Acceder a varios host sobre TUNNEL IPSEC



  • Hola tengo levantada un tunel IPSEC con un cliente nuestro, el cual nos indica que la remote ip / mask es 0.0.0.0/0.
    El tunel levanta perfectamente, pero tengo que acceder a varias IP de allí.
    ¿Como debo de indicar al pfsense para que el host 10.113.58.30 salga por el tunel?

    Gracias.



  • http://forum.pfsense.org/index.php/topic,59116.msg318295.html#msg318295

    Se explica para OpenvPN pero es "a semejanza" para IPSEC, (1) y (2).

    Cerciorarse de que el equipo cliente no tenga cortafuegos personal que impida acceso y tener en LAN permisos para ir a la red remota.



  • Hola gracias por la repuesta.

    Pero no consigo enrutar la IP 10.113.58.90 por el tunel creado.

    PFSENSE IP LAN -> 192.168.x.x/24
                IP WAN –> 10.148.x.x/27 TUNNEL CONTRA WAN 213.45.x.X Remote Network 0.0.0.0/0
    En esta red tengo que acceder a varias IP como la 10.113.58.90, pero no se como enrutar el tráfico hacia esa IP por el tunel IPSEC.

    Con el router draytek que tenía hasta ahora era fácil, porque podías poner varios host o subredes, pero en pfsense es la primera vez que trabajo así.

    gracias de antemano



  • Ahora tengo otro poblema sin en la interfac WAN le pongo el rango IP que me dice el cliente 10.148.18.96/27 el tunel me levanta perfectamente (aunque sigo sin poder sacar trafico por ahi), pero no me funciona el NAT.

    Si le pongo un rango 192.168.200.0/24 el NAT funciona perfectamente, pero no puedo levantar el tunel porque tengo que llegar con la 10.148.18.96/27.

    ¿por que no me funciona el NAT con ese rango? en otra sede tengo el rango 10.148.15.64/27, y el NAT funciona perfectamente.

    Que deseperación. Si alguien sabe como puedo arreglar esto, esta invitado a un cervezón.





  • Creaste la phase2 del tunel? La red que pongas en la phase2 es la que va a rutear automaticamente a traves del tunel



  • La fase 2 esta puesta con la remote subnet 0.0.0.0/0, ya he conseguido levantar el tunel sin problemas. Lo que no se es como indicar a pfsense que me enrute por este tunerl las IP a las que tengo que acceder.

    Saludos.



  • IPsec no es ruteable directamente. La red que especifiques como phase2 va a ser la que se rutee por el túnel. Por ejemplo si quisieras acceder a la subred 10.184.99.0/24 (por poner cualquier cosa) tenes que generar una phase2 con Local network = tu LAN, y Remote network = 10.184.99.0/24. Del otro lado tenes que hacer exactamente lo mismo, pero al revés se entiende?

    Podes tener muchas phase2 dentro del mismo túnel, en caso que necesites interconectar varias subredes (por ejemplo si tenes otra LAN a la que queres dar acceso al túnel, tendrías que generar otra phase2 en cada lado)

    Esto también es válido si por ejemplo tenes clientes que de conectan a través de OpenVPN a uno de los extremos, y necesitan atravesar el túnel. Además de pushear las rutas necesitas una phase2 que linkee la remote subnet con la red especificada localmente para OpenVPN (esto por cierto no está muy claro en ningún lado…)



  • El problema es que la otra parte es mi cliente el que nos la proporciona. Y no puedo tocar nada de ellos,me la entregan así y tengo que apañarmelas.

    Tengo 3 actualmente con router drayteks se configura muy fácil, porque dentro de la configuración del Tunel, pongo la remote network 0.0.0.0/0  y puedo añadir los hosts remotos que quiera.



  • @rockinmalaga:

    La fase 2 esta puesta con la remote subnet 0.0.0.0/0, ya he conseguido levantar el tunel sin problemas. Lo que no se es como indicar a pfsense que me enrute por este tunerl las IP a las que tengo que acceder.

    0.0.0.0/0 es todo el mundo y no es enrutable.

    Google 0.0.0.0

    Si ignoras cuál es la red remota entonces igual tienes que activar el soporte para clientes móbiles y configurar la fase 2 como clientes móbiles.



  • Si añadis una phase2 con remote subnet como 0.0.0.0/0 lo que deberia suceder es que te va rutear TODO el trafico a traves del tunel, incluido el trafico saliente hacia internet. En cualquier caso, deberia funcionar el trafico hacia esas IPs en particular, si esta bien configurado el otro lado. Otra cosa, chequeaste las reglas de firewall sobre la interfaz IPsec para permitir ese trafico? Proba hacer un trace route desde tu LAN hacia esa IP a ver hasta donde llega.

    Otra cosa que no me queda clara es que mencionas que "probaste cambiar tu IP de WAN al rango especificado por el cliente". Que hay adelante de tu pfSense del lado de la WAN?

    Saludos!



  • El tráfico de internet me lo saca bien, además tengo 3 túneles más con su red remota correspondiente y lo enruta bien y accedo perfectamente a las maquinas remotas.

    Si hago un trace route a una ip que me hace falta en el lado de mi cliente, por ejemplo, 172.24.87.30, me la saca por la interfaz wan, ya que no he especificado en ningún sitio que salga por el tunel, como tengo con los routers draytek.

    Delante de mi pfsense, hay un router con el DMZ al pfsense, el NAT funciona perfectamente.



  • Mmmm, de hecho al poner "remote subnet 0.0.0.0/0" estas especificando que saque TODO por el tunel…

    De cualquier manera, me parece que lo que necesitas es configurarlo a traves de Mobile IPsec como dijo bellera



  • Estoy entre desesperado y muy desesperado, no se hacer, por que lo harán tan difícil, con lo fácil que es en otros router / firewall.

    No se por que no está la opción de asignarles más host dentro de la VPN.

    Seguiré investigando.


Locked