IpSec PFsense



  • Boa tarde Galera,

    Tenha em uma empresa FortiGate que torna a comunicação com a fábrica para levantar um IPSec VPN, o servidor é o ponto de verificação e toda a conexão direita do fortegate. Só leva na mesma rede por pfsense criar uma conexão com esse servidor também posto de controle, onde uma conexão já foi feita de notas disponíveis para mim e IPsec configurações pfsense levantou normalmente.

    O problema é que quando testo para ver se comunica com o servidor não é o caso, já verificados e liberados todas as portas de firewall também. O que pode estar acontecendo para não ter comunicação entre pfsense eo servidor de ponto de verificação?

    Eu preciso de uma luz

    https://uploaddeimagens.com.br/imagens/imagem-jpg–884

    Para entender melhor o caso segue a imagem acima, onde rede FortiGate é trabalhar e não pfsense (IPS O acima são apena para demonstração)



  • Esse texto é do google translator? Tá bem confuso de entender….



  • Olá amigo,

    Desculpa vai o correto agora para entender:

    Tenho uma VPN com Fortegate Ipsec funcionando e estou criando um backup agora PfSense IPsec também. A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel. As redes estão no mesmo routeador só que IP fixos diferentes.

    O que pode ser que não tem trafico no tunnel ?

    Já foi feito a liberação do firewall

    Segue abaixo o Log:

    
    Jan 26 17:08:54	charon: 09[KNL] creating delete job for CHILD_SA ESP/0xf53fe87a/139.122.208.X
    Jan 26 17:08:54	charon: 13[KNL] creating delete job for CHILD_SA ESP/0xca6e25ac/201.56.216.X
    Jan 26 17:08:54	charon: 05[IKE] <con1000|1>closing expired CHILD_SA con1001{31} with SPIs ca6e25ac_i f53fe87a_o and TS 172.26.12.0/24|/0 === 10.33.50.0/24|/0
    Jan 26 17:08:54	charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI ca6e25ac: No such file or directory (2)
    Jan 26 17:08:54	charon: 06[JOB] CHILD_SA ESP/0xca6e25ac/201.56.216.X not found for delete
    Jan 26 17:08:54	charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI f53fe87a: No such file or directory (2)
    Jan 26 17:08:54	charon: 05[IKE] <con1000|1>sending DELETE for ESP CHILD_SA with SPI ca6e25ac
    Jan 26 17:08:54	charon: 05[ENC] <con1000|1>generating INFORMATIONAL_V1 request 1513429710 [ HASH D ]
    Jan 26 17:08:54	charon: 05[NET] <con1000|1>sending packet: from 201.56.216.X[500] to 139.122.208.X[500] (68 bytes)</con1000|1></con1000|1></con1000|1></con1000|1></con1000|1></con1000|1> 
    


  • @pauloleal:

    A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel.

    alguma estaçaõ está com o ip do pfsense como gateway?



  • Sim a maquina que estou fazendo os teste. Nem pelo proprio PFsense nao tem comunicação no tunel.

    Lembrando que o outro lado do servidor trabalha com checkpoint (não conheço)



  • Rode um tcpdump a partir da console/ssh na interface enc0.

    Provavelmente o checkpoint do outro lado tem a rota da sua rede apontada para o outro fw. Nesse caso os pacotes podem até chegar lá mas não voltam.



  • Olá amigo desculpa a demora mas dependo muita da outra ponta para fazer os teste. Fiz conforme você solicitou verifiquei do outro lado e realmente esta jogando só para uma VPN (Fortegate) os pacotes, então resolvi junto com a outra ponta criar uma nova classe na minha rede local (PFsense) que agora é 10.10.1.0/24 e pedi para o outro lado jogar as configurações da VPN para o essa classe de rede nova.

    Da mesma forma como antes, levanta a VPN mas não consigo comunicação do outro lado do servidor.

    Vou mandar algumas configurações de como está a VPN para vocês olharem e ver o que pode ser feito para me ajudar

    TCPDUMP

    
    16:27:10.786570 IP 201.56.216.X > 201.56.216.X: ICMP echo request, id 43306, seq 3586, length 44
    16:27:10.787255 IP 201.56.216.X > 201.56.216.X: ICMP echo reply, id 43306, seq 3586, length 44
    16:27:11.453217 IP 201.56.216.X > 192.168.1.2: ICMP echo request, id 51552, seq 1, length 64
    
    

    Protocolo do IPsec P1

    3DES / MD5
    Meu IP Externo > Gateway Remoto Servidor

    Protocolo do IPsec P2

    ESP / 3DES / SHA1
    Modo Tunnel
    Minha Rede Local  > Para Sub Rede Remota



  • Esse dump é da wan ou da enc0? Trm ips válidos e uma tentativa de ping para ip inválido.



  • O Dump e da Wan sim…

    Trm ips válidos e uma tentativa de ping para ip inválido.

    Não entendi sua questão de IP acima –^



  • Segue o Dump do Enc0

    tcpdump: WARNING: enc0: no IPv4 address assigned

    
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 65535 bytes
    10:25:01.058881 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 0, length 64
    10:25:02.085149 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 1, length 64
    10:25:03.122198 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 2, length 64
    10:25:04.130126 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 3, length 64
    10:25:05.135174 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 4, length 64
    10:25:06.145343 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 5, length 64
    10:25:07.161550 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 6, length 64
    10:25:08.195177 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 7, length 64
    10:25:09.208781 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 8, length 64
    10:25:10.232528 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 9, length 64
    
    


  • Esse mostra sua tentativa de ping dentro do tunel ipsec.

    Na minha opinião, ainda falta a outra ponta acertar as rotas do túnel.

    use o tcpdum sempre com o -n para mostrar somente ips e portas no lugar de hosts.