Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema Rota VPN Site to Site IPSEC

    Scheduled Pinned Locked Moved Portuguese
    6 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mmm
      last edited by

      Prezados,

      Sou novo aqui no fórum mais trabalho com pfsense a pouco tempo. Estou com um problema de roteamento, vou tentar ser o mais claro
      possível quanto este caso:

      Tenho um cliente que vamos chamar ele de Matriz ok? Pois é o cliente que está a fornecer o serviço de VPN site to site através de IP sec. Eu sou o Remote Partner
      Esse cliente me passou as seguintes configurações:

      Com as informações por eles passadas iniciei a fase1:

      Realizei a configuração da Fase2:

      E o resultado foi a conexão, a VPN está estabelecida:

      O meu problema:

      -O meu firewall (Pfsense) está na rede 192.168.20.0/24
      -Eles liberaram para Tráfego de vpn a Rede 192.168.191.64/29 então fiz um NAT na Fase2 está correto?
      -A rede deles é 172.25.96.0/22
      -Porque eu não consigo pingar nenhum host da rede 172.25.96.0?
      -Detalhe eu fui em Firewall>Rules e em IPsec e criei as regras:
      Proto Source Port Destination Port Gateway Queue Schedule Description
      IPv4 ICMP * * * * * none     ipsec
      IPv4 * * * * * * none Libera_Site_Site

      E mesmo assim continuo não pigando nenhum endereço da 172.

      Será que alguém pode me dar alguma luz? O que mais está faltando liberar? Alguma regra?

      Muito Obrigado

      1 Reply Last reply Reply Quote 0
      • M
        mmm
        last edited by

        Ninguém pra dar uma luz no fim do túnel?

        1 Reply Last reply Reply Quote 0
        • R
          rafaelss
          last edited by

          Gostaria de poder ajudar, mas estou aqui na rebarba pra aprender também porque o assunto me interessa.

          Quero fechar uma VPN pra interligar acesso entre matriz e filial.

          1 Reply Last reply Reply Quote 0
          • L
            LFCavalcanti
            last edited by

            Vamos lá…

            Se eu entendi a sua subrede local é a 192.168.20.0/24 e a remota deles a 172.25.96.0/22.

            Minhas recomendações:
            1 - Não use SHA1 como HASH, não é mais seguro, mas se não houver opção ok, só uma sugestão.
            2 - Só habilite DPD na Fase 1 se do outro lado o dispositivo suporta a função e também está ativada.
            3 - Na Fase 2 do seu pfSense você tem duas criptografias ativadas, AES128 e AES128-GCM, deixe só AES128 a não ser que a matriz tenha especificado.
            4 - Na Fase 2, se a sua subrede estiver na interface LAN do pfSense não é preciso especifica-la novamente.

            Se essas mudanças não surtirem resultado, melhor postar o LOG do IPSec aqui.

            –

            Luiz Fernando Cavalcanti
            IT Manager
            Arriviera Technology Group

            1 Reply Last reply Reply Quote 0
            • M
              mmm
              last edited by

              Felipe tudo bem?

              Isso mesmo, a minha rede é 192.168.20.0/24 e a remota deles 172.25.96.0/22 e eles pediram para fazer um nat em 192.168.191.64/29.
              Cara eu realizei as recomendações mais mesmo assim sem nenhum efeito.

              Segue o log do ipsec:
              Last 50 IPsec log entries
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1001{665} with SPIs cfc8b5bf_i (0 bytes) c77833e1_o (0 bytes) and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI cfc8b5bf
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI cfc8b5bf
              Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 2961096954 [ HASH D ]
              Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1000{668} with SPIs ce8061ff_i (0 bytes) e818ac8e_o (0 bytes) and TS 192.168.191.64/29|192.168.188.0/22 === 10.101.4.0/22|/0
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1000{668} with SPIs ce8061ff_i (0 bytes) e818ac8e_o (0 bytes) and TS 192.168.191.64/29|192.168.188.0/22 === 10.101.4.0/22|/0
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI ce8061ff
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI ce8061ff
              Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 2685326949 [ HASH D ]
              Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>deleting IKE_SA con1000[37] between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>deleting IKE_SA con1000[37] between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for IKE_SA con1000[37]
              Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for IKE_SA con1000[37]
              Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 1185124002 [ HASH D ]
              Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (92 bytes)
              Dec 1 15:47:37 charon: 06[CFG] received stroke: terminate 'con1000'
              Dec 1 15:47:37 charon: 06[CFG] no IKE_SA named 'con1000' found
              Dec 1 15:47:37 charon: 09[CFG] received stroke: initiate 'con1000'
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>initiating Main Mode IKE_SA con1000[38] to 200.250.232.233
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>initiating Main Mode IKE_SA con1000[38] to 200.250.232.233
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ SA V V V V V V ]
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (200 bytes)
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (104 bytes)
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ SA V ]
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>received FRAGMENTATION vendor ID
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>received FRAGMENTATION vendor ID
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ KE No ]
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (196 bytes)
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (184 bytes)
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ KE No ]
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ ID HASH ]
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (76 bytes)
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ ID HASH ]
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>IKE_SA con1000[38] established between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>IKE_SA con1000[38] established between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>scheduling reauthentication in 28009s
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>scheduling reauthentication in 28009s
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>maximum IKE_SA lifetime 28549s
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>maximum IKE_SA lifetime 28549s
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating QUICK_MODE request 1461502246 [ HASH SA No ID ID ]
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (188 bytes)
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (172 bytes)
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed QUICK_MODE response 1461502246 [ HASH SA No ID ID ]
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>CHILD_SA con1000{671} established with SPIs c3447cda_i 8f9c31ea_o and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
              Dec 1 15:47:37 charon: 06[IKE] <con1000|38>CHILD_SA con1000{671} established with SPIs c3447cda_i 8f9c31ea_o and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
              Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating QUICK_MODE request 1461502246 [ HASH ]
              Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (60 bytes)

              Tracert para o IP de destino:
              Tracing route to 172.25.104.75 over a maximum of 30 hops

              1    <1 ms    <1 ms    <1 ms  192.168.20.1
                2    1 ms    1 ms    1 ms  gvt-b-sr02.spo.gvt.net.br [189.59.241.160]
                3    2 ms    1 ms    1 ms  gvt-be-1.rd21.spo.gvt.net.br [187.115.223.51]
                4    *        *        *    Request timed out.
                5    *        *        *    Request timed out.

              Valeu pela força, mais to perdidinho não sei pq não consigo atingir o outro lado.</con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37>

              1 Reply Last reply Reply Quote 0
              • M
                mmm
                last edited by

                UP!!!!

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.