Roteamento VPN Site-to-Site



  • Bom dia!

    Estou com um problema e gostaria de saber se alguem da uma luz.

    cenário:

    rede Rio: 192.168.0.0/24
    Rede SP: 10.0.0.0/24
    Rede MG: 172.16.0.0/24

    VPN S2S: Rio X SP
    VPN S2S: Rio X MG

    Preciso a partir da rede de SP acessar MG mas não tenho a capacidade de criar uma VPN S2S entre SP e MG por questões politicas

    Solução: Rotear meu acesso de SP para chegar à MG a partir da rede do Rio

    No FortGate isso funciona que é uma blz… mas no PFSense não... me parece que ele não é capaz de rotear pacotes vindo da interna (SP) para minha rede de MG passando pela VPN S2S.

    Alguém sabe como eu posso customizar as rotas no meu pfsense pela VPN Ipsec?

    Como esta no meu FG do Rio hj e funcionando o que eu quero replicar no pfsense:

    VPN S2S igualzinho no pfsense...
    Polices liberando o trafego pelo tunel
    Rota estatica criada falando que tudo que for de destino 172.16.0.0/24 vai passar pela VPN S2S: Rio X MG



  • tentou fazer via OpenVPN ?



  • @mantunespb:

    tentou fazer via OpenVPN ?

    obrigado pela ajuda, mas é IPSEC Site-to-Site e não cliente servidor. Até aonde eu sei open vpn é cliente servidor correto?





  • @mantunespb:

    Errado

    posso ter openvpn site to site..

    hmmm certo nao testei nao… somente ipsec pq a minha ponta B não suporte open VPN mas de todo modo é bom saber q da pra fazer s2s com open vpn, obrigado.

    agora voltando a minha questão... na ponta A eu tenho o PFSense e preciso nele direcionar o trafego para minha ponta B, tem que ser ipsec



  • outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

    Rede Rio: 192.168.0.0/24
    Rede SP: 192.168.1.0/24
    Rede MG: 192.168.0.0/24

    e depois dai partir para um roteamento..



  • Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)

    Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à matriz da LDC.
    Em todas as LDC temos pfSense 2.0.1 sendo que no meu escritório (ADMIN) estou com a versão 2.1. Adapte-as conforme suas necessidades.

    Apenas esclarecendo resumidamente o [b]motivo desses roteamentos:

    1- Garantir que, após a conexão VPN ser iniciada via WAN, os pacotes sejam direcionados sempre via LAN (túnel).
    2- Evitar que um outro Roteador sendo o Gateway (que não o pfSense) procure atravessar a VPN pela Internet, ao invés do túnel, causando perda de pacotes
    e/ou ficar completamente perdido e daí indisponível
    .
    3- Não sumarizar o CIDR, apesar das sub-redes do cliente serem adjacentes, apenas por questão de identificação. Faça isso quando solicitado pelo cliente ou conforme suas preferências.

    Acredito que seu principal problema resida no item 2 acima.

    Eu sempre quis publicar um tutorial com todas essas informações e mais um pouco além. Mas… perdi a vontade. Se alguém achar útil, talvez um dia, eu pegue o rascunho já existente com cópias de tela e publique o tutorial.




  • @mantunespb:

    outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

    Rede Rio: 192.168.0.0/24
    Rede SP: 192.168.1.0/24
    Rede MG: 192.168.0.0/24

    e depois dai partir para um roteamento..

    Opa, mantunespb!  ;D

    Duas sub-redes 192.168.0.0/24?  :o



  • @johnnybe:

    Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)
    [/quote]

    S2S - site to site ;)



  • @marcelloc:

    @johnnybe:

    Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)
    [/quote]

    S2S - site to site ;)

    Credo, Marcello! Juro que até esqueci do U2!  ;D
    Que vergonha, caro johnny!  :'(
    ;D



  • @mantunespb:

    outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

    Rede Rio: 192.168.0.0/24
    Rede SP: 192.168.1.0/24
    Rede MG: 192.168.0.0/24

    e depois dai partir para um roteamento..

