• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

[Resolvido] Ipsec com rede alternativa

Scheduled Pinned Locked Moved Portuguese
34 Posts 4 Posters 5.3k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    machadomall
    last edited by May 22, 2014, 5:17 PM May 4, 2014, 8:05 PM

    Olá pessoal,

    Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
    Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
    A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.

    Minha rede padrão no pfsense rede local: 192.168.1.0/24
    Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.

    Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?

    Grato.

    Márcio Machado
    Analista de Suporte Técnico
    Brasília-DF

    1 Reply Last reply Reply Quote 0
    • L
      lucaspolli
      last edited by May 5, 2014, 11:47 AM

      consegue pingar o ip remoto?

      1 Reply Last reply Reply Quote 0
      • M
        machadomall
        last edited by May 5, 2014, 12:20 PM

        Bom dia,
        Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar.

        Márcio Machado
        Analista de Suporte Técnico
        Brasília-DF

        1 Reply Last reply Reply Quote 0
        • L
          lucaspolli
          last edited by May 5, 2014, 12:36 PM

          o que diz o log do ipsec? as rotas estao ok?

          1 Reply Last reply Reply Quote 0
          • M
            machadomall
            last edited by May 5, 2014, 12:51 PM

            No IpSec esta ok aparentimente.
            May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
            May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
            May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
            May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
            May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
            May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
            May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)

            A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

            Márcio Machado
            Analista de Suporte Técnico
            Brasília-DF

            1 Reply Last reply Reply Quote 0
            • L
              lucaspolli
              last edited by May 5, 2014, 12:55 PM

              @machadomall:

              A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

              sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..

              1 Reply Last reply Reply Quote 0
              • M
                machadomall
                last edited by May 5, 2014, 1:57 PM

                Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.

                host do cliente: 192.168.5.173
                em1 = lan
                [2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
                tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes

                em0 = wan
                [2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
                tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

                Márcio Machado
                Analista de Suporte Técnico
                Brasília-DF

                1 Reply Last reply Reply Quote 0
                • N
                  neo_X
                  last edited by May 5, 2014, 2:01 PM

                  Olá Machado,

                  Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?

                  1 Reply Last reply Reply Quote 0
                  • M
                    machadomall
                    last edited by May 5, 2014, 2:04 PM

                    Isso mesmo.

                    Márcio Machado
                    Analista de Suporte Técnico
                    Brasília-DF

                    1 Reply Last reply Reply Quote 0
                    • M
                      machadomall
                      last edited by May 5, 2014, 2:36 PM

                      Tentando dar um Telnet no ip do cliente na porta 80.

                      [2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173  ###host do cliente da outra ponta####
                      tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                      listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
                      11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                      11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                      11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0

                      Márcio Machado
                      Analista de Suporte Técnico
                      Brasília-DF

                      1 Reply Last reply Reply Quote 0
                      • L
                        lucaspolli
                        last edited by May 5, 2014, 2:42 PM

                        sua interface esta com Block private networks desmarcada?

                        1 Reply Last reply Reply Quote 0
                        • M
                          machadomall
                          last edited by May 5, 2014, 2:47 PM

                          Sim, esta desmarcada.

                          Márcio Machado
                          Analista de Suporte Técnico
                          Brasília-DF

                          1 Reply Last reply Reply Quote 0
                          • N
                            neo_X
                            last edited by May 5, 2014, 3:24 PM

                            Você terá que "natear" sua VPN.

                            LAN 192.168.1.0/24 traduzir para 192.168.26.0/24  destino - Rede Cliente.

                            Essa opção tem na versão 2.1

                            1 Reply Last reply Reply Quote 0
                            • M
                              machadomall
                              last edited by May 12, 2014, 3:10 PM

                              Bem, estou criando um ambiente de teste do pfsense da ultima versão.

                              Você tem algum print de exemplo dessa regra?

                              Obrigado.

                              Márcio Machado
                              Analista de Suporte Técnico
                              Brasília-DF

                              1 Reply Last reply Reply Quote 0
                              • N
                                neo_X
                                last edited by May 12, 2014, 7:11 PM May 12, 2014, 6:54 PM

                                Olá Márcio, essa configuração é bem tranquila.  Na fase 2 você especifica:

                                Sua LAN: 192.168.1.0/24
                                Traduzir para: 192.168.26.0/24
                                Rede Destino:  LAN Cliente

                                No meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.

                                ipsec.jpg
                                ipsec.jpg_thumb

                                1 Reply Last reply Reply Quote 0
                                • M
                                  machadomall
                                  last edited by May 19, 2014, 5:29 PM

                                  Obrigado Neo_X,
                                  Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.

                                  Tentei fazer varias rotas das duas primeiras redes e nada.

                                  Grato.

                                  Márcio Machado
                                  Analista de Suporte Técnico
                                  Brasília-DF

                                  1 Reply Last reply Reply Quote 0
                                  • N
                                    neo_X
                                    last edited by May 19, 2014, 5:33 PM

                                    O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      machadomall
                                      last edited by May 19, 2014, 5:51 PM

                                      Obrigado pela ajuda.
                                      Segue prints anexo.

                                      Fase2_IPsec.PNG
                                      Fase2_IPsec.PNG_thumb
                                      logs_ipsec.PNG
                                      logs_ipsec.PNG_thumb
                                      Status_IPsec.PNG
                                      Status_IPsec.PNG_thumb

                                      Márcio Machado
                                      Analista de Suporte Técnico
                                      Brasília-DF

                                      1 Reply Last reply Reply Quote 0
                                      • N
                                        neo_X
                                        last edited by May 19, 2014, 6:02 PM

                                        As configurações do seu cliente estão iguais as configuradas nas fases  1 e 2 do seu firewall?

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          machadomall
                                          last edited by May 19, 2014, 6:48 PM

                                          Obrigado por responder,

                                          Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)

                                          Quando configuro a fase 2  dessa forma,

                                          LAN(local): 192.168.1.0/24
                                          Traduzir para(vpn): 192.168.26.0/24
                                          Rede Destino(cliente):  192.168.5.0/24

                                          Dá:
                                          racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in

                                          ![Rede Pfsense.png](/public/imported_attachments/1/Rede Pfsense.png)
                                          ![Rede Pfsense.png_thumb](/public/imported_attachments/1/Rede Pfsense.png_thumb)

                                          Márcio Machado
                                          Analista de Suporte Técnico
                                          Brasília-DF

                                          1 Reply Last reply Reply Quote 0
                                          1 out of 34
                                          • First post
                                            1/34
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received