Bem-vindo à Comunidade UBNT

VPN Site-toSite

Boa tarde,

Estou homologando uma infra para VPN site-to-site com EdgeRouter ER-8 (Matriz e unidade maiores) e posteriormente com EdgeRouter-X em unidade menores.

Executei a configuração básica apresentada na documentação online da Ubiquiti https://help.ubnt.com/hc/en-us/articles/115012831287-EdgeRouter-Policy-Based-Site-to-Site-IPsec-VPN, fiz com os mesmos dados e ips do exemplo, mas aparentemente não ocorre a conexão, nem a tentativa de conexão.

Teria algum passo que devo executar a mais para que a conexão seja efetuada?


Rotulado:

Comentários

  • drsemanndrsemann 2 Pontos
    Somente completando a informação, versão atual do firmware é v1.10.5.
  • R4V3RR4V3R 8512 Pontos
    Olha, vou ser sincero... IPsec não é pros fracos de estômago. Vamos começar com o básico do básico pra saber onde está o problema..
    Primeiramente: Endereço IPv4 público e fixo em ambas as pontas, diretamente na interface ethernet, sem uso de PPPoE?
  • drsemanndrsemann 2 Pontos
    Boa tarde R4V3R,

    Bom na minha homologação estou fazendo como informado acima, dois edgerouter ER-8 e um edgerouter-X roteando as WAN, simulando uma nuvem de operadora, nesse cenário os ips seriam públicos.

    Hoje voltei ao lab e consegui efetuar a conexão da VPN, mas ao reiniciar um das pontas a VPN não volta a conectar automaticamente e analisando os logs vi que o tunel continua como ativo na ponta que não foi reiniciada, para que volte a conectar tenho que efetuar ou a reinicialização desta ponta ou executar o "restart vpn".

    Será que há como configurar algo que monitore a conexão e caso ele pare de comunicar efetuar nova reconexão?

    Já adiantando minha infra em produção conta com unidades com ip fixo e outras atrás de NAT, hoje operando em cima de Cisco(DMVPN).


  • R4V3RR4V3R 8512 Pontos
    drsemann disse:
    Hoje voltei ao lab e consegui efetuar a conexão da VPN, mas ao reiniciar um das pontas a VPN não volta a conectar automaticamente e analisando os logs vi que o tunel continua como ativo na ponta que não foi reiniciada, para que volte a conectar tenho que efetuar ou a reinicialização desta ponta ou executar o "restart vpn".

    Justamente.. se você se prender apenas à configuração via interface web há uma grande probabilidade de não chegar a lugar algum.
    Nesse caso, um recurso chamado Dead Peer Detection(DPD), aplicado à primeira fase do IPsec(IKE), é um recurso que provê uma espécie de monitoramento to tunel IKE, procedendo de acordo com sua configuração. Por padrão ele vem desabilitado, então você tem que configurar manualmente(via linha de comando), recomendo configurar o "action" como restart, interval em 30 e timeout em 60.
    Alternativamente, caso ambas as pontas tenha suporte, pode-se utilizar ikev2 que já embute mecanismos próprios de monitoramento, não necessitando do DPD.
    Terceira opção é usar um script simples de monitoramento, que executado via agendador de tarefas, testa o túnel e reinicia caso o teste retorne negativo. Há diversos exemplos disso na comunidade global da Ubiquiti.
    Não há problema em utilizar NAT, desde que você esteja ciente que a configuração do túnel muda, e(novamente), isso não pode ser ajustado via interface web, apenas via CLI.
    Neste caso, é necessário forçar a utilização de NAT-T(https://tools.ietf.org/html/rfc3947), encapsulando o payload IKE dentro de datagramas UDP que trafegam pela porta UDP 4500. Isso é feito através da opção "force-encapsulation", dentro da configuração de cada site.
    Boa sorte.
  • drsemanndrsemann 2 Pontos
    Boa tarde R4V3R,

    Havia feito a configuração do DPD, mas mesmos assim não havia conexão, estou achando que possa ser algo referente ao firmware, pois ontem em meu lab utilizei um edgerouter-X com firmware de fabrica (v1.7.1) e o mesmo conectou normalmente tanto com o cenário de ip publico ou atrás de NAT. Isso fazendo a configuração padrão da GUI.

