[Resolvido] Ipsec com rede alternativa



  • Olá pessoal,

    Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
    Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
    A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.

    Minha rede padrão no pfsense rede local: 192.168.1.0/24
    Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.

    Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?

    Grato.



  • consegue pingar o ip remoto?



  • Bom dia,
    Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar.



  • o que diz o log do ipsec? as rotas estao ok?



  • No IpSec esta ok aparentimente.
    May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
    May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
    May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
    May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
    May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
    May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
    May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)

    A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?



  • @machadomall:

    A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

    sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..



  • Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.

    host do cliente: 192.168.5.173
    em1 = lan
    [2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes

    em0 = wan
    [2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes



  • Olá Machado,

    Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?



  • Isso mesmo.



  • Tentando dar um Telnet no ip do cliente na porta 80.

    [2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173  ###host do cliente da outra ponta####
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
    11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0



  • sua interface esta com Block private networks desmarcada?



  • Sim, esta desmarcada.



  • Você terá que "natear" sua VPN.

    LAN 192.168.1.0/24 traduzir para 192.168.26.0/24  destino - Rede Cliente.

    Essa opção tem na versão 2.1



  • Bem, estou criando um ambiente de teste do pfsense da ultima versão.

    Você tem algum print de exemplo dessa regra?

    Obrigado.



  • Olá Márcio, essa configuração é bem tranquila.  Na fase 2 você especifica:

    Sua LAN: 192.168.1.0/24
    Traduzir para: 192.168.26.0/24
    Rede Destino:  LAN Cliente

    No meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.




  • Obrigado Neo_X,
    Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.

    Tentei fazer varias rotas das duas primeiras redes e nada.

    Grato.



  • O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.



  • Obrigado pela ajuda.
    Segue prints anexo.








  • As configurações do seu cliente estão iguais as configuradas nas fases  1 e 2 do seu firewall?



  • Obrigado por responder,

    Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)

    Quando configuro a fase 2  dessa forma,

    LAN(local): 192.168.1.0/24
    Traduzir para(vpn): 192.168.26.0/24
    Rede Destino(cliente):  192.168.5.0/24

    Dá:
    racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in

    ![Rede Pfsense.png](/public/imported_attachments/1/Rede Pfsense.png)
    ![Rede Pfsense.png_thumb](/public/imported_attachments/1/Rede Pfsense.png_thumb)



  • Manda as informações da fase 1.



  • Segue print Fase1

    Grato.




  • Confirma se o lado do cliente está usando o PFS key Group na fase 2. Na sua conf está off.



  • Oi neo_X bom dia,

    Sim deve estar como OFF mesmo, se eu mudar para o grupo 1,2 ou 3 ele não conecta.

    Grato.



  • Olá Márcio,

    Normalmente eu habilito essa opção.  Bom vamos lá, a VPN está fechada agora? Na interface IPSEC tem regra liberando o acesso? Em Diagnostics: Packet Capture consegue capturar algum pacote via IpSec?



  • Márcio, veja se na console, aparece uma interface nova quando o tunel está estabelecido.

    Se aparecer, rode o tcpdump nela para ver como os pacotes estão saindo do seu firewall.

    Depois que tiver esta informação, passe para o responsável da ponta remota para ver se a regra que ele criou contempla o ip de saída que você está usando.



  • Obrigado por responderem,
    Marcelo, com a na console só aparece as duas interfaces Wan e Lan,

    ipsec
    racoon IPsec VPN status  Running
    Status Ativo

    No ifconfig -a
    Só aparce as duas Wan e Lan.

    Dando um telnet com o tcpdump -ni em1 host 192.168.5.173

    [2.1.3-RELEASE][admin@cerberus]/root(4): tcpdump -ni em1 host 192.168.5.173
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
    16:13:44.254615 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    16:13:50.252556 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 65535, options [mss 1460,nop,nop,sackOK], length 0

    Obs: Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?~~~~



  • A minha regra da interface ipsec
    IPv4 TCP * * * * * none



  • @Márcio:

    Marcelo, com a na console só aparece as duas interfaces Wan e Lan,

    Tem certeza que não tem uma interface gif0 por exemplo  ????

    @Márcio:

    Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?

    Sem saber o que está passando no túnel, eu não recomendo você acrescentar nenhuma configuração.



  • @Márcio:

    A minha regra da interface ipsec
    IPv4 TCP * * * * * none

    Coloque
    IPv4 any * * * * * none

    Não precisa criar alias para essa rede.



  • Marcelo,
    Será isso?

    plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
    enc0: flags=41 <up,running>metric 0 mtu 1536</up,running></pointopoint,simplex,multicast>



  • Olá pessoal,

    Obrigado por tudo, consegui fechar a conexão com o cliente.

    Era configuração do lado dele, não estava permitindo o trafico entre as redes.  :o

    Mais uma vez muito obrigado a vocês.
    ;D



  • Que bom que deu certo. É muito difícil analisar um problema como este,  principalmente quando não temos as informações do outro lado.

    Pelo menos você aprendeu e viu que é super fácil a configuração.



  • Pois é, e bem fácil a configuração.
    Eu estou conhecendo agora o pFsense, estou com ele à 6 meses e confesso que estou gostando muito.

    Vou montar um laboratório e brincar bastante com ele e vou também tentar implantar o Squid3-dev + Squidguard para o bloqueio ssl.

    Mais uma vez muito obrigado pela ajuda de vocês.


Log in to reply