la 2.0.2. En el sitio del carp he configurado el modem router para redirigir todo el trafico entrante (NAT) a la ip de WAN del firewall, es decir, paso un poco del carp porque quiero hacer las pruebas con un solo firewall. En este sitio en la definicion de tunnel ipsec utilizo WAN (ya no uso vip del carp). Como si fuera un firewall solo. El otro sitio lo dejo como estaba. Su modem router apunta a la ip WAN (aqui tengo balanceo de salida  pero uso WAN para el tunnel).
      Pues vale. El tunel se hace perfectamente, estupendo. Pero como estoy con las pruebas, hago lo siguiente:

    - Deshabilito ipsec de un sitio
                          - Logicamente se desconecta el tunnel
                          - Habilito de nuevo el Ipsec del sitio que acabo de deshabilitar
                          - Se conecta el tunnel perfectamente, en el status aparece en verde

    Pero entonces ya no puedo si quiera hacer un ping entre sites. Sabes a que puede ser debido?.
            Por otra parte veo que en los firewalls me pone varias entradas en SAD, es normal?. Gracias y Slds.



  • Tambien he notado que cuando deshabillito IPSec en uno de los sites, el site remoto sigue activo, es decir, es como si no se enterase que se ha "cortado" el tunel. Luego cuando vuelvo a habilitar ipsec, se vuelve a conectar el tunel, pero como te he dicho antes, no puedo hacer un ping de un sitio a otro.
      Para poder volver a tener el tunel en marcha a pleno rendimiento, tengo que deshabilitar en los dos sitios Ipsec, y volver a habilitarlos, de esta manera el tunel vuelve a funcionar perfectamente.



  • Hola. Vuelvo a añadir cosas. Finalmente he encontrado el problema a lo que estaba sucediendo.. El problema venia por un router modem de uno de los sitios (el que tenia carp). Lo habia configurado para redirigir todo el trafico hacia la ip wan de uno de los firewalls, pues no, he tenido que mapear en el NAT, el puerto 4500 y 500 hacia la ip del wan del router. Ahora funciona cuando reinicio el modem router y tambien si reinicio el Firewall.
        He querido ir mas alla y aplicarlo al Carp. He hecho NAT de los puertos 4500 y 500 al la ip virtual wan, y en el tunel ipsec he especificado que el interfaz sea la ip virtual wan. He reiniciado el master pero el backup no me ha continuado el router. Al volver el master a estar online el tunel se ha conectado de nuevo. Tengo el DPD configurado a 30 seg. Pasa una cosa curiosa, y es que el vip de la wan, en los dos firewalls sale como Master, es posible que el fallo venga por aquí?



  • Pasa una cosa curiosa, y es que el vip de la wan, en los dos firewalls sale como Master, ¿es posible que el fallo venga por aquí?

    Um… no tengo fresco esto ni un ipsec a mano para verlo...

    ¿Puedes postear imágenes sin datos sensibles? Para subirlas usa la herramienta de abajo, a la izquierda, en Additional Options…



  • Hola Bellera. Siento la espera pero estamos inmersos en otros proyectos y dedico el tiempo que puedo. Sigo teniendo los mismo problemas y he visto rapidamente por el foro que no soy el único. De momento tengo el tunel sin el carp y funciona bien. Cuando acabe este proyecto retomare el tema pero hasta la fecha nada. Gracias por la ayuda y ya nos volvemos a ver por el foro.


Locked