Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas enrutar trafico a traves de IPSEC

    Scheduled Pinned Locked Moved Español
    5 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alex_lebbrom
      last edited by

      Hola a todos. El  problema que tengo es el siguiente: tengo 2 PFSense conectados a traves de IPSec en distintos lugares. Logré levanta el Tunel sin problemas, sin embargo es necesario que el trafico del PFSense1 sea enrutado a traves del PFSense2.

      Usé los pasos de este link para crear el tunel.

      https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

      Sin embargo no logro que se enrute el trafico de internet a traves de IPSec.

      Si alguien pudiera ayudarme. Gracias

      Alexis Rondon

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¿Son los pfSense la puerta de enlace de los equipos?

        Eso va solo, si se respeta que pfSense sea el enrutador por defecto.

        De lo contrario, hay que añadir rutas en cada equipo, indicando que tiene que pasar por pfSense para llegar a la otra subred.

        1 Reply Last reply Reply Quote 0
        • A
          alex_lebbrom
          last edited by

          Si, efectivamente ambos son puerta de enlace y cada uno tiene su propia WAN. Acá tengo un diagrama hecho a mano:

          Como indiqué antes, el tunel se establece sin problemas, ambas LAN logran hacer PING de extremo a extremo. Al igual cada PF hace PING a internet sin problemas.

          Lo que quiero hacer es que el SITE A navegue a internet a traves del SITE B.

          La reglas del Firewall permiten acceso 100% y sin embargo no logro que se enrute el trafico. Intenté crear una ruta estatica 0.0.0.0/0 en el SITE A de manera que todo busque como la salida el IPSEC pero sólo permite crear la ruta 0.0.0.0/1.

          Si tienes alguna sugerencia avísame.

          20160413_094056.jpg
          20160413_094056.jpg_thumb

          Alexis Rondon

          1 Reply Last reply Reply Quote 0
          • G
            Gernupe
            last edited by

            Rutas estáticas no funcionan con IPSec, Solo se enrruta lo que este definido en las fase 2 de cada lado. Si querés enrrutar todo, en la fase 2 de sitio A, pone como red remota 0.0.0.0/0 y asegurate que en el sitio B tengas las reglas de acceso para la lan del sitio A y los nateos de salida que enmascaren esa red con la WAN del sitio B.

            1 Reply Last reply Reply Quote 0
            • A
              alex_lebbrom
              last edited by

              Muchas gracias por sus respuestas y sugerencias,

              Sin embargo sigo con el mismo problema. Cuando hago PING a google desde la LAN del SITE A obtengo respuesta sin problemas:

              PING 8.8.8.8 (8.8.8.8) from 172.30.255.1: 56 data bytes
              64 bytes from 8.8.8.8: icmp_seq=0 ttl=54 time=44.974 ms
              64 bytes from 8.8.8.8: icmp_seq=1 ttl=54 time=45.698 ms
              64 bytes from 8.8.8.8: icmp_seq=2 ttl=54 time=46.805 ms

              –- 8.8.8.8 ping statistics ---
              3 packets transmitted, 3 packets received, 0.0% packet loss
              round-trip min/avg/max/stddev = 44.974/45.826/46.805/0.753 ms

              Cuando realizo un Trace desde el SITE A hacia google, para verificar cual ruta está usando, usa la ruta de la WAN y no el IPSEC.

              Adjunto la tabla de NAT Y Reglas de Firewall del SITE B y las reglas de Firewall del SITE A.

              ![Firewall Site A.png](/public/imported_attachments/1/Firewall Site A.png)
              ![Firewall Site A.png_thumb](/public/imported_attachments/1/Firewall Site A.png_thumb)
              ![Firewall Site B.png](/public/imported_attachments/1/Firewall Site B.png)
              ![Firewall Site B.png_thumb](/public/imported_attachments/1/Firewall Site B.png_thumb)
              ![NAT Site B.png](/public/imported_attachments/1/NAT Site B.png)
              ![NAT Site B.png_thumb](/public/imported_attachments/1/NAT Site B.png_thumb)

              Alexis Rondon

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.