Problemas enrutar trafico a traves de IPSEC



  • Hola a todos. El  problema que tengo es el siguiente: tengo 2 PFSense conectados a traves de IPSec en distintos lugares. Logré levanta el Tunel sin problemas, sin embargo es necesario que el trafico del PFSense1 sea enrutado a traves del PFSense2.

    Usé los pasos de este link para crear el tunel.

    https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

    Sin embargo no logro que se enrute el trafico de internet a traves de IPSec.

    Si alguien pudiera ayudarme. Gracias



  • ¿Son los pfSense la puerta de enlace de los equipos?

    Eso va solo, si se respeta que pfSense sea el enrutador por defecto.

    De lo contrario, hay que añadir rutas en cada equipo, indicando que tiene que pasar por pfSense para llegar a la otra subred.



  • Si, efectivamente ambos son puerta de enlace y cada uno tiene su propia WAN. Acá tengo un diagrama hecho a mano:

    Como indiqué antes, el tunel se establece sin problemas, ambas LAN logran hacer PING de extremo a extremo. Al igual cada PF hace PING a internet sin problemas.

    Lo que quiero hacer es que el SITE A navegue a internet a traves del SITE B.

    La reglas del Firewall permiten acceso 100% y sin embargo no logro que se enrute el trafico. Intenté crear una ruta estatica 0.0.0.0/0 en el SITE A de manera que todo busque como la salida el IPSEC pero sólo permite crear la ruta 0.0.0.0/1.

    Si tienes alguna sugerencia avísame.




  • Rutas estáticas no funcionan con IPSec, Solo se enrruta lo que este definido en las fase 2 de cada lado. Si querés enrrutar todo, en la fase 2 de sitio A, pone como red remota 0.0.0.0/0 y asegurate que en el sitio B tengas las reglas de acceso para la lan del sitio A y los nateos de salida que enmascaren esa red con la WAN del sitio B.



  • Muchas gracias por sus respuestas y sugerencias,

    Sin embargo sigo con el mismo problema. Cuando hago PING a google desde la LAN del SITE A obtengo respuesta sin problemas:

    PING 8.8.8.8 (8.8.8.8) from 172.30.255.1: 56 data bytes
    64 bytes from 8.8.8.8: icmp_seq=0 ttl=54 time=44.974 ms
    64 bytes from 8.8.8.8: icmp_seq=1 ttl=54 time=45.698 ms
    64 bytes from 8.8.8.8: icmp_seq=2 ttl=54 time=46.805 ms

    –- 8.8.8.8 ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 44.974/45.826/46.805/0.753 ms

    Cuando realizo un Trace desde el SITE A hacia google, para verificar cual ruta está usando, usa la ruta de la WAN y no el IPSEC.

    Adjunto la tabla de NAT Y Reglas de Firewall del SITE B y las reglas de Firewall del SITE A.

    ![Firewall Site A.png](/public/imported_attachments/1/Firewall Site A.png)
    ![Firewall Site A.png_thumb](/public/imported_attachments/1/Firewall Site A.png_thumb)
    ![Firewall Site B.png](/public/imported_attachments/1/Firewall Site B.png)
    ![Firewall Site B.png_thumb](/public/imported_attachments/1/Firewall Site B.png_thumb)
    ![NAT Site B.png](/public/imported_attachments/1/NAT Site B.png)
    ![NAT Site B.png_thumb](/public/imported_attachments/1/NAT Site B.png_thumb)