    Cara vlw pelas dicas mas são irrelevantes para o problema já que de um jeito ou de outro são redes que não se comunicam sem um roteamento adequado. usei esses ips bem diferentes uns dos outros como exemplo só p facilitar o entendimento do cenário e estou respeitando a rfc1918. No meu cenário real os ips estão parecidos conforme sua sugestão ;-)
    De todo modo obrigadao



  • @johnnybe:

    @mantunespb:

    outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

    Rede Rio: 192.168.0.0/24
    Rede SP: 192.168.1.0/24
    Rede MG: 192.168.0.0/24

    e depois dai partir para um roteamento..

    Opa, mantunespb!  ;D

    Duas sub-redes 192.168.0.0/24?  :o

    Na verdade…

    rede Rio: 192.168.0.0/24
    Rede SP: 10.0.0.0/24
    Rede MG: 172.16.0.0/24



  • @johnnybe:

    Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)

    Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à matriz da LDC.
    Em todas as LDC temos pfSense 2.0.1 sendo que no meu escritório (ADMIN) estou com a versão 2.1. Adapte-as conforme suas necessidades.

    Apenas esclarecendo resumidamente o [b]motivo desses roteamentos:

    1- Garantir que, após a conexão VPN ser iniciada via WAN, os pacotes sejam direcionados sempre via LAN (túnel).
    2- Evitar que um outro Roteador sendo o Gateway (que não o pfSense) procure atravessar a VPN pela Internet, ao invés do túnel, causando perda de pacotes
    e/ou ficar completamente perdido e daí indisponível
    .
    3- Não sumarizar o CIDR, apesar das sub-redes do cliente serem adjacentes, apenas por questão de identificação. Faça isso quando solicitado pelo cliente ou conforme suas preferências.

    Acredito que seu principal problema resida no item 2 acima.

    Eu sempre quis publicar um tutorial com todas essas informações e mais um pouco além. Mas… perdi a vontade. Se alguém achar útil, talvez um dia, eu pegue o rascunho já existente com cópias de tela e publique o tutorial.

    Cara to no bus balanço p kctah mas acho que tu vai conseguir me ajudar
    Sim, existe um problema d rota mas e no pfs, vou dar uma lida com calma de casa pra extrair melhor as informações. Vlw pela forca.



  • @johnnybe:

    Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)

    Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à …
    [/quote]

    Detalhe…. 150 é tua lan adress (pfs)?
    Isso pra mim faz muito sentido,
    Quando eu traço rota p rede mg o pfs me joga p internet, por isso tenho certeza que é rota e nele, só não tinha pensado em dizer q o gtw e ele mesmo quando a rede destino for mg.. Será que não vai ficar em looping? vou testar :)



  • @Thiago:

    Detalhe…. 150 é tua lan adress?
    Isso pra mim faz muito sentido, vou testar

    O IP 192.168.1.150 é o (pfSense) Gateway da matriz, servindo a rede 192.168.1.0/24.
    A sub-rede do meu escritório está em 192.168.250.0/24.
    No resto, acho que está suficientemente claro quem é quem.  :)



  • @johnnybe:

    @Thiago:

    Detalhe…. 150 é tua lan adress?
    Isso pra mim faz muito sentido, vou testar

    O IP 192.168.1.150 é o (pfSense) Gateway da matriz, servindo a rede 192.168.1.0/24.
    A sub-rede do meu escritório está em 192.168.250.0/24.
    No resto, acho que está suficientemente claro quem é quem.  :)

    Esta sim, vou testar hj mesmo to levando fe que seja por ai



  • Dê um retorno (feedback).  ;)



  • @johnnybe:

    Dê um retorno (feedback).  ;)

    Com certeza Jhonybe, precisei virar o foco por conta de outras demandas mais importantes mas vou testar sim a solução que vc me passou e te dou um feedback  ;D



  • @johnnybe:

    Dê um retorno (feedback).  ;)

    Não funcionou.



  • Habilitou essa opção?:
    Static route filtering Bypass firewall rules for traffic on the same interface
    This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.



