Ipsec vpn Net to Net proxy server

saturno2013 · Feb 13, 2014, 1:18 PM

Buenos Dias/Tardes

Requiero su colaboracion con lo siguiente, para que se me pueda entender aki va mi escenario

internet (Ip Publica)
|
(192.179.10.0/24) | VPN
lan <–------------------> FW Pfsense <-----------------------------> FW Pfsense<---> Lan
10.2 192.168.129.2/29 192.168.129.5/29 192.168.70.0/24

FW Pfsense
WAN = IP Publica (INTERNET)
WAN1 = 192.168.129.2/29
LAN = 192.168.10.2/24

Sucursal
FW Pfsense
WAN = IP Privada (192.168.129.5/29)
LAN = 192.168.70.2/24

Tunnel Ipsec entre Wan1 ---- Wan

Aperture una VPN con Ipsec de tipo Net to Net, con un tutorial que encontre logre hacer que los equipos que se encuentran en la sucursal tenga navegacion a traves de la central, tambien se tiene acceso a los equipos.

Sin embargo, para los equipos de la sucursal, se debe restringir sus accesos al internet, como ser facebook, pornografia, etc. para tal objetivo me apoyo en Squid, SuidGuard (los mismos paquetes estan instalados en la Central, funciona de maravilla).

Mi problema esa que cuando activo los servicios de proxy transparente en el fw de la central los equipos ya no tienen navegacion, sale el mensaje Time Out, No se pudo resolver el sitio. Notar que se tiene pings al DNS, a cualquier sitio, a la red interna.

Las reglas de Ipsec, WAN estan para permitir todo, tanto en el Fw de la Central como el de la Sucursal

Que pudiera estar pasando?

De antemano gracias por si colaboracion, espero haya sido lo suficientemente claro.

bellera · Feb 19, 2014, 10:40 PM

@saturno2013:

Mi problema esa que cuando activo los servicios de proxy transparente en el fw de la central los equipos ya no tienen navegacion, sale el mensaje Time Out, No se pudo resolver el sitio.

¿En qué interfases está activo squid? Entiendo que debe escuchar para WAN1 y LAN. ¿Es así?

saturno2013 · Mar 5, 2014, 9:30 PM

Perdon por la demora….

en el lado A que tiene 3 tarjetas (wan, wan1, lan) el proxy server esta aplicado en lan

en el lado B que tiene 2 tarjetas (wan, lan), aplico el proxy server en la lan, no hay navegacion, solo pings, aplico el proxy server a WAN o lo desactivo existe navegacion

NOTA.- el Lado B tiene internet del lado A
lado A WAN ---- acceso a internet
WAN1 --- ipsec entre el lado B (WAN), ambas interfaces no cuentan con acceso a internet, son solo ips de comunicacion.

De antemano gracias

acriollo · Mar 6, 2014, 5:28 PM

Esto esta interesante :).

Entiendo que si el trafico de internet va a ser por el sitio principal (A). el proxy debe de escuchar en las interfaces LAN y la que conecta a la otra sucursal ? WAN1 u OPT1 ?

En el caso del sitio B , este no debe de tener proxy habilitado .. creo yo.. Mr. Bellera , saquenos de la duda por favor.. :)

saludos!!

bellera · Mar 6, 2014, 11:02 PM

el proxy debe de escuchar en las interfaces LAN y la que conecta a la otra sucursal ? WAN1 u OPT1 ?

Los túneles de las VPN unen las LANs. Por tanto, entiendo que no tiene sentido que el proxy escuche la WAN1 de la central.

Creo que lo que tienes que hacer es forzar la navegación en la sucursal hacia el proxy de la central.

Puede que NAT Port Forward en la sucursal te sirva:

https://forum.pfsense.org/index.php/topic,15571.msg82588.html#msg82588
https://forum.pfsense.org/index.php/topic,21083.msg108436.html#msg108436