[FUG-BR] Liberando VPN PFSense

Cristiano Maynart Pereira cpereira em unisc.br
Quarta Junho 25 14:10:19 BRT 2008 

>-----Original Message-----
>From: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] On
>Behalf Of Rodrigo Roberto Barros
>Sent: terça-feira, 24 de junho de 2008 22:18
>To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>Subject: [FUG-BR] Liberando VPN PFSense
>
>Galera,
>	Tenho q liberar uma regra no PFSense (que roda PF por traz) para
>conexão PPTP(1723)  e L2TP\IPSec(1701).
>
>	Esta ocorrendo o seguinte:
>	Pelo TCPDump, ele só faz essa primeira linha e não conecta, quando
>libero tudo ele passa e aparece o resto. Como faço para saber o q
>liberar com esse resultado abaixo?
>
>22:10:19.124830 IP 10.1.1.1> 200.200.200.1: GREv1, call 34174, seq 0,
>length 37: LCP, Conf-Request (0x01), id 0, length 23
>22:10:19.200849 IP 200.200.200.1 > 172.25.1.206: GREv1, call 16384, seq
>0, ack 0, length 77: LCP, Conf-Request (0x01), id 0, length 59
>22:10:19.201435 IP 10.1.1.1> 200.200.200.1: GREv1, call 34174, seq 1,
>ack 0, length 55: LCP, Conf-Reject (0x04), id 0, length 37
>22:10:19.201972 IP 200.200.200.1 > 172.25.1.206: GREv1, call 16384, seq
>1, length 37: LCP, Conf-Ack (0x02), id 0, length 23
>22:10:19.279741 IP 200.200.200.1 > 172.25.1.206: GREv1, call 16384, seq
>2, ack 1, length 46: LCP, Conf-Request (0x01), id 1, length 28
>22:10:19.280287 IP 10.1.1.1> 200.200.200.1: GREv1, call 34174, seq 2,
>ack 2, length 46: LCP, Conf-Ack (0x02), id 1, length 28
>22:10:19.280486 IP 10.1.1.1> 200.200.200.1: GREv1, call 34174, seq 3,
>length 32: LCP, Ident (0x0c), id 1, length 20
>22:10:19.280555 IP 10.1.1.1> 200.200.200.1: GREv1, call 34174, seq 4,
>length 37: LCP, Ident (0x0c), id 2, length 25
>
>
>
>Rodrigo Barros
>
>-------------------------

Tem no historico da lista.

Tem que liberar o protocolo GRE, dependendo do tipo de VPN o ESP e o AH. Ex:
pass in on $int_if proto esp from any to any  keep state
pass in on $int_if proto ah from any to any  keep state
pass in on $int_if proto gre from any to any keep state

Ative a interface pflog e o log nas regras de bloqueio, e rode o tcpdump em cima desta interface para identificar facilmente o que está sendo bloqueado.


Cristiano Maynart

Mais detalhes sobre a lista de discussão freebsd