Tunel IPSEC, me estoy volviendo loco...

tontolbote 15 junio 2014 11:49

⋮

Hola

Estoy venga a darla a configurar un túnel IPSec y me estoy volviendo loco porque no consigo hacerlo andar ni a tiros, os cuento todo lo que tengo, red A y red B.

RED A:

Router CG3100D, IP externa pongamos 1.2.3.4, IP interna 192.168.1.99, lo tengo unido mediante un cable al puerto WAN1 de un NetGear ProSafe SRX5308, la WAN1 tiene IP 192.168.1.254, la IP del ProSafe es 172.26.0.1 y de ahí cuelgan varios equipos. En el CG3100D tengo redirigido el puerto UDP 500 a la IP 192.168.1.254 (WAN1 del Prosafe)

RED B:

Router Hitron CDE30364, IP externa pongamos 2.3.4.5, IP interna 172.26.3.1, lo tengo mediante un cable al puerto WAN1 de un Netgear ProSafe SRX5308, la WAN1 tiene IP 172.26.3.2, la IP del ProSafe es 172.26.2.1 y de ahí cuelgan varios equipos. En el Hitron tengo redirigido el puerto UDP 500 a la IP 172.26.3.2 (WAN1 del Prosafe)

Ambas redes funciona bien por separado, internet, etc.

Cuando creo el túnel IPSEC éste se levanta correctamente, si desde un equipo de la red B hago un PING a 172.26.0.1 (LAN1 del Prosafe de la red A) éste responde correctamente, pero no puedo alcanzar ningún otro equipo, por ejemplo PING a 172.26.0.2 no devuelve respuesta, y sí hay un equipo conectado. Si hago un ping desde la red A a 172.26.3.2 (LAN1 del Prosafe de la red B) éste no responde.

Yo ya no se por dónde mirar, ¿alguna sugerencia?

MadRalphW 15 junio 2014 12:45

⋮

¿ forwarding activado?

BocaDePez 15 junio 2014 12:45

⋮

¿Has probado a apagar y encender el equipo?

BocaDePez 15 junio 2014 12:50

⋮

Según el manual del CG3100D de Ono, cosas a comprobar:

Servicios
Utilice la pantalla Servicios para desactivar determinadas características de la puerta de enlace.
1. Conéctese a la puerta de enlace como se indica en "Inicio de sesión en la puerta de enlace" en la página 7.
2. En el menú principal, bajo la sección Filtrado de contenidos, seleccione Servicios.
3. Para deshabilitar una característica, desactive la casilla correspondiente.
4. Para que los cambios surtan efecto, haga clic en Aplicar.
• IPSec Pass-Through. El tráfico de IPSec se reenvía. Si se desactiva esta casilla, se bloquea el tráfico.

En el manual del CDE30364 en Ono, lamentablemente no habla nada específico para IPSec en todo el documento.

Asegúrate que no hay bloqueos del protocolo IP 50 ESP en el cortafuegos. Tal vez requiera una regla de forwarding para ESP... prueba.

BocaDePez 15 junio 2014 18:21

⋮

En ambos tengo IPSec forwarding activado, y lo del firewall que me bloquee el puerto 50 lo había pensado pero he habilitado el log del firewall y no me dice que esté bloqueando nada. Además lo que me extraña es que en un sentido puedo hacer ping al menos hasta la IP del firewall y en el otro sentido siendo el mismo equipo y configuración no responde, si el puerto 50 estuviera bloqueado ni siquiera debería poder hacer ese ping, no?

✖

BocaDePez 15 junio 2014 20:40

⋮

Pega las tablas de rutas de cada Netgear.

✖

BocaDePez 15 junio 2014 22:32

⋮

No tengo ninguna ruta definida ¿?

✖

BocaDePez 16 junio 2014 02:37

⋮

Dirás que no tienes ninguna ruta adicional definida.

Las propias interfaces, por el mero hecho de estar activas, generan rutas y además tendrán una ruta predeterminada.

¿Cuál es la máscara de subred en las redes locales A y B? Porque supongo que sabrás que la máscara define el dominio de difusión, en el que se espera que los equipos estén directamente accesibles. Usas direcciones de clase B en ambos extremos, que por defecto tiene una máscara /16. Yo nunca he montado IPSec, pero me sorprendería que los paquetes de difusión pasasen el túnel.

✖

BocaDePez 16 junio 2014 15:04

⋮

✖

BocaDePez 16 junio 2014 22:05

⋮