Não consigo pingar a rede interna depois de conectado a VPN

1. Não consigo pingar a rede interna depois de conectado a VPN

Vitor Alves
vitorta

(usa Ubuntu)

Enviado em 30/11/2012 - 18:10h

Olá Senhores,

Fechei uma VPN usando o Openswan com um equipamento Sonicwall NSA E5500.

VPN fechada aparentemente funcionando. Quando tento pingar a rede interna de onde se encontra o equipamento Sonicwall eu não consigo.

Adicionei na tabela de roteamento o ip da rede interna do sonicawall que é 172.16.60.114/32 e lá ele fez a mesma coisa adicionou o endereço da minha rede interna na tabela de roteamento dele 192.168.2.10/32.

Abaixo meu arquivo de conf da VPN:

conn busca
keyexchange=ike
aggrmode=no
type=tunnel
ike=aes256-sha1-modp1024
phase2=esp
phase2alg=aes256-sha1
pfs=no
ikelifetime=24h
keylife=1h
left=200.98.164.XXX
leftsubnet=192.168.2.10/32
leftnexthop=%defaultroute
right=189.125.42.XXX
rightsubnet=172.16.60.114/32
rightnexthop=%defaultroute
authby=secret
auto=add


abaixo vou listar minhas regras no iptables:

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:4500 dpt:4500
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:2020 dpt:2020
ACCEPT all -- anywhere buscape
[email protected]:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 172.16.60.114 anywhere
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:4500 dpt:4500
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:2020 dpt:2020

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 192.168.2.10 anywhere
ACCEPT all -- anywhere 172.16.60.114

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:4500 dpt:4500
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:2020 dpt:2020
ACCEPT all -- anywhere 172.16.60.114


Não tenho nenhuma regra de NAT.

Na rede do sonicwall está liberado ping etc etc. Quando dou um tracepath ele não sai do meu endereço.

Acredito que esteja faltando alguma regra que não estou sabendo qual é.

Meu objetivo é a rede 192.168.2.10/32 pingar a 172.16.60.114/32.

Desde já agradeço a ajuda.

Vitor Alves



  


2. Re: Não consigo pingar a rede interna depois de conectado a VPN

Vitor Alves
vitorta

(usa Ubuntu)

Enviado em 01/12/2012 - 09:16h

Fazendo alguns testes quando filtro o tcpdump com ICMP ele só da resquest e não vem nenhum reply.


# tcpdump -i eth2 -n net 172.16.60.114 and icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
09:14:27.950115 IP 172.16.60.114 > 192.168.2.10: ICMP echo request, id 1, seq 21861, length 40
09:14:27.950176 IP 172.16.60.114 > 192.168.2.10: ICMP echo request, id 1, seq 21861, length 40
09:14:28.449981 IP 172.16.60.114 > 192.168.2.10: ICMP echo request, id 1, seq 21862, length 40
09:14:28.450043 IP 172.16.60.114 > 192.168.2.10: ICMP echo request, id 1, seq 21862, length 40


Alguma luz do que pode ser?

Abraços.