IPSEC NAT/BINAT



  • Foristas buen día

    El problema es este.

    Estoy montando una IPsec con un proveedor de nosotros, pero el nos envía una red con mascara /28 y me comenta que tenemos que natear mi red LAN que es mascara /24 a la red que el me envía para que los túneles levanten. esto ya lo hice en el apartado NAT/BINAT, pero no esta funcionando, estuve leyendo en varios foros y me dicen que la red que nateo debe tener el mismo tamaño de mascara que mi LAN, pero pues el proveedor no la va a cambiar entonces no se que hacer.

    gracias por todo el apoyo que me puedan brindar para solucionarlo, puesto que este firewall esta en producción y necesito solucionarlo de hoy a mañana.

    gracias.



  • Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.



  • Selecciona Network en tu primer casillero y pon lo que desees. Pero no todos tus equipos en LAN tendrán acceso por IPSEC.

    Pienso que tu proveedor te está diciendo que te limita el número de equipos que puedes conectar. Con máscara 28 sólo 14 equipos.



  • hola josep,

    Cuando me dices que en network, coloque lo que desee que debo colocar si mi red local es 192.168.20.0/24 esta claro que solo pueden ingresar a la IPsec 14 equipos como saber cuales son los 14 equipos que ingresarian o que direccionamiento debe tener?



  • http://www.subnet-calculator.com/cidr.php

    192.168.20.0/28

    192.168.20.1 - 192.168.20.14



  • 192.168.20.16/28

    192.168.20.17 - 192.168.20.30

    Etcétera.



  • josep esto ya lo hice y los tuneles no me estan levantando



  • te comento,

    resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

    y bueno tu mediras si lo de crear una vlan es valido.



  • @andres.rodriguez:

    resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba

    Bueno, una VLAN es una subred más. Si puedes, pon el enlace del tutorial que miraste.

    , pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

    En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

    Ahora veo que en Documentación tenemos referenciado un tutorial que se acerca a lo que estás haciendo, https://forum.pfsense.org/index.php?topic=74282.0



  • Hola, que red es la que esta espeficando tu proveedor en la fase 2?



  • hola acriollo,

    la redo local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24



  • @bellera:

    En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.



  • @andres.rodriguez:

    la red local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

    Será 28, no 48, pienso.



  • josep,

    en realidad me equivoque la red es /28 la que el proveedor me pide que tenga. pero igual tu me púedes ayudar a saber que es lo que esta pasando.



  • @bellera:

    Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

    Es un bug, https://redmine.pfsense.org/issues/3198



  • hola josep,

    como te decia por correo no me muetra una traza completa, solo me muetra el primer salto que es mi firewall el pfsense.



  • Buen dia josep,,

    Estamos realizando las pruebas, sobre la VPN, y necesitaria como saber que ip esta nateando segun la red con mascara/28.



  • Diagnostics: States

    Diagnostics: Command prompt

    pfctl -ss | egrep '(>.*>|<.*<)'
    

    Este comando permite ver todas las traducciones de ip/puerto en curso, https://forum.pfsense.org/index.php?topic=52687.msg282056#msg282056



  • estuve revisando estos comandos, pero no me arroja informacion clara, voy a tratar de explicarte a detalle lo que necesito.

    ej

    como te decia mi red es

    192.168.20.0/28 pero para alcanzar los servidor 10.170.39.228 del proveedor tengo que natearla por NAT/BINAT a la red 10.136.39.48/28 esto ya esta y funciona por que la IPSEC esta arriba.

    entonces las pruebas son las siguientes.

    estoy haciendo una traza o ping desde la ip 192.168.20.20.4 al servidor 10.170.39.228, aca lo que quiero saber es con que ip llega o que ip natea del rango 10.136.39.48/28 cuando intenta alcanzar ese servidor.

    si yo le digo al proveedor que las pruebas las estoy haciendo desde la 192.168.20.4 me va a decir que esa ip no la conoce y que por eso tengo que natearla.

    no se si me hago entender.



