[Resolvido] Ipsec com rede alternativa

machadomall

Olá pessoal,

Eu estou na seguinte situação, eu tenho que criar uma conexão vpn com o nosso cliente, onde eu tenho que conectar a ele.
Estou usando o IpSec no pFsense 2.0.2, tenho a minha rede local e tive que criar uma nova rede exigida pelo cliente.
A conexão vpn do IpSec esta fechada, mas a minha que criei que o cliente pediu não consegue nenhum acesso que via porta 80 que é a única liberado pelo cliente.

Minha rede padrão no pfsense rede local: 192.168.1.0/24
Segunda rede criada para a vpn: 192.168.26.0/24, essa rede não consegue o acesso a serviço de webservice do cliente.

Tem alguma configuração ou regras que eu preciso criar no pfsense para essa rede 192.168.26.0/24?

Grato.

lucaspolli

consegue pingar o ip remoto?

machadomall

Bom dia,
Eu só consigo fechar porta via telnet na 80, as regras do cliente não aceita icmp. Isso fica muito complicado de testar.

lucaspolli

o que diz o log do ipsec? as rotas estao ok?

machadomall

No IpSec esta ok aparentimente.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
May 5 09:40:05 racoon: INFO: begin Identity Protection mode.
May 5 09:40:05 racoon: [VPN_Homologacao]: INFO: ISAKMP-SA established xxx.xxx.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:d3af2941b8dd34f9:d7e95ff5155bf682
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: initiate new phase 2 negotiation: xxx.xxx.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=35364167(0x21b9d47)
May 5 09:40:06 racoon: [VPN_Homologacao]: INFO: IPsec-SA established: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=3936460370(0xeaa19e52)

A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

lucaspolli

@machadomall:

A rota que você quer dizer é entre Minha  rede local: 192.168.1.0/24 para a rede da vpn: 192.168.26.0/24?

sim.. ja tentou um tcpdump? sua conexao nao parece ter problemas.. pode ser a ponta remota..

machadomall

Tcpdump nas duas interfaces para o host do cliente do outro lado da ponta vpn.

host do cliente: 192.168.5.173
em1 = lan
[2.0.2-RELEASE][root@firewall]/(31): tcpdump -ni em1 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes

em0 = wan
[2.0.2-RELEASE][root@firewall]/(30): tcpdump -ni em0 host 192.168.5.173
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

neo_X

Olá Machado,

Essa nova rede que o cliente solicitou é por que ele já possui uma rede igual a da sua LAN?

machadomall

Isso mesmo.

machadomall

Tentando dar um Telnet no ip do cliente na porta 80.

[2.0.2-RELEASE][root@firewall]/(51): tcpdump -i em1 host 192.168.5.173  ###host do cliente da outra ponta####
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
11:34:48.040403 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
11:34:51.049875 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
11:34:57.066926 IP 192.168.26.50.23874 > 192.168.5.173.http: Flags , seq 1106851181, win 8192, options [mss 1460,nop,nop,sackOK], length 0

lucaspolli

sua interface esta com Block private networks desmarcada?

machadomall

Sim, esta desmarcada.

neo_X

Você terá que "natear" sua VPN.

LAN 192.168.1.0/24 traduzir para 192.168.26.0/24  destino - Rede Cliente.

Essa opção tem na versão 2.1

machadomall

Bem, estou criando um ambiente de teste do pfsense da ultima versão.

Você tem algum print de exemplo dessa regra?

Obrigado.

neo_X

Olá Márcio, essa configuração é bem tranquila.  Na fase 2 você especifica:

Sua LAN: 192.168.1.0/24
Traduzir para: 192.168.26.0/24
Rede Destino:  LAN Cliente

No meu caso a rede 80.0 já tinha no data center, tive que usar outra rede 172.30 para acessar o outro lado.

machadomall

Obrigado Neo_X,
Fiz exatamente isso, mas, não consigo fechar posta da LAN: 192.168.1.0/24 e nem 192.168.26.0/24 para o server vpn do cliente 192.168.5.0/24.

Tentei fazer varias rotas das duas primeiras redes e nada.

Grato.

neo_X

O seu cliente configurou a rede de destino (que é a sua "nova rede") 192.168.26.0/24? Me passa as informações das confs e também o logs.

machadomall

Obrigado pela ajuda.
Segue prints anexo.

neo_X

As configurações do seu cliente estão iguais as configuradas nas fases  1 e 2 do seu firewall?

machadomall

Obrigado por responder,

Segundo o nosso cliente que estão sim corretas as configurações. (Server vpn do nosso cliente (Aker)

Quando configuro a fase 2  dessa forma,

LAN(local): 192.168.1.0/24
Traduzir para(vpn): 192.168.26.0/24
Rede Destino(cliente):  192.168.5.0/24

Dá:
racoon: [Unknown Gateway/Dynamic]: NOTIFY: no in-bound policy found: 192.168.5.0/24[0] 192.168.1.0/24[0] proto=any dir=in