Show Posts
1
Portuguese - Português / HOWTO - VPN IPsec Usuários/Certificado
« on: November 20, 2024, 10:34:38 pm »
================================================================
=== OPNSENSE - VPN IPSEC USER/CERTIFICATE ===
================================================================
Responsável: ludarkstar99
Data: 20/11/2024
Versão: 1.0
OPNsense: 24.7
================================================================
OPNSENSE - CONFIGURAR IPSEC USUÁRIO->SITE COM AUTENTICAÇÃO VIA CERTIFICADO
RESUMO
Este procedimento foi criado para permitir que você configure uma vpn baseada em IPsec para que o usuário final possa se conectar de maneira segura nos recursos internos da empresa, estando ele fora dela. A este tipo de setup também chamamos de Road-Warrior ("guerreiro na estrada". não sei pq o guerreiro, mas se tiver wi-fi na estrada já tá valendo).
OBSERVAÇÕES
IPsec por si só é uma besta-fera, domá-lo tem me tomado alguns anos de estudo, e quando você acha que sabe de alguma coisa, vem o grandioso lá de cima e te coloca pra trabalhar com uma caixa de firewall diferente com sua própria implementação de IPsec. RFC's são uma chance de você não ficar boiando, mas vai por mim, é mais fácil pular de bote e seguir o fluxo natural do rio, do que tentar nadar de braçada contra ele. Ninguém domina o IPsec, mas você pode orar pra ele, oferecendo alguma coisa em troca e eventualmente ele vai atender ao seu ike proposal. Geralmente antes de fechar algum túnel, eu abaixo a tela do notebook e faço a seguinte oração:
```
Trap Nosso que estais no Kernel,
criptografado seja o vosso Tráfego,
venha a nós o vosso Selector,
seja instalada a vossa política
assim na ike_sa como no child_sa.
O rekey nosso de cada dia nos dai hoje,
perdoai-nos as nossas misconfigs
assim como nós reiniciamos
o túnel que nos tem ofendido,
e não nos deixeis cair em Retransmissão,
mas livrai-nos do Fragmento.
```
PREMISSAS
- Será configurado o IPsec para conexões Mobile (user to site / road warrior / usuário de "rômioffice")
- Apenas foi validado o acesso por cliente windows (11).
- O firewall pode estar atrás de NAT (não confundir com CGNAT) desde que aponte para ele a DMZ e valide com o provedor que é possível "publicar" portas.
- O cliente pode estar atrás de NAT
- A conexão vpn no PC do usuário será do tipo Split-Tunnel, em que apenas o tráfego pré-definido será `roteado` pelo túnel. o restante sai pela internet local mesmo.
- A autenticação do usúario será automática, baseado em certificado - ou seja, não vai pedir login+senha, vai conectar direto.
- Preste atenção no item acima! Se você quer autenticar o usuário a partir do Radius/Ldap (geralmente active directory), a forma de autenticação é outra e não está coberta neste procedimento. Mas se for espertinho, vai saber quais campos trocar.
- Wireguard é mais estável devido a sua natureza e simplicidade criptográfica. IPsec é como organizar o campeonato brasileiro, wireguard é como reunir os amigos e ir pra quadra jogar.
ILUSTRAÇÃO
MATRIZ
IP da LAN: 192.168.10.1/24
WAN: IP PRIVADO RECEBENDO DMZ
USUÁRIO
IP da LAN: 192.168.0.101/24 (internet residencial)
