IPSEC com RSA



  • Como fazer para fechar site to site com certificado usando IPSEC?
    eu fiz os certificados em uma das pontas mais não consigo importar para a outra como faz para importar ele?

    Obrigado



  • Amigo desapega um pouco do português…. rsrrs

    de uma olha nesse poste gringo

    https://forum.pfsense.org/index.php?topic=47106.0



  • olá eu tinha visto já este post mais não estou conseguindo subir o ipsec site to site. Com ips de mentira eu consigo fazer tudo so quando eu coloco dyndns os hosts não se comunicam.
    eu faço a mesma config só mudo os hosts para dyn e nada.



  • Boa tarde Hoje consegui fazer o ipsec fechar conexão tanto com dyndns como com ip fixo estou com alguns ips liberados e resolvi testar o ipsec. O problema que os pfsense conversão normalmente pinga um no outro belezinha so que não consigo pingar em nenhuma maquina da rede. Já fiz várias liberaçoes de firewall e nada não passa. o que poderia estar errando?

    fiz um tcpdump e parece estar comunicando

    08:42:02.855052 IP 172.17.0.10 > 172.16.0.10: ICMP echo request, id 1, seq 10210, length 40
    08:42:06.043192 IP 172.16.0.10 > 172.17.0.10: ICMP echo request, id 1, seq 23413, length 40
    08:42:07.855108 IP 172.17.0.10 > 172.16.0.10: ICMP echo request, id 1, seq 10211, length 40
    08:42:11.042555 IP 172.16.0.10 > 172.17.0.10: ICMP echo request, id 1, seq 23414, length 40
    
    


  • passei pelo mesmo problema, na época nao tinha tempo para tentar resolver, acabei desistindo e usando openvpn



  • o problema que precisa ser em IPsec =(, se fosse por Openvpn já tava resolvido.

    não sei quantas configurações diferentes e tutorias eu já fiz, li muito conteúdo estou a 1 semana fazendo configurações diferentes com vários ips, maquinas, redes e versões de pfSense diferentes.

    não sei onde está o problema. o tcpdump mostra que está comunicando mais não passa.

    minha config está assim quem puder me ajudar desde já agradeço.

    REDE:
    PC – pfSense01 -- internet -- pfsense02 -- PC

    IPS
    172.16.0.10 -- 200.x.x.x -- internet -- 200.x.x.x - 172.17.0.10

    os pings só funcionam quando mando  para as lans dos pfsenses só pinga 172.16.0.1 e 172.17.0.1.

    Uso 2 ips públicos para essa configuração mas mesmo assim nada
    Já fiz com ip privado e nada também
    Já fiz de ip público para ip dinamico e nada
    unica coisa que consigo é feixar o túnel
    todas as maquinas pingam nos ips lan do pfsense tanto local como externo mais fora desse ip não pingam em nada máquina não enxerga máquina.
    estou fazendo videos para lembrar de tudo que já fiz até que o túnel funcione. Se caso resolver vou montar um tuto pra galera, mais por enquanto estou com esse problema. Alguém teria uma luz?
    tem algum problema de fazer o túnel com ip público de mesmo gateway?
    Lembrando todos são pcs não tem nada virtualizado



  • nao lembro ao certo, o ipsec gera uma interface virtual? tipo a vlan? se gerar pode tentar uma bridge entre a interface do ipsec e a lan..



  • Olá Lucas não gera.

    será que pode ser algo de firewall alguma config que eu estou errando.
    na guia firewall>rules>IPsec está tudo any
    em firewall>rules>wan tem as regra para a porta 500 e 4500.
    em ambos pfsenses
    será que tem que fazer alguma regra a mais?



  • acredito que deve ser rotas… ao fechar o ipsec a rota entre os servers é criada.. porem entre o ipsec e a lan nao.. tente verificar isso..



  • Descobri o problema cara não acredito até agora que era isso como que pode, era o firewall do windows bloqueando a rede, fico tão cego em configurações no pfSense que esqueço desses detalhes não da pra acreditar que era isso. Agora vou fazer do zero os firewalls para deixar só o padrão, Obrigado pela ajuda Lucas



  • Meu tunel estava funcionando beleza agora ele parou de funcionar e dá esse erro

    | Oct 19 03:56:01 racoon: ERROR: 44744:error:26078067:engine routines:ENGINE_LIST_ADD:conflicting engine id:eng_list.c:116: 44744:error:2606906E:engine routines:ENGINE_add:internal list error:eng_list.c:288:
    Oct 19 03:56:01 racoon: ERROR: failed to get subjectAltName
    Oct 19 03:56:01 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Oct 19 03:56:01 racoon: INFO: received Vendor ID: DPD
    Oct 19 03:56:01 racoon: ERROR: no peer's CERT payload found.
    Oct 19 03:56:01 racoon: ERROR: 44744:error:26078067:engine routines:ENGINE_LIST_ADD:conflicting engine id:eng_list.c:116: 44744:error:2606906E:engine routines:ENGINE_add:internal list error:eng_list.c:288:
    Oct 19 03:56:01 racoon: ERROR: failed to get subjectAltName
    Oct 19 03:56:01 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Oct 19 03:56:01 racoon: INFO: received Vendor ID: DPD
    Oct 19 03:56:01 racoon: ERROR: no peer's CERT payload found.
    Oct 19 03:56:02 racoon: []: [10.0.0.201] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 10.0.0.201[0]->10.0.0.202[0]
    Oct 19 03:56:02 racoon: INFO: delete phase 2 handler.
    Oct 19 03:56:11 racoon: ERROR: 44744:error:26078067:engine routines:ENGINE_LIST_ADD:conflicting engine id:eng_list.c:116: 44744:error:2606906E:engine routines:ENGINE_add:internal list error:eng_list.c:288:
    Oct 19 03:56:11 racoon: ERROR: failed to get subjectAltName
    Oct 19 03:56:11 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Oct 19 03:56:11 racoon: INFO: received Vendor ID: DPD
    Oct 19 03:56:11 racoon: ERROR: no peer's CERT payload found.
    Oct 19 03:56:11 racoon: ERROR: 44744:error:26078067:engine routines:ENGINE_LIST_ADD:conflicting engine id:eng_list.c:116: 44744:error:2606906E:engine routines:ENGINE_add:internal list error:eng_list.c:288:
    Oct 19 03:56:11 racoon: ERROR: failed to get subjectAltName
    Oct 19 03:56:11 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Oct 19 03:56:11 racoon: INFO: received Vendor ID: DPD
    Oct 19 03:56:11 racoon: ERROR: no peer's CERT payload found.
    Oct 19 03:56:12 racoon: []: [10.0.0.201] INFO: request for establishing IPsec-SA was queued due to no phase1 found. |

    o que pode ser quando coloco ele me PSK funciona normal com rsa começa a dar erro e não conecta mais.


Log in to reply