[Resolvido] Ipsec com rede alternativa

machadomall · May 4, 2014, 8:05 PM

Olá pessoal,

Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.

Minha rede padrão no pfsense rede local: 192.168.1.0/24
Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.

Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?

Grato.

lucaspolli · May 5, 2014, 11:47 AM

consegue pingar o ip remoto?

machadomall · May 5, 2014, 12:20 PM

Bom dia,
Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar.

lucaspolli · May 5, 2014, 12:36 PM

o que diz o log do ipsec? as rotas estao ok?

machadomall · May 5, 2014, 12:51 PM

No IpSec esta ok aparentimente.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)

A rota que você quer dizer é entre Minha rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

lucaspolli · May 5, 2014, 12:55 PM

@machadomall:

A rota que você quer dizer é entre Minha rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..

machadomall · May 5, 2014, 1:57 PM

Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.

host do cliente: 192.168.5.173
em1 = lan
[2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes

em0 = wan
[2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

neo_X · May 5, 2014, 2:01 PM

Olá Machado,

Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?

machadomall · May 5, 2014, 2:04 PM

Isso mesmo.

machadomall · May 5, 2014, 2:36 PM

Tentando dar um Telnet no ip do cliente na porta 80.

[2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173 ###host do cliente da outra ponta####
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags ~~, seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0~~

lucaspolli · May 5, 2014, 2:42 PM

sua interface esta com Block private networks desmarcada?

machadomall · May 5, 2014, 2:47 PM

Sim, esta desmarcada.

neo_X · May 5, 2014, 3:24 PM

Você terá que "natear" sua VPN.

LAN 192.168.1.0/24 traduzir para 192.168.26.0/24 destino - Rede Cliente.

Essa opção tem na versão 2.1

machadomall · May 12, 2014, 3:10 PM

Bem, estou criando um ambiente de teste do pfsense da ultima versão.

Você tem algum print de exemplo dessa regra?

Obrigado.

neo_X · May 12, 2014, 7:11 PM

Olá Márcio, essa configuração é bem tranquila. Na fase 2 você especifica:

Sua LAN: 192.168.1.0/24
Traduzir para: 192.168.26.0/24
Rede Destino: LAN Cliente

No meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.

machadomall · May 19, 2014, 5:29 PM

Obrigado Neo_X,
Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.

Tentei fazer varias rotas das duas primeiras redes e nada.

Grato.

neo_X · May 19, 2014, 5:33 PM

O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.

machadomall · May 19, 2014, 5:51 PM

Obrigado pela ajuda.
Segue prints anexo.

neo_X · May 19, 2014, 6:02 PM

As configurações do seu cliente estão iguais as configuradas nas fases 1 e 2 do seu firewall?

machadomall · May 19, 2014, 6:48 PM

Obrigado por responder,

Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)

Quando configuro a fase 2 dessa forma,

LAN(local): 192.168.1.0/24
Traduzir para(vpn): 192.168.26.0/24
Rede Destino(cliente): 192.168.5.0/24

Dá:
racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in

![Rede Pfsense.png](/public/imported_attachments/1/Rede Pfsense.png)
![Rede Pfsense.png_thumb](/public/imported_attachments/1/Rede Pfsense.png_thumb)