Problema Rota VPN Site to Site IPSEC



  • Prezados,

    Sou novo aqui no fórum mais trabalho com pfsense a pouco tempo. Estou com um problema de roteamento, vou tentar ser o mais claro
    possível quanto este caso:

    Tenho um cliente que vamos chamar ele de Matriz ok? Pois é o cliente que está a fornecer o serviço de VPN site to site através de IP sec. Eu sou o Remote Partner
    Esse cliente me passou as seguintes configurações:

    Com as informações por eles passadas iniciei a fase1:

    Realizei a configuração da Fase2:

    E o resultado foi a conexão, a VPN está estabelecida:

    O meu problema:

    -O meu firewall (Pfsense) está na rede 192.168.20.0/24
    -Eles liberaram para Tráfego de vpn a Rede 192.168.191.64/29 então fiz um NAT na Fase2 está correto?
    -A rede deles é 172.25.96.0/22
    -Porque eu não consigo pingar nenhum host da rede 172.25.96.0?
    -Detalhe eu fui em Firewall>Rules e em IPsec e criei as regras:
    Proto Source Port Destination Port Gateway Queue Schedule Description
    IPv4 ICMP * * * * * none     ipsec
    IPv4 * * * * * * none Libera_Site_Site

    E mesmo assim continuo não pigando nenhum endereço da 172.

    Será que alguém pode me dar alguma luz? O que mais está faltando liberar? Alguma regra?

    Muito Obrigado



  • Ninguém pra dar uma luz no fim do túnel?



  • Gostaria de poder ajudar, mas estou aqui na rebarba pra aprender também porque o assunto me interessa.

    Quero fechar uma VPN pra interligar acesso entre matriz e filial.



  • Vamos lá…

    Se eu entendi a sua subrede local é a 192.168.20.0/24 e a remota deles a 172.25.96.0/22.

    Minhas recomendações:
    1 - Não use SHA1 como HASH, não é mais seguro, mas se não houver opção ok, só uma sugestão.
    2 - Só habilite DPD na Fase 1 se do outro lado o dispositivo suporta a função e também está ativada.
    3 - Na Fase 2 do seu pfSense você tem duas criptografias ativadas, AES128 e AES128-GCM, deixe só AES128 a não ser que a matriz tenha especificado.
    4 - Na Fase 2, se a sua subrede estiver na interface LAN do pfSense não é preciso especifica-la novamente.

    Se essas mudanças não surtirem resultado, melhor postar o LOG do IPSec aqui.



  • Felipe tudo bem?

    Isso mesmo, a minha rede é 192.168.20.0/24 e a remota deles 172.25.96.0/22 e eles pediram para fazer um nat em 192.168.191.64/29.
    Cara eu realizei as recomendações mais mesmo assim sem nenhum efeito.

    Segue o log do ipsec:
    Last 50 IPsec log entries
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1001{665} with SPIs cfc8b5bf_i (0 bytes) c77833e1_o (0 bytes) and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI cfc8b5bf
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI cfc8b5bf
    Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 2961096954 [ HASH D ]
    Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1000{668} with SPIs ce8061ff_i (0 bytes) e818ac8e_o (0 bytes) and TS 192.168.191.64/29|192.168.188.0/22 === 10.101.4.0/22|/0
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>closing CHILD_SA con1000{668} with SPIs ce8061ff_i (0 bytes) e818ac8e_o (0 bytes) and TS 192.168.191.64/29|192.168.188.0/22 === 10.101.4.0/22|/0
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI ce8061ff
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for ESP CHILD_SA with SPI ce8061ff
    Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 2685326949 [ HASH D ]
    Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>deleting IKE_SA con1000[37] between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>deleting IKE_SA con1000[37] between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for IKE_SA con1000[37]
    Dec 1 15:47:35 charon: 09[IKE] <con1000|37>sending DELETE for IKE_SA con1000[37]
    Dec 1 15:47:35 charon: 09[ENC] <con1000|37>generating INFORMATIONAL_V1 request 1185124002 [ HASH D ]
    Dec 1 15:47:35 charon: 09[NET] <con1000|37>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (92 bytes)
    Dec 1 15:47:37 charon: 06[CFG] received stroke: terminate 'con1000'
    Dec 1 15:47:37 charon: 06[CFG] no IKE_SA named 'con1000' found
    Dec 1 15:47:37 charon: 09[CFG] received stroke: initiate 'con1000'
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>initiating Main Mode IKE_SA con1000[38] to 200.250.232.233
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>initiating Main Mode IKE_SA con1000[38] to 200.250.232.233
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ SA V V V V V V ]
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (200 bytes)
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (104 bytes)
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ SA V ]
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>received FRAGMENTATION vendor ID
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>received FRAGMENTATION vendor ID
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ KE No ]
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (196 bytes)
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (184 bytes)
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ KE No ]
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating ID_PROT request 0 [ ID HASH ]
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (76 bytes)
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (76 bytes)
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed ID_PROT response 0 [ ID HASH ]
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>IKE_SA con1000[38] established between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>IKE_SA con1000[38] established between 191.34.73.249[191.34.73.249]…200.250.232.233[200.250.232.233]
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>scheduling reauthentication in 28009s
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>scheduling reauthentication in 28009s
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>maximum IKE_SA lifetime 28549s
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>maximum IKE_SA lifetime 28549s
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating QUICK_MODE request 1461502246 [ HASH SA No ID ID ]
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (188 bytes)
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>received packet: from 200.250.232.233[500] to 191.34.73.249[500] (172 bytes)
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>parsed QUICK_MODE response 1461502246 [ HASH SA No ID ID ]
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>CHILD_SA con1000{671} established with SPIs c3447cda_i 8f9c31ea_o and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
    Dec 1 15:47:37 charon: 06[IKE] <con1000|38>CHILD_SA con1000{671} established with SPIs c3447cda_i 8f9c31ea_o and TS 192.168.191.64/29|192.168.20.0/24 === 172.25.96.0/22|/0
    Dec 1 15:47:37 charon: 06[ENC] <con1000|38>generating QUICK_MODE request 1461502246 [ HASH ]
    Dec 1 15:47:37 charon: 06[NET] <con1000|38>sending packet: from 191.34.73.249[500] to 200.250.232.233[500] (60 bytes)

    Tracert para o IP de destino:
    Tracing route to 172.25.104.75 over a maximum of 30 hops

    1    <1 ms    <1 ms    <1 ms  192.168.20.1
      2    1 ms    1 ms    1 ms  gvt-b-sr02.spo.gvt.net.br [189.59.241.160]
      3    2 ms    1 ms    1 ms  gvt-be-1.rd21.spo.gvt.net.br [187.115.223.51]
      4    *        *        *    Request timed out.
      5    *        *        *    Request timed out.

    Valeu pela força, mais to perdidinho não sei pq não consigo atingir o outro lado.</con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|38></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37></con1000|37>



  • UP!!!!


Log in to reply