MATRIZ USUÁRIO
ꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷ
-------------------------------TÚNEL IPSEC--------------------------------------------
ꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷ
192.168.10.0/24 LAN < --- 192.168.0.101/24 LAN
---> Firewall < --- Modem/Wi-fi
---> Modem roteado com DMZ ---> INTERNET
ETAPAS
NO FIREWALL DA MATRIZ
1.1. Criando os certificados.
1.1.1. Acessar o menu System > Trust > Authorities
1.1.2. Criar uma nova autoridade da seguinte forma:
Method: Create an internal certificate authority
Description: CA-VPN-ACESSO-REMOTO
Lifetime: 3650 (10 anos)
Country: Brazil
City: Manaus
Organization: Urânium Tecnologia
OrganizationalUnit: Tecnologia da Informação
Email address: suporte@uranium.com.br
CommonName: URANIUM-CA-VPN
Salvar
1.1.3. Acesse o menu System > Trust > Certificates
1.1.4. Crie um novo certificado (para o serviço vpn no firewall):
Method: Create an internal certificate
Decription: CERT-SERVER-VPN-ACESSO-REMOTO
Type: Server Certificate
Issuer: CA-VPN-ACESSO-REMOTO
Lifetime: 3650 (10 anos)
[os outros campos devem estar preenchido conforme a CA criada anteriormente]
CommonName: vpn.empresa.com.br (use um domínio registrado e que aponte para o IP público do firewall).
*Expandir Alternative Names
Preencher o DNS Domain Names com o mesmo nome do CommonName
IP Addresses: Preencher caso use diretamente endereços IPs na configuração dos clientes discar a vpn ao invés de nomes de domínio.
Save.
1.1.5. Crie um novo certificado (dessa vez o do usuário):
Method: Create an internal certificate
Decription: CERT-USER-VPN-LUCIANO
Type: Client Certificate
Issuer: CA-VPN-ACESSO-REMOTO
Lifetime: 3650 (10 anos)
[os outros campos devem estar preenchido conforme a CA criada anteriormente]
CommonName: ludarkstar99 (este será o nome do usuário no log quando conectado. geralmente nome.sobrenome é uma boa escolha).
*Expanda o campo Alternative Names e em DNS domain names, insira o mesmo common name "ludarkstar99"
Save.
1.1.6. Na medida que precisar conectar mais usuários, crie outros certificados de usuário como na etapa 1.1.5.
2.1. Criando o túnel na matriz
2.1.1. Acesse o menu VPN > IPsec > Mobile clients.
2.1.2. Sob a área IKE Extensions, selecione a caixinha Enable IPsec Mobile Client Support.
2.1.3. Ao aparecer as opções abaixo, marque a opção Provide a virtual IPv4 address to clients e preencha com uma rede que ainda não esteja em uso como 10.10.0.0/24, que será usada para atribuir endereços aos clientes de vpn.
2.1.4. Marque a opção Network List - Provide a list of accessible networks to clients.
2.1.5. Marque DNS Default Domain e forneça o domínio interno da rede, caso aplicável.
2.1.6. Marque a opção DNS Servers - provide a dns server list to clientes, e insira os servidores dns internos da rede corporativa, ou o endereço do próprio firewall caso queira usá-lo como dns para os clientes.
2.1.7. Clique em Save.
2.1.8. Aparecerá uma tarja azul com o botão "Create Phase1". Clique neste botão.
2.1.9. Selecione a interface caso deseje atribuir apenas uma, ou deixe como Any caso queira receber a conexão por mais de um link de internet.
2.1.10. Dê uma descrição para o túnel.
2.1.11. No método de autenticação selecione RSA (local) + EAP-TLS (remote)
2.1.12. Em my certificate, selecione o certificado do tipo servidor que você criou anteriormente (CERT-SERVER-VPN-ACESSO-REMOTO).
2.1.13. No proposal da Fase 1 selecione 3DES, SHA1 e DHkey group 2 (1024bits). Eu sei... é simples, mas é funcional! Vai por mim, você não está com a NSA atrás de você.
2.1.14. Marque a opção Disable Rekey (windows tem um problema conhecido com isso).
2.1.15. Defina o lifetime como 28800 (windows tem esse direto em seu código).
2.1.16. Salve.
2.1.17. Sobre a linha da fase1, clique no ícone de [ + ] para adicionar uma fase2 a esse túnel.
2.1.18. Ajuste o Local Network de acordo com o que deseja que os usuários desse túnel tenha acesso.
2.1.19. Defina o proposal da fase como AES128, SHA1.
2.1.20. Defina o lifetime como 3600.
2.1.21. Clique em Save.
2.1.22. Clique no canto inferior esquerdo da tela em Enable IPsec.
2.1.23. CLique em Apply Changes.
3.1. Criar as regras de Firewall para permitir entrada da conexão IPsec (isakmp).
3.1.1. Acesse o menu Firewall > Aliases.
3.1.2. Crie um alias com nome SVC_IPSEC_ISAKMP do tipo Port com as portas 500 e 4500.
3.1.3. Acesse o menu Firewall > Rules > Floating.
3.1.4. Crie uma nova regra para liberar o tráfego vpn, selecionando as interfaces de internet, protocolo UDP, origem Any, destino o próprio firewall (this firewall / self) e em porta destino selecione o alias SVC_IPSEC_ISAKMP. Aplique a regra após ter salvo.
3.1.5. Acesse o menu Firewall > Rules > IPsec e crie uma regra de firewall na interface do IPsec liberando todo o tráfego origem/destino/protocolo. Depois que tiver validado, você volta e cria apenas as regras de acessos específicos, mas por enquanto vamos deixar aberto mesmo.
4.1. Instalar o certificado na máquina do usuário
NO FIREWALL
4.1.1. Acesse o menu Trust > Authorities e clique para realizar o download da authority CA-VPN-ACESSO-REMOTO (ícone de nuvem). Após o download, renomeie o arquivo de .pem para .crt.
4.1.2. Acesse o menu Trust > Certificates e clique para realizar o download (PKCS #12) do certificado de usuário criado (CERT-USER-VPN-LUCIANO). É obrigatório definir uma senha para download do certificado.
NA MÁQUINA DO USUÁRIO
4.1.3. Instale o certificado da autoridade na pasta de autoridades raiz confiáveis de certificados da máquina. *Botão direito (mostrar mais opções), instalar certificado, máquina, raiz confiáveis. vrau!
4.1.5. Instale o certificado do usuário na pasta de certificados pessoais do usuário. *Botão direito (mostrar mais opções), instalar PFX, usuário, senha, pessoal. vrau!
4.1.6. Crie a conexão vpn do windows usando o powershell com os comandos abaixo:
*Troque o parâmetro -ServerAddress vpn.empresa.com.br para o endereço que você está publicando a VPN. Aconselho que registre um nome DNS apontando para o IP público dos links do firewall.
5.1. Testar
5.1.1. Do computador do usuário, disque a vpn.
- 0800, 70, 70, 70... se não der, cêtenta de novo
6.1. Troubleshoot
- Faça uma captura de pacotes para garantir que o firewall está recebendo pacotes na(s) porta(s) 500/4500 UDP.
- Verifique os logs em busca de alguma configuração desalinhada.
- Force o NAT traversal (vpn -> ipsec -> tunnel settings(legacy) -> editar o túnel fase1 -> Definir o NAT Traversal como Force.
- Sempre reinicie o serviço depois de aplicar a configuração. Ao aplicar a configuração apenas é feito um reload dos túneis e pode não carregar tudo que precisa, como novos plugins (o caso do eap-identity para autenticar usuários via certificados).
- Caso apareça nos logs a mensagem "no trusted certificate found for 'ludarkstar99' to verify TLS peer", edite o certificado do usuário no firewall, espanda o campo Alternative Names e em DNS domain names, insira o mesmo common name "ludarkstar99". Nos próximos certificados que criar, insira a identificaçao do usuário tanto no common name quanto no DNS domain names. É necessário baixar e instalar o certificado do usuário novamente. Exclua o certificado antigo para não ficar duplicado.
=== OPNSENSE - VPN IPSEC USER/CERTIFICATE ===
================================================================
Responsável: ludarkstar99
Data: 20/11/2024
Versão: 1.0
OPNsense: 24.7
================================================================
OPNSENSE - CONFIGURAR IPSEC USUÁRIO->SITE COM AUTENTICAÇÃO VIA CERTIFICADO
RESUMO
Este procedimento foi criado para permitir que você configure uma vpn baseada em IPsec para que o usuário final possa se conectar de maneira segura nos recursos internos da empresa, estando ele fora dela. A este tipo de setup também chamamos de Road-Warrior ("guerreiro na estrada". não sei pq o guerreiro, mas se tiver wi-fi na estrada já tá valendo).
OBSERVAÇÕES
IPsec por si só é uma besta-fera, domá-lo tem me tomado alguns anos de estudo, e quando você acha que sabe de alguma coisa, vem o grandioso lá de cima e te coloca pra trabalhar com uma caixa de firewall diferente com sua própria implementação de IPsec. RFC's são uma chance de você não ficar boiando, mas vai por mim, é mais fácil pular de bote e seguir o fluxo natural do rio, do que tentar nadar de braçada contra ele. Ninguém domina o IPsec, mas você pode orar pra ele, oferecendo alguma coisa em troca e eventualmente ele vai atender ao seu ike proposal. Geralmente antes de fechar algum túnel, eu abaixo a tela do notebook e faço a seguinte oração:
```
Trap Nosso que estais no Kernel,
criptografado seja o vosso Tráfego,
venha a nós o vosso Selector,
seja instalada a vossa política
assim na ike_sa como no child_sa.
O rekey nosso de cada dia nos dai hoje,
perdoai-nos as nossas misconfigs
assim como nós reiniciamos
o túnel que nos tem ofendido,
e não nos deixeis cair em Retransmissão,
mas livrai-nos do Fragmento.
```
PREMISSAS
- Será configurado o IPsec para conexões Mobile (user to site / road warrior / usuário de "rômioffice")
- Apenas foi validado o acesso por cliente windows (11).
- O firewall pode estar atrás de NAT (não confundir com CGNAT) desde que aponte para ele a DMZ e valide com o provedor que é possível "publicar" portas.
- O cliente pode estar atrás de NAT
- A conexão vpn no PC do usuário será do tipo Split-Tunnel, em que apenas o tráfego pré-definido será `roteado` pelo túnel. o restante sai pela internet local mesmo.
- A autenticação do usúario será automática, baseado em certificado - ou seja, não vai pedir login+senha, vai conectar direto.
- Preste atenção no item acima! Se você quer autenticar o usuário a partir do Radius/Ldap (geralmente active directory), a forma de autenticação é outra e não está coberta neste procedimento. Mas se for espertinho, vai saber quais campos trocar.
- Wireguard é mais estável devido a sua natureza e simplicidade criptográfica. IPsec é como organizar o campeonato brasileiro, wireguard é como reunir os amigos e ir pra quadra jogar.
ILUSTRAÇÃO
MATRIZ
IP da LAN: 192.168.10.1/24
WAN: IP PRIVADO RECEBENDO DMZ
USUÁRIO
IP da LAN: 192.168.0.101/24 (internet residencial)
MATRIZ USUÁRIO
ꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷ
-------------------------------TÚNEL IPSEC--------------------------------------------
ꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷꟷ
192.168.10.0/24 LAN < --- 192.168.0.101/24 LAN
---> Firewall < --- Modem/Wi-fi
---> Modem roteado com DMZ ---> INTERNET
ETAPAS
NO FIREWALL DA MATRIZ
1.1. Criando os certificados.
1.1.1. Acessar o menu System > Trust > Authorities
1.1.2. Criar uma nova autoridade da seguinte forma:
Method: Create an internal certificate authority
Description: CA-VPN-ACESSO-REMOTO
Lifetime: 3650 (10 anos)
Country: Brazil
City: Manaus
Organization: Urânium Tecnologia
OrganizationalUnit: Tecnologia da Informação
Email address: suporte@uranium.com.br
CommonName: URANIUM-CA-VPN
Salvar
1.1.3. Acesse o menu System > Trust > Certificates
1.1.4. Crie um novo certificado (para o serviço vpn no firewall):
Method: Create an internal certificate
Decription: CERT-SERVER-VPN-ACESSO-REMOTO
Type: Server Certificate
Issuer: CA-VPN-ACESSO-REMOTO
Lifetime: 3650 (10 anos)
[os outros campos devem estar preenchido conforme a CA criada anteriormente]
CommonName: vpn.empresa.com.br (use um domínio registrado e que aponte para o IP público do firewall).
*Expandir Alternative Names
Preencher o DNS Domain Names com o mesmo nome do CommonName
IP Addresses: Preencher caso use diretamente endereços IPs na configuração dos clientes discar a vpn ao invés de nomes de domínio.
Save.
1.1.5. Crie um novo certificado (dessa vez o do usuário):
Method: Create an internal certificate
Decription: CERT-USER-VPN-LUCIANO
Type: Client Certificate
Issuer: CA-VPN-ACESSO-REMOTO
Lifetime: 3650 (10 anos)
[os outros campos devem estar preenchido conforme a CA criada anteriormente]
CommonName: ludarkstar99 (este será o nome do usuário no log quando conectado. geralmente nome.sobrenome é uma boa escolha).
*Expanda o campo Alternative Names e em DNS domain names, insira o mesmo common name "ludarkstar99"
Save.
1.1.6. Na medida que precisar conectar mais usuários, crie outros certificados de usuário como na etapa 1.1.5.
2.1. Criando o túnel na matriz
2.1.1. Acesse o menu VPN > IPsec > Mobile clients.
2.1.2. Sob a área IKE Extensions, selecione a caixinha Enable IPsec Mobile Client Support.
2.1.3. Ao aparecer as opções abaixo, marque a opção Provide a virtual IPv4 address to clients e preencha com uma rede que ainda não esteja em uso como 10.10.0.0/24, que será usada para atribuir endereços aos clientes de vpn.
2.1.4. Marque a opção Network List - Provide a list of accessible networks to clients.
2.1.5. Marque DNS Default Domain e forneça o domínio interno da rede, caso aplicável.
2.1.6. Marque a opção DNS Servers - provide a dns server list to clientes, e insira os servidores dns internos da rede corporativa, ou o endereço do próprio firewall caso queira usá-lo como dns para os clientes.
2.1.7. Clique em Save.
2.1.8. Aparecerá uma tarja azul com o botão "Create Phase1". Clique neste botão.
2.1.9. Selecione a interface caso deseje atribuir apenas uma, ou deixe como Any caso queira receber a conexão por mais de um link de internet.
2.1.10. Dê uma descrição para o túnel.
2.1.11. No método de autenticação selecione RSA (local) + EAP-TLS (remote)
2.1.12. Em my certificate, selecione o certificado do tipo servidor que você criou anteriormente (CERT-SERVER-VPN-ACESSO-REMOTO).
2.1.13. No proposal da Fase 1 selecione 3DES, SHA1 e DHkey group 2 (1024bits). Eu sei... é simples, mas é funcional! Vai por mim, você não está com a NSA atrás de você.
2.1.14. Marque a opção Disable Rekey (windows tem um problema conhecido com isso).
2.1.15. Defina o lifetime como 28800 (windows tem esse direto em seu código).
2.1.16. Salve.
2.1.17. Sobre a linha da fase1, clique no ícone de [ + ] para adicionar uma fase2 a esse túnel.
2.1.18. Ajuste o Local Network de acordo com o que deseja que os usuários desse túnel tenha acesso.
2.1.19. Defina o proposal da fase como AES128, SHA1.
2.1.20. Defina o lifetime como 3600.
2.1.21. Clique em Save.
2.1.22. Clique no canto inferior esquerdo da tela em Enable IPsec.
2.1.23. CLique em Apply Changes.
3.1. Criar as regras de Firewall para permitir entrada da conexão IPsec (isakmp).
3.1.1. Acesse o menu Firewall > Aliases.
3.1.2. Crie um alias com nome SVC_IPSEC_ISAKMP do tipo Port com as portas 500 e 4500.
3.1.3. Acesse o menu Firewall > Rules > Floating.
3.1.4. Crie uma nova regra para liberar o tráfego vpn, selecionando as interfaces de internet, protocolo UDP, origem Any, destino o próprio firewall (this firewall / self) e em porta destino selecione o alias SVC_IPSEC_ISAKMP. Aplique a regra após ter salvo.
3.1.5. Acesse o menu Firewall > Rules > IPsec e crie uma regra de firewall na interface do IPsec liberando todo o tráfego origem/destino/protocolo. Depois que tiver validado, você volta e cria apenas as regras de acessos específicos, mas por enquanto vamos deixar aberto mesmo.
4.1. Instalar o certificado na máquina do usuário
NO FIREWALL
4.1.1. Acesse o menu Trust > Authorities e clique para realizar o download da authority CA-VPN-ACESSO-REMOTO (ícone de nuvem). Após o download, renomeie o arquivo de .pem para .crt.
4.1.2. Acesse o menu Trust > Certificates e clique para realizar o download (PKCS #12) do certificado de usuário criado (CERT-USER-VPN-LUCIANO). É obrigatório definir uma senha para download do certificado.
NA MÁQUINA DO USUÁRIO
4.1.3. Instale o certificado da autoridade na pasta de autoridades raiz confiáveis de certificados da máquina. *Botão direito (mostrar mais opções), instalar certificado, máquina, raiz confiáveis. vrau!
4.1.5. Instale o certificado do usuário na pasta de certificados pessoais do usuário. *Botão direito (mostrar mais opções), instalar PFX, usuário, senha, pessoal. vrau!
4.1.6. Crie a conexão vpn do windows usando o powershell com os comandos abaixo:
Code: [Select]
$eap_tls_config = [xml]@"
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap></Config></EapHostConfig>
"@
Add-VpnConnection -Name VPN-EMPRESA -ServerAddress vpn.empresa.com.br -TunnelType Ikev2 -AuthenticationMethod Eap `
-SplitTunneling -EncryptionLevel Optional -EapConfigXmlStream $eap_tls_config
*Troque o parâmetro -ServerAddress vpn.empresa.com.br para o endereço que você está publicando a VPN. Aconselho que registre um nome DNS apontando para o IP público dos links do firewall.
5.1. Testar
5.1.1. Do computador do usuário, disque a vpn.
- 0800, 70, 70, 70... se não der, cêtenta de novo
6.1. Troubleshoot
- Faça uma captura de pacotes para garantir que o firewall está recebendo pacotes na(s) porta(s) 500/4500 UDP.
- Verifique os logs em busca de alguma configuração desalinhada.
- Force o NAT traversal (vpn -> ipsec -> tunnel settings(legacy) -> editar o túnel fase1 -> Definir o NAT Traversal como Force.
- Sempre reinicie o serviço depois de aplicar a configuração. Ao aplicar a configuração apenas é feito um reload dos túneis e pode não carregar tudo que precisa, como novos plugins (o caso do eap-identity para autenticar usuários via certificados).
- Caso apareça nos logs a mensagem "no trusted certificate found for 'ludarkstar99' to verify TLS peer", edite o certificado do usuário no firewall, espanda o campo Alternative Names e em DNS domain names, insira o mesmo common name "ludarkstar99". Nos próximos certificados que criar, insira a identificaçao do usuário tanto no common name quanto no DNS domain names. É necessário baixar e instalar o certificado do usuário novamente. Exclua o certificado antigo para não ficar duplicado.