  • Activar debug de IPsec, System: Advanced: Miscellaneous: IPsec Debug

    Ver qué pasa, Status: System logs: IPsec

    Postea resultados si no comprendes bien qué dicen…



  • estos son los resultados:

    Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 b2a9abed 0000005c b652fb8d 460158da 94a60dd3 1a2efb84 f0dce8de a393485f 1ce55260 0c5932ac b4204104 3bd72844 47b29c7b 360ab30c 38e058e3 1270bcae 0f029f72 24abad4b
    Jul 11 14:47:27 	racoon: DEBUG: sendto Information notify.
    Jul 11 14:47:27 	racoon: DEBUG: IV freed
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: DPD R-U-There sent (0)
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: rescheduling send_r_u (5).
    Jul 11 14:47:27 	racoon: DEBUG: ===
    Jul 11 14:47:27 	racoon: DEBUG: 84 bytes message received from 200.32.82.AAA[500] to 190.85.197.XXX[500]
    Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 a3c0a686 00000054 1aa5f1da 52a6a444 fdebab95 6fbd8fc1 266b4c18 8d5b8987 d8a55da0 f6374552 e360d812 8b112220 c44ab5bd 818fc8ab c971ece9 b218cfeb
    Jul 11 14:47:27 	racoon: DEBUG: receive Information.
    Jul 11 14:47:27 	racoon: DEBUG: compute IV for phase2
    Jul 11 14:47:27 	racoon: DEBUG: phase1 last IV:
    Jul 11 14:47:27 	racoon: DEBUG: b9f7ac2d da76534c a3c0a686
    Jul 11 14:47:27 	racoon: DEBUG: hash(sha1)
    Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
    Jul 11 14:47:27 	racoon: DEBUG: phase2 IV computed:
    Jul 11 14:47:27 	racoon: DEBUG: 8fa2b9eb 391c6bec
    Jul 11 14:47:27 	racoon: DEBUG: begin decryption.
    Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
    Jul 11 14:47:27 	racoon: DEBUG: IV was saved for next processing:
    Jul 11 14:47:27 	racoon: DEBUG: c971ece9 b218cfeb
    Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
    Jul 11 14:47:27 	racoon: DEBUG: with key:
    Jul 11 14:47:27 	racoon: DEBUG: 91abe98d 3d3cb900 7ad62da2 5c80467a d746b625 ff39e30b
    Jul 11 14:47:27 	racoon: DEBUG: decrypted payload by IV:
    Jul 11 14:47:27 	racoon: DEBUG: 8fa2b9eb 391c6bec
    Jul 11 14:47:27 	racoon: DEBUG: decrypted payload, but not trimed.
    Jul 11 14:47:27 	racoon: DEBUG: 0b000018 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
    Jul 11 14:47:27 	racoon: DEBUG: padding len=179
    Jul 11 14:47:27 	racoon: DEBUG: skip to trim padding.
    Jul 11 14:47:27 	racoon: DEBUG: decrypted.
    Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 a3c0a686 00000054 0b000018 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
    Jul 11 14:47:27 	racoon: DEBUG: IV freed
    Jul 11 14:47:27 	racoon: DEBUG: HASH with:
    Jul 11 14:47:27 	racoon: DEBUG: a3c0a686 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
    Jul 11 14:47:27 	racoon: DEBUG: hmac(hmac_sha1)
    Jul 11 14:47:27 	racoon: DEBUG: HASH computed:
    Jul 11 14:47:27 	racoon: DEBUG: 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70
    Jul 11 14:47:27 	racoon: DEBUG: hash validated.
    Jul 11 14:47:27 	racoon: DEBUG: begin.
    Jul 11 14:47:27 	racoon: DEBUG: seen nptype=8(hash)
    Jul 11 14:47:27 	racoon: DEBUG: seen nptype=11(notify)
    Jul 11 14:47:27 	racoon: DEBUG: succeed.
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: DPD R-U-There-Ack received
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: received an R-U-THERE-ACK
    


  • Desgraciadamente eso sólo parece informar del establecimiento del túnel. ¿Probaste a pinguear a ver si el debug de racoon dice algo más?

    Si hay dudas sobre si el NAT/BINAT funciona adecuadamente te propongo hagas un montaje provisional con una LAN que tenga el rango de máscara 28 que te solicita el proveedor y pruebes.

    Sería la forma de comprobar que IPsec te funciona en condiciones "normales", sin NAT/BINAT.



  • el debug que te envie, se genero en el momento que tenia un ping sostenido a la ip de destino, pero no se logra ver nada, entonces realizare la emulacion de una red con la que me solicita el proveedor y te comento.