Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IpSec PFsense

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 2 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pauloleal
      last edited by

      Boa tarde Galera,

      Tenha em uma empresa FortiGate que torna a comunicação com a fábrica para levantar um IPSec VPN, o servidor é o ponto de verificação e toda a conexão direita do fortegate. Só leva na mesma rede por pfsense criar uma conexão com esse servidor também posto de controle, onde uma conexão já foi feita de notas disponíveis para mim e IPsec configurações pfsense levantou normalmente.

      O problema é que quando testo para ver se comunica com o servidor não é o caso, já verificados e liberados todas as portas de firewall também. O que pode estar acontecendo para não ter comunicação entre pfsense eo servidor de ponto de verificação?

      Eu preciso de uma luz

      https://uploaddeimagens.com.br/imagens/imagem-jpg–884

      Para entender melhor o caso segue a imagem acima, onde rede FortiGate é trabalhar e não pfsense (IPS O acima são apena para demonstração)

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Esse texto é do google translator? Tá bem confuso de entender….

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • P
          pauloleal
          last edited by

          Olá amigo,

          Desculpa vai o correto agora para entender:

          Tenho uma VPN com Fortegate Ipsec funcionando e estou criando um backup agora PfSense IPsec também. A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel. As redes estão no mesmo routeador só que IP fixos diferentes.

          O que pode ser que não tem trafico no tunnel ?

          Já foi feito a liberação do firewall

          Segue abaixo o Log:

          
          Jan 26 17:08:54	charon: 09[KNL] creating delete job for CHILD_SA ESP/0xf53fe87a/139.122.208.X
          Jan 26 17:08:54	charon: 13[KNL] creating delete job for CHILD_SA ESP/0xca6e25ac/201.56.216.X
          Jan 26 17:08:54	charon: 05[IKE] <con1000|1>closing expired CHILD_SA con1001{31} with SPIs ca6e25ac_i f53fe87a_o and TS 172.26.12.0/24|/0 === 10.33.50.0/24|/0
          Jan 26 17:08:54	charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI ca6e25ac: No such file or directory (2)
          Jan 26 17:08:54	charon: 06[JOB] CHILD_SA ESP/0xca6e25ac/201.56.216.X not found for delete
          Jan 26 17:08:54	charon: 05[KNL] <con1000|1>unable to delete SAD entry with SPI f53fe87a: No such file or directory (2)
          Jan 26 17:08:54	charon: 05[IKE] <con1000|1>sending DELETE for ESP CHILD_SA with SPI ca6e25ac
          Jan 26 17:08:54	charon: 05[ENC] <con1000|1>generating INFORMATIONAL_V1 request 1513429710 [ HASH D ]
          Jan 26 17:08:54	charon: 05[NET] <con1000|1>sending packet: from 201.56.216.X[500] to 139.122.208.X[500] (68 bytes)</con1000|1></con1000|1></con1000|1></con1000|1></con1000|1></con1000|1> 
          
          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            @pauloleal:

            A VPN do PFsense está levantada só que não tem comunicação entre matriz e filial no tunnel.

            alguma estaçaõ está com o ip do pfsense como gateway?

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • P
              pauloleal
              last edited by

              Sim a maquina que estou fazendo os teste. Nem pelo proprio PFsense nao tem comunicação no tunel.

              Lembrando que o outro lado do servidor trabalha com checkpoint (não conheço)

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                Rode um tcpdump a partir da console/ssh na interface enc0.

                Provavelmente o checkpoint do outro lado tem a rota da sua rede apontada para o outro fw. Nesse caso os pacotes podem até chegar lá mas não voltam.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • P
                  pauloleal
                  last edited by

                  Olá amigo desculpa a demora mas dependo muita da outra ponta para fazer os teste. Fiz conforme você solicitou verifiquei do outro lado e realmente esta jogando só para uma VPN (Fortegate) os pacotes, então resolvi junto com a outra ponta criar uma nova classe na minha rede local (PFsense) que agora é 10.10.1.0/24 e pedi para o outro lado jogar as configurações da VPN para o essa classe de rede nova.

                  Da mesma forma como antes, levanta a VPN mas não consigo comunicação do outro lado do servidor.

                  Vou mandar algumas configurações de como está a VPN para vocês olharem e ver o que pode ser feito para me ajudar

                  TCPDUMP

                  
                  16:27:10.786570 IP 201.56.216.X > 201.56.216.X: ICMP echo request, id 43306, seq 3586, length 44
                  16:27:10.787255 IP 201.56.216.X > 201.56.216.X: ICMP echo reply, id 43306, seq 3586, length 44
                  16:27:11.453217 IP 201.56.216.X > 192.168.1.2: ICMP echo request, id 51552, seq 1, length 64
                  
                  

                  Protocolo do IPsec P1

                  3DES / MD5
                  Meu IP Externo > Gateway Remoto Servidor

                  Protocolo do IPsec P2

                  ESP / 3DES / SHA1
                  Modo Tunnel
                  Minha Rede Local  > Para Sub Rede Remota

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Esse dump é da wan ou da enc0? Trm ips válidos e uma tentativa de ping para ip inválido.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • P
                      pauloleal
                      last edited by

                      O Dump e da Wan sim…

                      Trm ips válidos e uma tentativa de ping para ip inválido.

                      Não entendi sua questão de IP acima –^

                      1 Reply Last reply Reply Quote 0
                      • P
                        pauloleal
                        last edited by

                        Segue o Dump do Enc0

                        tcpdump: WARNING: enc0: no IPv4 address assigned

                        
                        tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                        listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 65535 bytes
                        10:25:01.058881 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 0, length 64
                        10:25:02.085149 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 1, length 64
                        10:25:03.122198 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 2, length 64
                        10:25:04.130126 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 3, length 64
                        10:25:05.135174 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 4, length 64
                        10:25:06.145343 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 5, length 64
                        10:25:07.161550 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 6, length 64
                        10:25:08.195177 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 7, length 64
                        10:25:09.208781 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 8, length 64
                        10:25:10.232528 (authentic,confidential): SPI 0xd5a934b9: IP pfSense.localdomain > 192.168.1.2: ICMP echo request, id 14138, seq 9, length 64
                        
                        
                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Esse mostra sua tentativa de ping dentro do tunel ipsec.

                          Na minha opinião, ainda falta a outra ponta acertar as rotas do túnel.

                          use o tcpdum sempre com o -n para mostrar somente ips e portas no lugar de hosts.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.