[Ajuda] Comportamento estranho VPN Ipsec

[marceloleaes]

Bom dia pessoal,

Estou enfrentando um problema meio chato em um cliente, vou resumir e tentar detalhar bastante o mesmo.

Tenho 5 Endians, um em cada ponta, VPN IPSEC configurado nas 5 pontas, todas as configurações de tuneis OK.

As redes estão no formato:

11.1.0.0/24
10.0.10.0/8
10.0.20.0/8
10.0.80.0/16
192.168.2.0/24

Então, eu consigo estabelecer até dois tuneis simultaneos neste cenário, quando levanto o terceiro tunel indiferente de qual seja, um que estava de pé para de responder imediatamente. Sendo que, se eu tenho um ping rodando para o destino ocorre isto:

Possuo os seguintes rodando 10.0.10.0/8 , 192.168.2.0/24

Disparo um ping e mantenho pingando > 10.0.10.13 

** Levanto o terceiro tunel aqui 10.0.80.0/16 , por exemplo

O tunel 10.0.10.0 desconecta neste momento e a resposta do ping após queda do tunel 10.0.10.0 fica:

rede de destino inalcançavel 10.0.80.1 ...............


É como se um tunel assumisse o outro, mas sinceramente, nunca vi este comportamento. Já subi vpn com mascaras diferentes e não ocorram problemas, porem com este formato de faixa de ips é a primeira vez.


Se alguem tiver uma luz, agradeço !

Em ultimo caso vou padronizar as redes em todas as pontas, mas queria ter certeza q é isto realmente o meu problema, pois vai gerar um trabalho bem grande para fazer isto.

[marceloleaes]

A desconexão ocorre quando tento conectar uma nova rede

Exemplo:

10.0.10.0
+
10.0.20.0

Uma das duas não sobe , alguem já usou este formato ?

[tdjcba]

bom dia,

amigo acredito que seu problema seja por causa da mascara de suas redes, veja se vc pode alterar as redes /8 para /24.

com final /8 anbas ficam na mesma rede e deve ser por isso que cai o tunnel.

[marceloleaes]

Por mascara acho que não seria o problema, pois já fiz com mascaras diferentes.

Eu desconfio da faixa de ip 10.0.... assim é a primeira vez que pego para fazer,

[esdraslaroque]

Sua máscara /8 engloba a rede F.V.V.V. A máscara /16 pega F.F.V.V

Entenda: F = Fixo, V = Variável.

Ao levantar uma rota para a rede 10.0.80.0/16, você está entrando na rede da anterior e isso está lhe causando perda de rota. Você realmente precisa de uma faixa de rede /8 ? Se você precisa de rotas para redes /16, crie várias redes /16, que elas não se sobrepõe.

Seu problema não é o IPSec do Endian, é projeto de sub-rede.

[marceloleaes]

Eu sempre utilizo /24 , como peguei o ambiente rodando desta maneira, não alterei para não gerar impacto.

Realmente, me toquei depois da sua postagem, vou experimentar /16 em todas as pontas e vamos ver.