[FUG-BR] IPSEC site-to-site

[Christiano Liberato]

Caros,

em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e tambem as
informações do ipsec com "ipsecctl -s all"
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:

pass in  on $ext_if proto udp from $orgao_gw to $ext_if port { 500, 4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500, 4500 }
pass in  on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw

e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como abaixo:

root em server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa > ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao > ip_empresa spi 0x84d6cf78 seq 160 len 92

O acesso so funciona quando libero o fw com "pass all", para teste, é claro!

Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?

Obrigado!!