Ipsec vpn Net to Net proxy server



  • Buenos Dias/Tardes

    Requiero su colaboracion con lo siguiente, para que se me pueda entender aki va mi escenario

    internet  (Ip Publica)
                                                    |
    (192.179.10.0/24)              |                            VPN
    lan <–------------------> FW Pfsense <-----------------------------> FW Pfsense<---> Lan
                                  10.2          192.168.129.2/29      192.168.129.5/29              192.168.70.0/24

    FW Pfsense
    WAN = IP Publica  (INTERNET)
    WAN1 = 192.168.129.2/29
    LAN = 192.168.10.2/24

    Sucursal
    FW Pfsense
    WAN = IP Privada  (192.168.129.5/29)
    LAN = 192.168.70.2/24

    Tunnel Ipsec entre Wan1 ---- Wan

    Aperture una VPN con Ipsec de tipo Net to Net, con un tutorial que  encontre logre hacer que los equipos que se encuentran en la sucursal tenga navegacion a traves de la central, tambien se tiene acceso a los equipos.

    Sin embargo, para los equipos de la sucursal, se debe restringir sus accesos al internet, como ser facebook, pornografia, etc. para tal objetivo me apoyo en Squid, SuidGuard (los mismos paquetes estan instalados en la Central, funciona de maravilla).

    Mi problema esa que cuando activo los servicios de proxy transparente en el fw de la central los equipos ya no tienen navegacion, sale el mensaje Time Out, No se pudo resolver el sitio. Notar que se tiene pings al DNS, a cualquier sitio, a la red interna.

    Las reglas de Ipsec, WAN estan para permitir todo, tanto en el Fw de la Central como el de la Sucursal

    Que pudiera estar pasando?

    De antemano gracias por si colaboracion, espero haya sido lo suficientemente claro.



  • @saturno2013:

    Mi problema esa que cuando activo los servicios de proxy transparente en el fw de la central los equipos ya no tienen navegacion, sale el mensaje Time Out, No se pudo resolver el sitio.

    ¿En qué interfases está activo squid? Entiendo que debe escuchar para WAN1 y LAN. ¿Es así?



  • Perdon por la demora….

    en el lado A que tiene 3 tarjetas (wan, wan1, lan) el proxy server esta aplicado en lan

    en el lado B que tiene 2 tarjetas (wan, lan), aplico el proxy server en la lan,  no hay navegacion, solo pings, aplico el proxy server a WAN o lo desactivo existe navegacion

    NOTA.- el Lado B tiene internet del lado A
    lado A WAN ---- acceso a internet
                WAN1 --- ipsec entre el lado B (WAN), ambas interfaces  no cuentan con acceso a internet, son solo ips de comunicacion.

    De antemano gracias



  • Esto esta interesante  :).

    Entiendo que si el trafico de internet va a ser por el sitio principal (A).    el proxy debe de escuchar en las interfaces LAN y la que conecta a la otra sucursal ? WAN1 u OPT1 ?

    En el caso del sitio B , este no debe de tener proxy habilitado .. creo yo..  Mr. Bellera , saquenos de la duda por favor.. :)

    saludos!!



  • el proxy debe de escuchar en las interfaces LAN y la que conecta a la otra sucursal ? WAN1 u OPT1 ?

    Los túneles de las VPN unen las LANs. Por tanto, entiendo que no tiene sentido que el proxy escuche la WAN1 de la central.

    Creo que lo que tienes que hacer es forzar la navegación en la sucursal hacia el proxy de la central.

    Puede que NAT Port Forward en la sucursal te sirva:

    https://forum.pfsense.org/index.php/topic,15571.msg82588.html#msg82588
    https://forum.pfsense.org/index.php/topic,21083.msg108436.html#msg108436


Log in to reply