Ok.. amigos, muito obrigado mesmo. Abraços....
Saudações do Sul de Minas Varginha Joao Corsini - Saaesul Enviado pelo meu Windows Phone ________________________________ De: Jack<mailto:[email protected]> Enviada em: 14/11/2014 09:35 Para: 'Lista em Português sobre pfSense'<mailto:[email protected]> Assunto: Re: [Pfsense-pt] IPSEC Buenas! >-----Original Message----- >From: Corsini . > >Utilizo IPsec site to site entre Matriz e Filiais, na matriz estou utilizando Pfsense >2.1 release (rede local 172.16.0.0/16) Obs: utilizo /16 porque a rede da filial é >bem grande .OK.. >Em uma das filiais utilizando a versão 2.1.5 (com rede local >192.168.0.0/24).Notem que a mascara da rede local são diferentes e tive muitas >dificuldades em fechar o túnel ipsec, o túnel fechar certinho fica on, porém uma >rede não acessa a outra, ficava de veneta, ora funcionava outra ora não, caia >muito, experimentei de colocar mascara /16 tb da filial e aparentemente não tive >mais prolema. Já passaram por esse cenário. Talvez possa ser até um Bug. > João, Particularmente não vejo nenhum motivo para instabilidade do seu túnel VPN IPSec em função das máscaras de subrede utilizadas. O IPSec é um protocolo 'temperamental' e normalmente os sintomas que citastes estão ligados a arquitetura do seu projeto/túnel e detalhes de configuração (não ao endereçamento IPv4). Sem querer entrar no mérito conceitual da tecnologia, o IPSec é uma 'família ou pilha' de protocolos de segurança. Ele é sem dúvida alguma, um dos métodos mais utilizados para inter-conectar dispositivos e/ou sistemas operacionais. Fazem parte desta pilha os sub-protocolos AH, ESP (dentre outros menos utilizados). O IPSec pode ser utilizado basicamente em dois modos de operação: Modo Túnel (em que precisamos configurar AH e ESP); Modo Transporte (onde podemos configurar apenas o ESP). O importante é que a configuração em ambos os lados seja IDÊNTICA. Em ambos os lados atributos como Lifetime, KBs de transferência, algoritmo de autenticação (AH), algoritmo de cifragem (ESP) precisam ser os mesmos. Qualquer incongruência nestas definições entre as partes vai fazer com que o túnel não seja estabelecido ou que o tráfego de pacotes não seja roteado adequadamente. Minha sugestão é que você revise TODAS as definições da Phase 1 e Phase 2 do túnel. Outra dica bacana, que pode lhe ser útil (assim como pros outros colegas), é dar uma olhadinha na 'Carreira VPN' do Sys Squad: http://sys-squad.com/sys/carreira/2 Os 3 primeiros treinamentos são voltados exatamente para VPNs IPSec e abordam desde questões conceituais, passando por questões de arquitetura e chegando no mão-na-massa (inclusive com pfSense): http://sys-squad.com/sys/curso/44 Ela está sendo gravada pelo amigo Heitor Lessa, hoje engenheiro de suporte da Amazon, em Dublin na Irlanda. É um dos profissionais mais competentes que conheço quando o assunto é VPN. ;-) Abraços! Jack http://jack.eti.br http://sys-squad.com http://conexti.com.br _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
