Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Resolvido] Ipsec com rede alternativa

    Scheduled Pinned Locked Moved Portuguese
    34 Posts 4 Posters 5.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • machadomallM
      machadomall
      last edited by

      Olá pessoal,

      Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
      Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
      A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.

      Minha rede padrão no pfsense rede local: 192.168.1.0/24
      Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.

      Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?

      Grato.

      Márcio Machado
      Analista de Suporte Técnico
      Brasília-DF

      1 Reply Last reply Reply Quote 0
      • L
        lucaspolli
        last edited by

        consegue pingar o ip remoto?

        1 Reply Last reply Reply Quote 0
        • machadomallM
          machadomall
          last edited by

          Bom dia,
          Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar.

          Márcio Machado
          Analista de Suporte Técnico
          Brasília-DF

          1 Reply Last reply Reply Quote 0
          • L
            lucaspolli
            last edited by

            o que diz o log do ipsec? as rotas estao ok?

            1 Reply Last reply Reply Quote 0
            • machadomallM
              machadomall
              last edited by

              No IpSec esta ok aparentimente.
              May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
              May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
              May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
              May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
              May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
              May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
              May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)

              A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

              Márcio Machado
              Analista de Suporte Técnico
              Brasília-DF

              1 Reply Last reply Reply Quote 0
              • L
                lucaspolli
                last edited by

                @machadomall:

                A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

                sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..

                1 Reply Last reply Reply Quote 0
                • machadomallM
                  machadomall
                  last edited by

                  Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.

                  host do cliente: 192.168.5.173
                  em1 = lan
                  [2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
                  tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                  listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes

                  em0 = wan
                  [2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
                  tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                  listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

                  Márcio Machado
                  Analista de Suporte Técnico
                  Brasília-DF

                  1 Reply Last reply Reply Quote 0
                  • N
                    neo_X
                    last edited by

                    Olá Machado,

                    Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?

                    1 Reply Last reply Reply Quote 0
                    • machadomallM
                      machadomall
                      last edited by

                      Isso mesmo.

                      Márcio Machado
                      Analista de Suporte Técnico
                      Brasília-DF

                      1 Reply Last reply Reply Quote 0
                      • machadomallM
                        machadomall
                        last edited by

                        Tentando dar um Telnet no ip do cliente na porta 80.

                        [2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173  ###host do cliente da outra ponta####
                        tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                        listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
                        11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                        11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
                        11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0

                        Márcio Machado
                        Analista de Suporte Técnico
                        Brasília-DF

                        1 Reply Last reply Reply Quote 0
                        • L
                          lucaspolli
                          last edited by

                          sua interface esta com Block private networks desmarcada?

                          1 Reply Last reply Reply Quote 0
                          • machadomallM
                            machadomall
                            last edited by

                            Sim, esta desmarcada.

                            Márcio Machado
                            Analista de Suporte Técnico
                            Brasília-DF

                            1 Reply Last reply Reply Quote 0
                            • N
                              neo_X
                              last edited by

                              Você terá que "natear" sua VPN.

                              LAN 192.168.1.0/24 traduzir para 192.168.26.0/24  destino - Rede Cliente.

                              Essa opção tem na versão 2.1

                              1 Reply Last reply Reply Quote 0
                              • machadomallM
                                machadomall
                                last edited by

                                Bem, estou criando um ambiente de teste do pfsense da ultima versão.

                                Você tem algum print de exemplo dessa regra?

                                Obrigado.

                                Márcio Machado
                                Analista de Suporte Técnico
                                Brasília-DF

                                1 Reply Last reply Reply Quote 0
                                • N
                                  neo_X
                                  last edited by

                                  Olá Márcio, essa configuração é bem tranquila.  Na fase 2 você especifica:

                                  Sua LAN: 192.168.1.0/24
                                  Traduzir para: 192.168.26.0/24
                                  Rede Destino:  LAN Cliente

                                  No meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.

                                  ipsec.jpg
                                  ipsec.jpg_thumb

                                  1 Reply Last reply Reply Quote 0
                                  • machadomallM
                                    machadomall
                                    last edited by

                                    Obrigado Neo_X,
                                    Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.

                                    Tentei fazer varias rotas das duas primeiras redes e nada.

                                    Grato.

                                    Márcio Machado
                                    Analista de Suporte Técnico
                                    Brasília-DF

                                    1 Reply Last reply Reply Quote 0
                                    • N
                                      neo_X
                                      last edited by

                                      O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.

                                      1 Reply Last reply Reply Quote 0
                                      • machadomallM
                                        machadomall
                                        last edited by

                                        Obrigado pela ajuda.
                                        Segue prints anexo.

                                        Fase2_IPsec.PNG
                                        Fase2_IPsec.PNG_thumb
                                        logs_ipsec.PNG
                                        logs_ipsec.PNG_thumb
                                        Status_IPsec.PNG
                                        Status_IPsec.PNG_thumb

                                        Márcio Machado
                                        Analista de Suporte Técnico
                                        Brasília-DF

                                        1 Reply Last reply Reply Quote 0
                                        • N
                                          neo_X
                                          last edited by

                                          As configurações do seu cliente estão iguais as configuradas nas fases  1 e 2 do seu firewall?

                                          1 Reply Last reply Reply Quote 0
                                          • machadomallM
                                            machadomall
                                            last edited by

                                            Obrigado por responder,

                                            Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)

                                            Quando configuro a fase 2  dessa forma,

                                            LAN(local): 192.168.1.0/24
                                            Traduzir para(vpn): 192.168.26.0/24
                                            Rede Destino(cliente):  192.168.5.0/24

                                            Dá:
                                            racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in

                                            ![Rede Pfsense.png](/public/imported_attachments/1/Rede Pfsense.png)
                                            ![Rede Pfsense.png_thumb](/public/imported_attachments/1/Rede Pfsense.png_thumb)

                                            Márcio Machado
                                            Analista de Suporte Técnico
                                            Brasília-DF

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.