[RESOLVIDO] Openvpn Matriz x Filiais
-
Pessoal, estou com um problema relacionado ao Openvpn. Primeiramente vou tentar explicar o ambiente que tenho e então o problema.
Hoje possuo o seguinte cenario utilizando o openvpn com linux.
| –--- FILIAL 1
Matriz| ----- FILIAL 2
| ----- FILIAL 3Tudo tranquilo.
Estou fazendo o mesmo ambiente com o PFsense (como o servidor de VPN) + Filiais com Linux
LAN da MATRIZ - 192.168.15.0/24
LAN da FILIAL - 192.168.13.0/24Porém, eu não consigo fazer com que as máquinas da matriz enxergarem as máquinas da filiais, mas as máquinas das filiais enxergam qualquer máquina da matriz.
A VPN é estabelecida normalmente, as rotas são criadas.
Segue anexo algumas imagens do cenario. Se alguém puder dar uma dica, fico grato.
att,
-
Na sua aba de regras do openvpn, você lembrou de configurar acesso para as duas direções?
O que você já conseguiu identificar com o tcpdump?
-
Na sua aba de regras do openvpn, você lembrou de configurar acesso para as duas direções?
2 direções? Eu coloquei any to any para efeito de testes
Veja anexo.
O que você já conseguiu identificar com o tcpdump?
O que consegui com o tcpdump foi apenas identificar que as requisições das máquinas da matriz chegam somente até a LAN do pfsense, é como ele não fizesse o forward ou devido roteamento para a interface do openvpn.
LAN
tcpdump -vv -i bce0 dst host 192.168.13.1
tcpdump: listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes12:03:11.228712 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 153, length 64
12:03:12.236774 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 154, length 64
12:03:13.244790 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 155, length 64
12:03:14.252823 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 156, length 64
12:03:15.260753 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 157, length 64
12:03:16.268705 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 158, length 64OPENVPN
tcpdump -vv -i ovpns1 dst host 192.168.13.1
tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytesou
tcpdump -vv -i ovpns1 host 192.168.15.27
tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytesatt,
-
Na aba do openvpn server, voce esqueceu de colocar o 'push' com as rotas entre aspas.
-
Não é necessário Marcello.
Como eu defini minha rede local no campo "Local Network" como 192.168.15.0/24
Ele automaticamente gerou o arquivo com o push!
cat /var/etc/openvpn/server1.conf | grep -i push
push "route 192.168.15.0 255.255.255.0"
Vou verificar as regras de Lan (não sei pode ter algo relacionado)
att
-
você fez da rede 15, mas não fez da rede 13.
Confere as duas.
-
você fez da rede 15, mas não fez da rede 13.
Confere as duas.
Da rede 13 eu só preciso do route (que eu já coloquei)
Mas eu acho que já descobri. Não sei se é o modo correto, mas funcionou.
Criei 2 Regras na aba Floating para a interface LAN, com o SRC e DST à rede da Filial.
(alias, até agora não entendi muito bem essa aba Floating) :P
Veja como ficou
-
A aba floating são regras para o bom e velho ipfw equanto as outras abas são para o pf.
-
A aba floating são regras para o bom e velho ipfw equanto as outras abas são para o pf.
Obrigado! ;D