On 02/16/2011 05:23 PM, francisco f wrote:
Eich?? Estás seguro?? pfSense se configura via web y es muy rápido.
Pues si, porque me pedia un parametro que no se podia meter por la pagina web y sin ese no pasaba del 2
Bueno ahora me toca averiguar como va la nueva version Ya os contare
Saludos.
La solución es relativamente sencilla. Supongamos que, y todo lo que comento a partir de ahora solo es válido para la Phase2 de IPSec, ellos te han dado la siguiente configuración: - Dominio de encriptación (la subred desde la que tú debes acceder): 10.1.1.0/24 - Red de encriptación destino (la del cliente): 192.168.1.0/24 Dada esta configuración, tienes estas tres opciones (si a alguien se le ocurre algo más que lo comente) a) Cambiar el direccionamiento de tu red interna a una 10.1.1.0/24 b) Añadir una interfaz (o una VLan) a tu firewall actual con una IP perteneciente al rango 10.1.1,0/24 c) Instalar una segunda máquina que sea la que se encargue de establecer las VPNs donde la intefaz que comunica con tu red interna ha de ser del rango 10.1.1.0/24. La solución a) supongo que está clara y solo tú sabes si es factible o no (yo no lo haria dependiendo de servidores, estaciones y aplicativos que dispongas en tu red). Sobre la opción b) y c) vienen a ser lo mismo, solo que la opción c) te permite mayor escalabilidad y te evita problemas futuros. Se trata de que tengas un gateway con el rango de encriptación que te pide el cliente de tal forma que en el archivo ipsec.conf quedaria algo parecido a esto: conn CONEX keyexchange=ike auto=add ike=3des-sha1-modp1024 esp=3des-sha1 left=tu_ip_publica leftsubnet=10.1.1.0/24 (es la red de encriptación que te ha asignado el cliente) leftnexthop=on right=ip_publica_del_cliente rightid=192.168.1.0/24 Una vez hecho esto te queda un paso más: NATear toda tu red interna para que salgan las peticones a través de la VPN hacia la red del cliente 192.168.1.0/24 con IPs del rango 10.1.1.0/24. Existe un pequeño problema: si tu cliente es listo verá que siempre accedes con una única IP (la que asignes al firewall o al servidor de VPNs), por ejemplo la IP 10.1.1.1. Aquí tienes que ser un poco "vivo" y decirle a iptables que cuando natee lo haga de forma dinámica con un rango de IPs perteneciente a la subred 10.1.1.0/24, por ejemplo desde la 10.1.1.10 a la 10.1.1.25. Y con esto y una caña lo tienes listo. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org