IPSEC NAT/BINAT



  • hola josep,

    Cuando me dices que en network, coloque lo que desee que debo colocar si mi red local es 192.168.20.0/24 esta claro que solo pueden ingresar a la IPsec 14 equipos como saber cuales son los 14 equipos que ingresarian o que direccionamiento debe tener?



  • http://www.subnet-calculator.com/cidr.php

    192.168.20.0/28

    192.168.20.1 - 192.168.20.14



  • 192.168.20.16/28

    192.168.20.17 - 192.168.20.30

    Etcétera.



  • josep esto ya lo hice y los tuneles no me estan levantando



  • te comento,

    resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba, pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

    y bueno tu mediras si lo de crear una vlan es valido.



  • @andres.rodriguez:

    resulta que hace poco mire un tutorial de como realizar una vlan pues para crear la red que el proveedor me dijo con la que tenia que llegar, la cree y pues en el apartade de phase 2 en local network coloque la vlan que cree reincie los servicios y puff funciona ya los 6 tuneles aparecen arriba

    Bueno, una VLAN es una subred más. Si puedes, pon el enlace del tutorial que miraste.

    , pero aun asi, no logro dar ping a los host remotos del proveedor, entonces lo que hago es hacer una traza y pues no se como detectar que si realmente esten saliendo por la VPN ipsec.

    En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.

    Ahora veo que en Documentación tenemos referenciado un tutorial que se acerca a lo que estás haciendo, https://forum.pfsense.org/index.php?topic=74282.0



  • Hola, que red es la que esta espeficando tu proveedor en la fase 2?



  • hola acriollo,

    la redo local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24



  • @bellera:

    En la imagen que me enviaste en privado pusiste una máscara 32 a la red remota. Eso quiere decir un único equipo.



  • @andres.rodriguez:

    la red local que especifica el proveedor en la phase 2 es 10.136.39.XX/48. pero mi red local es 192.168.XX.XX/24

    Será 28, no 48, pienso.



  • josep,

    en realidad me equivoque la red es /28 la que el proveedor me pide que tenga. pero igual tu me púedes ayudar a saber que es lo que esta pasando.



  • @bellera:

    Las máscaras de Local Network y In case you need NAT/BINAT on this network specify the address to be translated en fase 2 deben coincidir.

    Es un bug, https://redmine.pfsense.org/issues/3198



  • hola josep,

    como te decia por correo no me muetra una traza completa, solo me muetra el primer salto que es mi firewall el pfsense.



  • Buen dia josep,,

    Estamos realizando las pruebas, sobre la VPN, y necesitaria como saber que ip esta nateando segun la red con mascara/28.



  • Diagnostics: States

    Diagnostics: Command prompt

    pfctl -ss | egrep '(>.*>|<.*<)'
    

    Este comando permite ver todas las traducciones de ip/puerto en curso, https://forum.pfsense.org/index.php?topic=52687.msg282056#msg282056



  • estuve revisando estos comandos, pero no me arroja informacion clara, voy a tratar de explicarte a detalle lo que necesito.

    ej

    como te decia mi red es

    192.168.20.0/28 pero para alcanzar los servidor 10.170.39.228 del proveedor tengo que natearla por NAT/BINAT a la red 10.136.39.48/28 esto ya esta y funciona por que la IPSEC esta arriba.

    entonces las pruebas son las siguientes.

    estoy haciendo una traza o ping desde la ip 192.168.20.20.4 al servidor 10.170.39.228, aca lo que quiero saber es con que ip llega o que ip natea del rango 10.136.39.48/28 cuando intenta alcanzar ese servidor.

    si yo le digo al proveedor que las pruebas las estoy haciendo desde la 192.168.20.4 me va a decir que esa ip no la conoce y que por eso tengo que natearla.

    no se si me hago entender.



  • Activar debug de IPsec, System: Advanced: Miscellaneous: IPsec Debug

    Ver qué pasa, Status: System logs: IPsec

    Postea resultados si no comprendes bien qué dicen…



  • estos son los resultados:

    Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 b2a9abed 0000005c b652fb8d 460158da 94a60dd3 1a2efb84 f0dce8de a393485f 1ce55260 0c5932ac b4204104 3bd72844 47b29c7b 360ab30c 38e058e3 1270bcae 0f029f72 24abad4b
    Jul 11 14:47:27 	racoon: DEBUG: sendto Information notify.
    Jul 11 14:47:27 	racoon: DEBUG: IV freed
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: DPD R-U-There sent (0)
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: rescheduling send_r_u (5).
    Jul 11 14:47:27 	racoon: DEBUG: ===
    Jul 11 14:47:27 	racoon: DEBUG: 84 bytes message received from 200.32.82.AAA[500] to 190.85.197.XXX[500]
    Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 a3c0a686 00000054 1aa5f1da 52a6a444 fdebab95 6fbd8fc1 266b4c18 8d5b8987 d8a55da0 f6374552 e360d812 8b112220 c44ab5bd 818fc8ab c971ece9 b218cfeb
    Jul 11 14:47:27 	racoon: DEBUG: receive Information.
    Jul 11 14:47:27 	racoon: DEBUG: compute IV for phase2
    Jul 11 14:47:27 	racoon: DEBUG: phase1 last IV:
    Jul 11 14:47:27 	racoon: DEBUG: b9f7ac2d da76534c a3c0a686
    Jul 11 14:47:27 	racoon: DEBUG: hash(sha1)
    Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
    Jul 11 14:47:27 	racoon: DEBUG: phase2 IV computed:
    Jul 11 14:47:27 	racoon: DEBUG: 8fa2b9eb 391c6bec
    Jul 11 14:47:27 	racoon: DEBUG: begin decryption.
    Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
    Jul 11 14:47:27 	racoon: DEBUG: IV was saved for next processing:
    Jul 11 14:47:27 	racoon: DEBUG: c971ece9 b218cfeb
    Jul 11 14:47:27 	racoon: DEBUG: encryption(3des)
    Jul 11 14:47:27 	racoon: DEBUG: with key:
    Jul 11 14:47:27 	racoon: DEBUG: 91abe98d 3d3cb900 7ad62da2 5c80467a d746b625 ff39e30b
    Jul 11 14:47:27 	racoon: DEBUG: decrypted payload by IV:
    Jul 11 14:47:27 	racoon: DEBUG: 8fa2b9eb 391c6bec
    Jul 11 14:47:27 	racoon: DEBUG: decrypted payload, but not trimed.
    Jul 11 14:47:27 	racoon: DEBUG: 0b000018 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
    Jul 11 14:47:27 	racoon: DEBUG: padding len=179
    Jul 11 14:47:27 	racoon: DEBUG: skip to trim padding.
    Jul 11 14:47:27 	racoon: DEBUG: decrypted.
    Jul 11 14:47:27 	racoon: DEBUG: b0968f73 ba12284f 1d4ae0c3 66cb5aab 08100501 a3c0a686 00000054 0b000018 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
    Jul 11 14:47:27 	racoon: DEBUG: IV freed
    Jul 11 14:47:27 	racoon: DEBUG: HASH with:
    Jul 11 14:47:27 	racoon: DEBUG: a3c0a686 00000020 00000001 01108d29 b0968f73 ba12284f 1d4ae0c3 66cb5aab 000001b2
    Jul 11 14:47:27 	racoon: DEBUG: hmac(hmac_sha1)
    Jul 11 14:47:27 	racoon: DEBUG: HASH computed:
    Jul 11 14:47:27 	racoon: DEBUG: 4ddd4dbe 707b34df c9c829b8 5e0a9b97 3df6ca70
    Jul 11 14:47:27 	racoon: DEBUG: hash validated.
    Jul 11 14:47:27 	racoon: DEBUG: begin.
    Jul 11 14:47:27 	racoon: DEBUG: seen nptype=8(hash)
    Jul 11 14:47:27 	racoon: DEBUG: seen nptype=11(notify)
    Jul 11 14:47:27 	racoon: DEBUG: succeed.
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: DPD R-U-There-Ack received
    Jul 11 14:47:27 	racoon: [MetLife Colombia Colombia]: [200.32.82.AAA] DEBUG: received an R-U-THERE-ACK
    


  • Desgraciadamente eso sólo parece informar del establecimiento del túnel. ¿Probaste a pinguear a ver si el debug de racoon dice algo más?

    Si hay dudas sobre si el NAT/BINAT funciona adecuadamente te propongo hagas un montaje provisional con una LAN que tenga el rango de máscara 28 que te solicita el proveedor y pruebes.

    Sería la forma de comprobar que IPsec te funciona en condiciones "normales", sin NAT/BINAT.



  • el debug que te envie, se genero en el momento que tenia un ping sostenido a la ip de destino, pero no se logra ver nada, entonces realizare la emulacion de una red con la que me solicita el proveedor y te comento.


Log in to reply