  • @johnnybe:

    Habilitou essa opção?:
    Static route filtering Bypass firewall rules for traffic on the same interface
    This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

    Nao habilitei, vou testar e lhe retorno. Obrigado



  • Bom dia Thiago L Oliveira.
    Pelo que entendi você precisa que a filial1 acesse a filial2 por meio do pfsense da matriz correto?
    Caso for isso a configuração que você devera fazer são rotas nas filiais1 e filial2.
    No meu caso e utilizo openvpn porem na matriz utilizo pfsense e nas filiais debian mas a ideia seria a mesma.
    Primeiro passo seria colocar o servidor openvpn do pfsense uma em cada porta.
    Em seguida criar aos gateways e rotas no próprio pfense em System em Routing. Crie os GW das filiais (IP dada a outra ponta) e em seguida na aba routing adicione a roda rede filial mais o gw da filial.
    Em seguida liberar a porta no rules firewall.
    Nas filiais você terá que criar 3 rotas.
    1 rota informando que para acessar a rede da matriz você terá que utilizar o gw do tunel openvpn da matriz. exemplo (10.1.1.1 interface openvpn matriz, 10.1.1.2 interface openvpn filial)
    2 rota informando que para acessar a rede da filial2 na filial1 você terá que utilizar o endereço do tunel vpn da filial2 com o gw da openvpn da filial 1 (no exemplo 10.1.1.1)
    3 rota informando que para acessar a lan da filial2 na filial1 você tera que utilizar o endereço da lan da filial2 com o gw da openvpn da filial1 (exemplo 10.1.1.1)

    A lógica para as rotas seria assim.
    Na filial1 só sabe chegar na filial2 por meio do GATEWAY do tunel openvpn ne este exemplo e o GW 10.1.1.1



  • @gilmarcabral:

    Bom dia Thiago L Oliveira.
    Pelo que entendi você precisa que a filial1 acesse a filial2 por meio do pfsense da matriz correto?
    Caso for isso a configuração que você devera fazer são rotas nas filiais1 e filial2.
    No meu caso e utilizo openvpn porem na matriz utilizo pfsense e nas filiais debian mas a ideia seria a mesma.
    Primeiro passo seria colocar o servidor openvpn do pfsense uma em cada porta.
    Em seguida criar aos gateways e rotas no próprio pfense em System em Routing. Crie os GW das filiais (IP dada a outra ponta) e em seguida na aba routing adicione a roda rede filial mais o gw da filial.
    Em seguida liberar a porta no rules firewall.
    Nas filiais você terá que criar 3 rotas.
    1 rota informando que para acessar a rede da matriz você terá que utilizar o gw do tunel openvpn da matriz. exemplo (10.1.1.1 interface openvpn matriz, 10.1.1.2 interface openvpn filial)
    2 rota informando que para acessar a rede da filial2 na filial1 você terá que utilizar o endereço do tunel vpn da filial2 com o gw da openvpn da filial 1 (no exemplo 10.1.1.1)
    3 rota informando que para acessar a lan da filial2 na filial1 você tera que utilizar o endereço da lan da filial2 com o gw da openvpn da filial1 (exemplo 10.1.1.1)

    A lógica para as rotas seria assim.
    Na filial1 só sabe chegar na filial2 por meio do GATEWAY do tunel openvpn ne este exemplo e o GW 10.1.1.1

    A idéia e essa sim mas uma das filiais não da suporte a openvpn, tem que ser ipsec. De todo modo o conceito não muda, vou aplicar aqui as rotas vlw



  • @johnnybe:

    Habilitou essa opção?:
    Static route filtering Bypass firewall rules for traffic on the same interface
    This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

    infelizmente nao funcionou, vou continuar testando aqui



  • @gilmarcabral:

    Bom dia Thiago L Oliveira.
    Pelo que entendi você precisa que a filial1 acesse a filial2 por meio do pfsense da matriz correto?
    Caso for isso a configuração que você devera fazer são rotas nas filiais1 e filial2.
    No meu caso e utilizo openvpn porem na matriz utilizo pfsense e nas filiais debian mas a ideia seria a mesma.
    Primeiro passo seria colocar o servidor openvpn do pfsense uma em cada porta.
    Em seguida criar aos gateways e rotas no próprio pfense em System em Routing. Crie os GW das filiais (IP dada a outra ponta) e em seguida na aba routing adicione a roda rede filial mais o gw da filial.
    Em seguida liberar a porta no rules firewall.
    Nas filiais você terá que criar 3 rotas.
    1 rota informando que para acessar a rede da matriz você terá que utilizar o gw do tunel openvpn da matriz. exemplo (10.1.1.1 interface openvpn matriz, 10.1.1.2 interface openvpn filial)
    2 rota informando que para acessar a rede da filial2 na filial1 você terá que utilizar o endereço do tunel vpn da filial2 com o gw da openvpn da filial 1 (no exemplo 10.1.1.1)
    3 rota informando que para acessar a lan da filial2 na filial1 você tera que utilizar o endereço da lan da filial2 com o gw da openvpn da filial1 (exemplo 10.1.1.1)

    A lógica para as rotas seria assim.
    Na filial1 só sabe chegar na filial2 por meio do GATEWAY do tunel openvpn ne este exemplo e o GW 10.1.1.1

    eu nao consigo criar gtw de outra rede. "The gateway address 192.0.0.3 does not lie within the chosen interface's subnet.", aonde 192.0.0.3 é o gtw da minha rede remota



  • @Thiago:

    @gilmarcabral:

    Bom dia Thiago L Oliveira.
    Pelo que entendi você precisa que a filial1 acesse a filial2 por meio do pfsense da matriz correto?
    Caso for isso a configuração que você devera fazer são rotas nas filiais1 e filial2.
    No meu caso e utilizo openvpn porem na matriz utilizo pfsense e nas filiais debian mas a ideia seria a mesma.
    Primeiro passo seria colocar o servidor openvpn do pfsense uma em cada porta.
    Em seguida criar aos gateways e rotas no próprio pfense em System em Routing. Crie os GW das filiais (IP dada a outra ponta) e em seguida na aba routing adicione a roda rede filial mais o gw da filial.
    Em seguida liberar a porta no rules firewall.
    Nas filiais você terá que criar 3 rotas.
    1 rota informando que para acessar a rede da matriz você terá que utilizar o gw do tunel openvpn da matriz. exemplo (10.1.1.1 interface openvpn matriz, 10.1.1.2 interface openvpn filial)
    2 rota informando que para acessar a rede da filial2 na filial1 você terá que utilizar o endereço do tunel vpn da filial2 com o gw da openvpn da filial 1 (no exemplo 10.1.1.1)
    3 rota informando que para acessar a lan da filial2 na filial1 você tera que utilizar o endereço da lan da filial2 com o gw da openvpn da filial1 (exemplo 10.1.1.1)

    A lógica para as rotas seria assim.
    Na filial1 só sabe chegar na filial2 por meio do GATEWAY do tunel openvpn ne este exemplo e o GW 10.1.1.1

    eu nao consigo criar gtw de outra rede. "The gateway address 192.0.0.3 does not lie within the chosen interface's subnet.", aonde 192.0.0.3 é o gtw da minha rede remota

    Boa tarde Thiago

    Realmente você não consegue criar o GW da rede remota para que o PFSense faça o roteamento. Eu apanhei bastante para fazer meu roteamento funcionar e o problema nem estava em rotas mais sim nas regras do meu firewall que estava usando as regras de LB+ FO.

    Antes de mais nada o PFSense tem que estar conversando com os gw das outras filiais. Faça um teste de ping ou traceroute no próprio PFSense para verificar se realmente está conversando. Se essa resposta for positiva então seu problema não é rota pois o PFSense conhece as rotas. O problema está em suas regras de firewall. Verifique se não tem nenhuma regra que esteja direcionando o trafego da sua lan remota para internet. Force na regras de firewall a rede remota utilizar a interface default (*) no seu PFSense e que a mesma esteja posicionada antes da sua regra default.


Log in to reply