    Revisando as configurações criadas pela GUI da caixa, copiei as mesmas através do CLI e apliquei na caixa com firmware v1.10.5 e mesmo assim não conectou, ainda estou analisando as diferenças entre uma e outra.

    Outro teste feito que corrobora com minha desconfiança de ser o firmware foi que fiz o downgrade do firmware e logo após isso a caixa conectou normalmente.

    Notei a diferença que na versão v1.10.5 alguns comandos não são aplicados:

    set vpn ipsec ipsec-interfaces interface eth0 (aqui sendo setada a interface que fica para internet)
    set vpn ipsec nat-networks allowed-network 0.0.0.0/0
    set vpn ipsec nat-traversal enable

    Não sei se ele estão escondidos, como sendo comando padrão.


    Agradeço a ajuda e continuamos nos testes.
  • R4V3RR4V3R 8512 Pontos
    set vpn ipsec nat-networks allowed-network 0.0.0.0/0
    set vpn ipsec nat-traversal enable
    São dois comandos desnecessários(deprecated).

    Ademais, não creio que algo tenha mudado na 1.10.5 em relação à VPN IPsec, pelo menos a versão do strongswan que olhei é a mesma.
    Eu tenho túneis IPsec rodando na 1.10.5, 1.10.3, 1.9.7 e algumas abaixo também, sem problemas...
    Mas volto a repetir, IPsec não é pros fracos de estômago, não importa a plataforma que esteja utilizando, ipsec é uma coisa cabeluda e você vai se deparar com problemas desse tipo eventualmente, quer você queira ou não.

  • Olá @R4V3R estou a dias quebrando a cabeça na vpn site-to-site!!! tenho ip fixo nos dois lados em fibra uma e o ip fixo plubico direto ,na outra e pppoe com ip fixo publico, pra pppoe tem uma configuração especifica? pois crio a vpn pela Gui como vários exemplo que achei mas no status nos dois lados fica down!!!
  • R4V3RR4V3R 8512 Pontos
    Não tem configurações específicas pra PPPoE, isso não influencia especificamente em conexões VPN, mas eventualmente o MTU imposto pela conexão PPPoE pode influenciar neste e em diversos outros fatores sim.
    Eu já fechei dezenas de enlaces com IPsec com tudo quanto é tipo de conexão de internet e nunca tive problemas, mas confesso que não gosto nem um pouco de IPsec, pra mim OpenVPN é MUITO superior em termos de performance e confiabilidade pra aplicações até 50Mbps. Pra além disso você não tem como fugir do ipsec por conta da performance.

  • @R4V3R esta é a configuração no GUI !!!TORRE1 ip publico eth0 TORRE2 ip publico pppoe eth0....


  • R4V3RR4V3R 8512 Pontos

    @R4V3R esta é a configuração no GUI !!!TORRE1 ip publico eth0 TORRE2 ip publico pppoe eth0....


    Tira o "local IP: any", isso não funciona direito com IPsec. Especifique o endereço IP correto que deve ser usado na origem dos pacotes...

  • @R4V3R eu já tinha setado o ip local e nada....sera que deve ser alguma regra no firewall?....me diz uma coisa pra abrir o acesso ssh de fora pela wan do pppoe no edgerouter lite?

    Nas duas pontas  fica em Down...
  • aliensystemaliensystem 2 Pontos
    editado outubro 2018
    @R4V3R configuração torre 1 r torre 2
  • @R4V3R configuração torre 1 r torre 2
    Bom dia Aliensystem,

    Como você possui nas duas pontas ip fixo, não precisa o ip local ser any, mas também funciona, estive homologando a solução de VPN site-to-site para um cliente e tenho um concentrado que atende 5 filiais e um data center, sendo alguns atrás de NAT e outros ip fixo, libere o ping no firewall e tente pingar as pontas, pois enquanto não houver trafego na VPN ela fica como DOWN.

    Descobri a duras penas essa caracteristica. Pois minha infra era baseada em cisco e nele quando as duas pontas estavam conectadas ela ficava com UP digamos.

Entre ou Registre-se para fazer um comentário.