4. [Resolvido] Ipsec com rede alternativa

[Resolvido] Ipsec com rede alternativa


  • Olá pessoal,

    Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
    Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
    A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.

    Minha rede padrão no pfsense rede local: 192.168.1.0/24
    Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.

    Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?

    Grato.

    0
  • L

    consegue pingar o ip remoto?

    0

  • Bom dia,
    Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar.

    0
  • L

    o que diz o log do ipsec? as rotas estao ok?

    0

  • No IpSec esta ok aparentimente.
    May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
    May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
    May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
    May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
    May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
    May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
    May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)

    A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

    0
  • L

    @machadomall:

    A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

    sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..

    0

  • Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.

    host do cliente: 192.168.5.173
    em1 = lan
    [2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes

    em0 = wan
    [2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

    0
  • N

    Olá Machado,

    Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?

    0

  • Isso mesmo.

    0

  • Tentando dar um Telnet no ip do cliente na porta 80.

    [2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173  ###host do cliente da outra ponta####
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
    11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0

    0
  • L

    sua interface esta com Block private networks desmarcada?

    0

  • Sim, esta desmarcada.

    0
  • N

    Você terá que "natear" sua VPN.

    LAN 192.168.1.0/24 traduzir para 192.168.26.0/24  destino - Rede Cliente.

    Essa opção tem na versão 2.1

    0

  • Bem, estou criando um ambiente de teste do pfsense da ultima versão.

    Você tem algum print de exemplo dessa regra?

    Obrigado.

    0
  • N

    Olá Márcio, essa configuração é bem tranquila.  Na fase 2 você especifica:

    Sua LAN: 192.168.1.0/24
    Traduzir para: 192.168.26.0/24
    Rede Destino:  LAN Cliente

    No meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.


    0

  • Obrigado Neo_X,
    Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.

    Tentei fazer varias rotas das duas primeiras redes e nada.

    Grato.

    0
  • N

    O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.

    0

  • Obrigado pela ajuda.
    Segue prints anexo.






    0
  • N

    As configurações do seu cliente estão iguais as configuradas nas fases  1 e 2 do seu firewall?

    0

  • Obrigado por responder,

    Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)

    Quando configuro a fase 2  dessa forma,

    LAN(local): 192.168.1.0/24
    Traduzir para(vpn): 192.168.26.0/24
    Rede Destino(cliente):  192.168.5.0/24

    Dá:
    racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in

    ![Rede Pfsense.png](/public/imported_attachments/1/Rede Pfsense.png)
    ![Rede Pfsense.png_thumb](/public/imported_attachments/1/Rede Pfsense.png_thumb)

    0
  • N

    Manda as informações da fase 1.

    0

  • Segue print Fase1

    Grato.


    0
  • N

    Confirma se o lado do cliente está usando o PFS key Group na fase 2. Na sua conf está off.

    0

  • Oi neo_X bom dia,

    Sim deve estar como OFF mesmo, se eu mudar para o grupo 1,2 ou 3 ele não conecta.

    Grato.

    0
  • N

    Olá Márcio,

    Normalmente eu habilito essa opção.  Bom vamos lá, a VPN está fechada agora? Na interface IPSEC tem regra liberando o acesso? Em Diagnostics: Packet Capture consegue capturar algum pacote via IpSec?

    0

  • Márcio, veja se na console, aparece uma interface nova quando o tunel está estabelecido.

    Se aparecer, rode o tcpdump nela para ver como os pacotes estão saindo do seu firewall.

    Depois que tiver esta informação, passe para o responsável da ponta remota para ver se a regra que ele criou contempla o ip de saída que você está usando.

    0

  • Obrigado por responderem,
    Marcelo, com a na console só aparece as duas interfaces Wan e Lan,

    ipsec
    racoon IPsec VPN status  Running
    Status Ativo

    No ifconfig -a
    Só aparce as duas Wan e Lan.

    Dando um telnet com o tcpdump -ni em1 host 192.168.5.173

    [2.1.3-RELEASE][admin@cerberus]/root(4): tcpdump -ni em1 host 192.168.5.173
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
    16:13:44.254615 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    16:13:50.252556 IP 192.168.1.50.34372 > 192.168.5.173.80: Flags ~~, seq 162296854, win 65535, options [mss 1460,nop,nop,sackOK], length 0

    Obs: Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?~~~~

    0

  • A minha regra da interface ipsec
    IPv4 TCP * * * * * none

    0

  • @Márcio:

    Marcelo, com a na console só aparece as duas interfaces Wan e Lan,

    Tem certeza que não tem uma interface gif0 por exemplo  ????

    @Márcio:

    Devo criar um ip vitual da rede 192.168.26.0/24 no pfsense?

    Sem saber o que está passando no túnel, eu não recomendo você acrescentar nenhuma configuração.

    0
  • N

    @Márcio:

    A minha regra da interface ipsec
    IPv4 TCP * * * * * none

    Coloque
    IPv4 any * * * * * none

    Não precisa criar alias para essa rede.

    0

  • Marcelo,
    Será isso?

    plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
    enc0: flags=41 <up,running>metric 0 mtu 1536</up,running></pointopoint,simplex,multicast>

    0

  • Olá pessoal,

    Obrigado por tudo, consegui fechar a conexão com o cliente.

    Era configuração do lado dele, não estava permitindo o trafico entre as redes.  :o

    Mais uma vez muito obrigado a vocês.
    ;D

    0
  • N

    Que bom que deu certo. É muito difícil analisar um problema como este,  principalmente quando não temos as informações do outro lado.

    Pelo menos você aprendeu e viu que é super fácil a configuração.

    0

  • Pois é, e bem fácil a configuração.
    Eu estou conhecendo agora o pFsense, estou com ele à 6 meses e confesso que estou gostando muito.

    Vou montar um laboratório e brincar bastante com ele e vou também tentar implantar o Squid3-dev + Squidguard para o bloqueio ssl.

    Mais uma vez muito obrigado pela ajuda de vocês.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy