Duas redes iguais na fase dois de tuneis IPSEC

[walkerdgp]

Olá, tudo  bem ?

Vou tentar ser o mais claro e especifico possível no meu problema.

Possuo dois tuneis IPSEC, um VTI e outro comum, tunel IPV4

A conexão IPSEC VTI, conecta em uma rede remota a qual é uma rede 10.0.0.0/16, onde há um rota em cima da interface IPSEC (VTI) que todo o tráfego com destino a rede 10.0.0.0/16 passe seja trafegado pela interface  IPSEC VTI, OK ATÉ AI TUDO FUNCIONA/FUNCIONAVA.

Porém a alguns dias atrás, foi necessário conectar um cliente remoto, o qual possui um rede remota 10.0.0.0/8 e um DNAT 192.168.237.0/25 e este está conectado atráves de um tunel IPV4 comum ipsec.

10.0.0.0/8 - > DNAT > 192.168.237.0/25


Meu problema é, quando essas duas conexões juntas estão ativas, cliente sconectados ao FW, se perdem ao acessar hosts da rede /16 e tentam tráfegar pela rede  /8.

Exemplo:

Origem > LAN FW
Destino > 10.0.0.100
Destino rede 10.0.0.0/16

Porém se o tunel da rede 10.0.0.0/8 estiver ativo, essa conexao não ira ocorrer e todo tráfego WEB de clientes remotos irá para de funcionar.

Abaixo  há um esboço simples, caso necessitem de maiores informações, estou à disposição.

[clovis.roncon]

Olá, walkerdgp

Não consegui visualizar o esboço que citou.

Se eu entendi corretamente sua explicação, provavelmente está ocorrendo um overlap na comunicação ou falta de configuração de Manual SPD Entries .

Dúvidas:

1 - O DNAT (10.0.0.0/8 <> 192.168.237.0/25) está configurado no firewall da sua ponta ou na outra?
2 - Há um lado somente que inicia a comunicação ou seriam as duas pontas?
3 - Veja quais redes estão mostrando no Security Policy Database da IPsec - caminho: VPN > IPsec > Security Policy Database.

Se possível, poderia mostrar como está configurada a IPsec comum, Phase 1 e Phase 2?

[clovis.roncon]

Desculpe-me, pois consegui abrir sua imagem agora.

Vi que sua rede local é a 192.168.91.0/24.
Como você já possui uma rota para 10.0.0.0/16 para ir pela IPsec VTI, não poderá ter uma outra rota para 10.0.0.0/8 em outro local, pois isso irá causar conflito.

A Phase 2 da IPsec (comum) da sua ponta deverá ser:

IP Local ------ 192.168.91.0/24
IP Remoto --- 192.168.237.0/25

Já na outra ponta desta IPsec deverá ter este NAT de Saída (caso a comunicação sempre inicie na mesma) ou um Bi-NAT (NAT Onte-to-One), a fim de "mascarar" a rede 10.0.0.0/8 a sair sempre com 192.168.237.0/25, quando o destino for a sua rede 192.168.91.0/24.
Obs.: caso esta ponta utilize OPNsense, deve atentar-se em adicionar a rede 10.0.0.0/8 no campo Manual SPD Entries desta Phase 2.

[walkerdgp]

Olá, tudo bem ?

Vou validar as configurações que vocês passou, por ora obrigado por sua atenção !

[walkerdgp]

Olá

A minha 192.168.91.0/24, é um rede LAN virtual, o meu tráfego mesmo irá vir da rede openvpn, 192.168.100.0/24, rede a qual já está no SDP manual Entries.

O NAT de saida também já existe para a rede 192.168.237.0/25 mascarando para a rede 10.0.0.0/8

[walkerdgp]

Testei as seguintes configfurações:

FASE 2:

LAN NETWORK: 192.168.100.0/24
REMOTE NETWORK: 192.168.237.0/25
SDP MANUAL ENTRIES:  192.168.100.0/24,10.0.0.0/8

Não deu certo
Tentativa 2

LAN NETWORK: 192.168.91.0/24
REMOTE NETWORK: 192.168.237.0/25
SDP MANUAL ENTRIES:  192.168.100.0/24,10.0.0.0/8

Não deu certo

A CONFIGURAÇÃO QUE DEVERIA FUNCIONAR SERIA ASSIM

LAN NETWORK: 192.168.237.0/24
REMOTE NETWORK: 192.168.237.0/25
SDP MANUAL ENTRIES:  192.168.100.0/24

DNAT ONE TO ONE:
INTERNAL: 192.168.100.0/24
EXTERNAL: 192.168.237.0/25
REMOTE NETWORK: 10.0.0.0/8

Ou seja, traduz tudo da rede openvpn 100.0/24 com destino a rede 0.0/8 traduzindo com o ip 237.0/25

[clovis.roncon]

Se a rede 10.0.0.0/8 for a rede real da outra ponta, ela não deve ser adicionada no Manual SPD na sua IPsec, e sim no Manual SPD da IPsec de destino.

O Manual SPD indica para a Phase 2 qual ou quais IPs ou redes estão autorizados a utilizarem o IP configurado na mesma.

Portanto, ao meu ver, a configuração da Phase 2 da Ponta A deveria ser:

- LAN NETWORK: 192.168.100.0/24 (seu IP de OpenVPN)
- REMOTE NETWORK: 192.168.237.0/25 (IP Local da Ponta B)
- SPD: (vazio)


Já na IPsec da Ponta B:

- LAN NETWORK: 192.168.237.0/25 (rede escolhida para usar no D-Nat)
- REMOTE NETWORK: 192.168.100.0/24 (IP Local da Ponta A)
- SPD: 10.0.0.0/8 (IP Local real da Ponta B)

Neste cenário, na Ponta A não precisa fazer NAT, pois o IP da rede que irá se comunicar já está na Phase 2 como sendo o IP Local. Além do mais, isto iria causar conflito com a outra rota já existente, (a outra IPsec VTI que tem comunicação com a rede 10.0.0.0/16).

Já na Ponta B será necessário fazer o D-NAT abaixo:

- Rede Local: 10.0.0.0/8
- D-NAT: 192.168.237.0/25 (quando o destino for o IP 192.168.100.0/24)

Tente deste modo, se possível, e nos informe se funcionou, por favor.

[walkerdgp]

Bom dia, tudo bem ?

Vou verificar o que posso fazer em relação a ponta B, pois é um firewall de cliente fortigate e as opções mudam um pouco, fora o problema de ser no cliente, mas por ora, obrigado pela ajuda, assim que eu testar algo, lhe retorno por aqui