[FUG-BR] IPSEC site-to-site

Christiano Liberato christianoliberato em gmail.com
Terça Agosto 13 16:03:05 BRT 2013 

Adiel, ja tenho essa regra.


Em 13 de agosto de 2013 15:58, Adiel de Lima Ribeiro <
adiel.netadmin em gmail.com> escreveu:

> On Tue, 2013-08-13 at 15:52 -0300, Christiano Liberato wrote:
> > Estou utilizando o PF.
> >
> >
> > Em 13 de agosto de 2013 15:51, Adiel de Lima Ribeiro <
> > adiel.netadmin em gmail.com> escreveu:
> >
> > > On Tue, 2013-08-13 at 14:54 -0300, Christiano Liberato wrote:
> > > > Adiel, qual nat voce diz?
> > > >
> > > >
> > > > Em 13 de agosto de 2013 14:26, Adiel de Lima Ribeiro <
> > > > adiel.netadmin em gmail.com> escreveu:
> > > >
> > > > > On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição
> wrote:
> > > > > > 2013/8/12 Christiano Liberato <christianoliberato em gmail.com>
> > > > > >
> > > > > > > Caros,
> > > > > > >
> > > > > > > em um dos meus clientes, utilizando IPSEC site-to-site, foi
> > > necessário
> > > > > > > estabelecer um tunel vpn entre a empresa e um orgao do governo
> de
> > > SP
> > > > > para
> > > > > > > um projeto. O fw do orgao é um sonicwall.
> > > > > > > O tunel ja está up, vejo as rotas inseridas com o o netstat
> -rn e
> > > > > tambem as
> > > > > > > informações do ipsec com "ipsecctl -s all"
> > > > > > > Agora que vem o problema... Ja tentei de toda maneira liberar
> > > acesso da
> > > > > > > rede da empresa para a rede do orgao e nao funciona. Inseri as
> > > regras:
> > > > > > >
> > > > > > > pass in  on $ext_if proto udp from $orgao_gw to $ext_if port {
> 500,
> > > > > 4500 }
> > > > > > > pass out on $ext_if proto udp from $ext_if to $orgao_gw port {
> 500,
> > > > > 4500 }
> > > > > > > pass in  on $ext_if proto esp from $orgao_gw to $ext_if
> > > > > > > pass out on $ext_if proto esp from $ext_if to $orgao_gw
> > > > > > >
> > > > > > > e nada. O tcpdump só acusa acesso atraves do protocolo ESP,
> como
> > > > > abaixo:
> > > > > > >
> > > > > > > root em server:~# tcpdump -i em0 src or dst ip_orgao
> > > > > > > tcpdump: listening on em0, link-type EN10MB
> > > > > > > 22:20:01.332494 esp ip_empresa > ip_orgao spi 0x12ca5fca seq
> 160
> > > len 92
> > > > > > > 22:20:01.335510 esp ip_orgao > ip_empresa spi 0x84d6cf78 seq
> 160
> > > len 92
> > > > > > >
> > > > > > > O acesso so funciona quando libero o fw com "pass all", para
> > > teste, é
> > > > > > > claro!
> > > > > > >
> > > > > > > Alguem que tenha isso funcionando, sabe se esta faltando algo?
> > > > > > > Ou tem algo errado?
> > > > > > >
> > > > > > >
> > > > > > Não faltou liberar o tráfego entre a rede local e a rede remota?
> > > > > >
> > > > >
> > > > > Faltou o nat, nao?
> > > > > --
> > > > > att,
> > > > > Adiel de Lima Ribeiro
> > > > > facebook.com/sembr.dyndns.info
> > > > >
> > > > >
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > Vocẽ esta utilizando o IPFW, certo? Ele utiliza um modo diferente para
> > > implementar o NAT, por exemplo, no PF, é necessario implemtar uma regra
> > > de nat:
> > > nat on $ext_if from $lan to any -> $ext_if
> > > NO IPFW, veja a sessão 30.6.5.6 da pagina dele:
> > >
> > >
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
> > >
> > >
> > >
> > >
> > > --
> > > att,
> > > Adiel de Lima Ribeiro
> > > facebook.com/sembr.dyndns.info
> > >
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Bom se é pf, melhor.
> Esta faltando a regra de NAT, algo como:
> > nat on $ext_if from $lan to any -> $ext_if
> ajuste a para refletir seu ambiente.
> --
> att,
> Adiel de Lima Ribeiro
> facebook.com/sembr.dyndns.info
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd