Roteamento VPN Site-to-Site
-
Bom dia!
Estou com um problema e gostaria de saber se alguem da uma luz.
cenário:
rede Rio: 192.168.0.0/24
Rede SP: 10.0.0.0/24
Rede MG: 172.16.0.0/24VPN S2S: Rio X SP
VPN S2S: Rio X MGPreciso a partir da rede de SP acessar MG mas não tenho a capacidade de criar uma VPN S2S entre SP e MG por questões politicas
Solução: Rotear meu acesso de SP para chegar à MG a partir da rede do Rio
No FortGate isso funciona que é uma blz… mas no PFSense não... me parece que ele não é capaz de rotear pacotes vindo da interna (SP) para minha rede de MG passando pela VPN S2S.
Alguém sabe como eu posso customizar as rotas no meu pfsense pela VPN Ipsec?
Como esta no meu FG do Rio hj e funcionando o que eu quero replicar no pfsense:
VPN S2S igualzinho no pfsense...
Polices liberando o trafego pelo tunel
Rota estatica criada falando que tudo que for de destino 172.16.0.0/24 vai passar pela VPN S2S: Rio X MG -
tentou fazer via OpenVPN ?
-
tentou fazer via OpenVPN ?
obrigado pela ajuda, mas é IPSEC Site-to-Site e não cliente servidor. Até aonde eu sei open vpn é cliente servidor correto?
-
Errado
posso ter openvpn site to site..
http://www.pfsense-br.org/blog/2011/11/usando-o-pfsense-para-interligar-2-lojas-via-internet-ponto-a-ponto/
-
Errado
posso ter openvpn site to site..
hmmm certo nao testei nao… somente ipsec pq a minha ponta B não suporte open VPN mas de todo modo é bom saber q da pra fazer s2s com open vpn, obrigado.
agora voltando a minha questão... na ponta A eu tenho o PFSense e preciso nele direcionar o trafego para minha ponta B, tem que ser ipsec
-
outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas
Rede Rio: 192.168.0.0/24
Rede SP: 192.168.1.0/24
Rede MG: 192.168.0.0/24e depois dai partir para um roteamento..
-
Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[ ??? ::)
Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à matriz da LDC.
Em todas as LDC temos pfSense 2.0.1 sendo que no meu escritório (ADMIN) estou com a versão 2.1. Adapte-as conforme suas necessidades.Apenas esclarecendo resumidamente o [b]motivo desses roteamentos:
1- Garantir que, após a conexão VPN ser iniciada via WAN, os pacotes sejam direcionados sempre via LAN (túnel).
2- Evitar que um outro Roteador sendo o Gateway (que não o pfSense) procure atravessar a VPN pela Internet, ao invés do túnel, causando perda de pacotes
e/ou ficar completamente perdido e daí indisponível.
3- Não sumarizar o CIDR, apesar das sub-redes do cliente serem adjacentes, apenas por questão de identificação. Faça isso quando solicitado pelo cliente ou conforme suas preferências.Acredito que seu principal problema resida no item 2 acima.
Eu sempre quis publicar um tutorial com todas essas informações e mais um pouco além. Mas… perdi a vontade. Se alguém achar útil, talvez um dia, eu pegue o rascunho já existente com cópias de tela e publique o tutorial.
-
outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas
Rede Rio: 192.168.0.0/24
Rede SP: 192.168.1.0/24
Rede MG: 192.168.0.0/24e depois dai partir para um roteamento..
Opa, mantunespb! ;D
Duas sub-redes 192.168.0.0/24? :o
-
Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[ ??? ::)
[/quote]S2S - site to site ;)
-
Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[ ??? ::)
[/quote]S2S - site to site ;)
Credo, Marcello! Juro que até esqueci do U2! ;D
Que vergonha, caro johnny! :'(
;D -
outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas
Rede Rio: 192.168.0.0/24
Rede SP: 192.168.1.0/24
Rede MG: 192.168.0.0/24e depois dai partir para um roteamento..
Cara vlw pelas dicas mas são irrelevantes para o problema já que de um jeito ou de outro são redes que não se comunicam sem um roteamento adequado. usei esses ips bem diferentes uns dos outros como exemplo só p facilitar o entendimento do cenário e estou respeitando a rfc1918. No meu cenário real os ips estão parecidos conforme sua sugestão ;-)
De todo modo obrigadao -
outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas
Rede Rio: 192.168.0.0/24
Rede SP: 192.168.1.0/24
Rede MG: 192.168.0.0/24e depois dai partir para um roteamento..
Opa, mantunespb! ;D
Duas sub-redes 192.168.0.0/24? :o
Na verdade…
rede Rio: 192.168.0.0/24
Rede SP: 10.0.0.0/24
Rede MG: 172.16.0.0/24 -
Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[ ??? ::)
Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à matriz da LDC.
Em todas as LDC temos pfSense 2.0.1 sendo que no meu escritório (ADMIN) estou com a versão 2.1. Adapte-as conforme suas necessidades.Apenas esclarecendo resumidamente o [b]motivo desses roteamentos:
1- Garantir que, após a conexão VPN ser iniciada via WAN, os pacotes sejam direcionados sempre via LAN (túnel).
2- Evitar que um outro Roteador sendo o Gateway (que não o pfSense) procure atravessar a VPN pela Internet, ao invés do túnel, causando perda de pacotes
e/ou ficar completamente perdido e daí indisponível.
3- Não sumarizar o CIDR, apesar das sub-redes do cliente serem adjacentes, apenas por questão de identificação. Faça isso quando solicitado pelo cliente ou conforme suas preferências.Acredito que seu principal problema resida no item 2 acima.
Eu sempre quis publicar um tutorial com todas essas informações e mais um pouco além. Mas… perdi a vontade. Se alguém achar útil, talvez um dia, eu pegue o rascunho já existente com cópias de tela e publique o tutorial.
Cara to no bus balanço p kctah mas acho que tu vai conseguir me ajudar
Sim, existe um problema d rota mas e no pfs, vou dar uma lida com calma de casa pra extrair melhor as informações. Vlw pela forca. -
Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[ ??? ::)
Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à …
[/quote]Detalhe…. 150 é tua lan adress (pfs)?
Isso pra mim faz muito sentido,
Quando eu traço rota p rede mg o pfs me joga p internet, por isso tenho certeza que é rota e nele, só não tinha pensado em dizer q o gtw e ele mesmo quando a rede destino for mg.. Será que não vai ficar em looping? vou testar :) -
Detalhe…. 150 é tua lan adress?
Isso pra mim faz muito sentido, vou testarO IP 192.168.1.150 é o (pfSense) Gateway da matriz, servindo a rede 192.168.1.0/24.
A sub-rede do meu escritório está em 192.168.250.0/24.
No resto, acho que está suficientemente claro quem é quem. :) -
Detalhe…. 150 é tua lan adress?
Isso pra mim faz muito sentido, vou testarO IP 192.168.1.150 é o (pfSense) Gateway da matriz, servindo a rede 192.168.1.0/24.
A sub-rede do meu escritório está em 192.168.250.0/24.
No resto, acho que está suficientemente claro quem é quem. :)Esta sim, vou testar hj mesmo to levando fe que seja por ai
-
Dê um retorno (feedback). ;)
-
Dê um retorno (feedback). ;)
Com certeza Jhonybe, precisei virar o foco por conta de outras demandas mais importantes mas vou testar sim a solução que vc me passou e te dou um feedback ;D
-
-
Habilitou essa opção?:
Static route filtering Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.
