[OpenVPN] Rutas, gateways, etc.
-
Buenas,
bueno… vengo a pedir un poco de ayuda.
Lo que tengo actualmente...
pfSense 2.0.1 - Sitio 1. - A - Lan: 192.168.50.x/255.255.255.0
pfSense 1.2.0 - Sitio 2. - B - Lan: 192.168.1.x/255.255.255.0 - 10.0.xxx.xxx/255.255.0.0
Linux + OpenVPN - Sitio 3. C - No tiene LAN (tiene una lan ficticia que se generan en los clouds).VPN A to B:
A = Server.
IP VPN A: 172.16.2.1
IP VPN B: 172.16.2.2VPN C to A:
C = Server.
IP VPN C: 172.16.0.5
IP VPN A: 172.16.0.6VPN C to B:
C = Server.
IP VPN C: 172.16.0.1
IP VPN B: 172.16.0.2La conexión con las diferentes redes funciona bien, a que me refiero, que desde el sitio A puedo acceder a las LAN del sitio B y viceversa, e igualmente desde el sitio C puedo acceder a todas las subredes correctamente.
Lo que quiero que me ayuden es a crear rutas alternativas. Utilizando OpenVPN desde linea de comando en linux lo se hacer agregando un número al final para indicarle la preferencia de la métrica, pero en pfSense no me da bola y me da error cuando se duplica una ruta sin importar el valor de la métrica.
También quisiera agregar o hacer un grupo de gateways utilizando los gateways de las VPN. Cuando ingreso al pfSense del sitio A (2.0.1) y le doy crear un gateway me da error por que no me reconoce la IP en la interfaz.
Tengo un proveedor que solo me habilito el acceso a una aplicación utilizando la IP Publica del sitio B, entonces quiero que las personas que están en el sitio A se conecten a dicha aplicación utilizando la IP Publica de B, pero no logro crear rutas en el firewall que me saque el tráfico hacía una IP por la VPN por que no me deja elegir el gateway.
Otra pregunta, no hay forma de recargar las VPNs sin tener que deshabiliitar/habilitar la VPN? en mi caso es algo critico deshabilitar una VPN, y por eso quiero activar el tema de las rutas para lograr alta disponibilidad.
Espero que se entienda las cosas que quiero hacer, si no díganme que trato de explicarme un poco mejor.
-
A parte de PUSH ROUTE
http://www.bellera.cat/josep/pfsense/imatges/openvpn_server_edit_3.gif
en el servidor OpenVPN lee esto:
http://forum.pfsense.org/index.php/topic,32094.msg165537.html#msg165537
Espero que te sirva. Saludos,
Josep Pujadas-Jubany
-
Más….
Google redirect-gateway def1 pfsense
http://forum.pfsense.org/index.php/topic,39454.msg204847.html#msg204847
http://www.zomers.eu/knowledge/pfSense/Pages/How-to-force-all-client-OpenVPN-traffic-to-be-routed-via-pf.aspx
-
Josep,
Yo no quiero que pase todo el tráfico por las VPNs, solo el tráfico de las LAN y alguna Subnet WAN que yo especifique, pero no quiero que sean default gw.Espero que me entiendas,
Slds.-
-
PUSH ROUTE
http://openvpn.net/index.php/open-source/documentation/howto.html
No sé si será suficiente para lo que quieres hacer. A mi me sirve para poder ir, desde casa, a cualquier LAN o WAN de los pfSense que administro.
Saludos,
Josep Pujadas-Jubany
-
Gracias Josep, yo lo estaba haciendo con route y estaba bien. No me funcionaba porque no estaba nateando el tráfico proveniente de la vpn a la subnet wan que yo quería, entonces la subnet me rechazaba el tráfico.
un compañero sniffeando el tráfico se dio cuenta y al final no tuvimos que tocar nada de las configuraciones de la vpn ya que las rutas estaban creadas correctamente.
La solución entonces a mi problema era el NATEO de tráfico jeje, la proxima voy a empezar a debaguear mis errores/problemas mejor, el pfsense tiene todas las herramientas para esto y en muchos casos los errores/problemas son distracciones.Gracias por tu ayuda y disculpa la molestias.
-
Josep, conoces algún método o script para autenticar con openvpn por pptp de un servidor windows.
Necesitaría hacer eso ya que tengo mucha gente accediendo por vpn y me es mucho mas fácil configurar rutas con openvpn que con pptp. Necesitó que si o si la autenticación sea por user/pass del dominio. Actualmente lo que hago es correr un bat después de conectar la vpn, pero es un bat local a cada equipo, y si tengo que modificar/agregar/quitar una ruta tengo que ir equipo por equipo.Espero anciamente tu respuesta y muchas gracias x toda la ayuda que me has y has brindado a la comunidad desde hace tiempo.
Slds.-
-
Bueno, por un túnel puedes pasar lo que quieras…
Aunque el túnel va encriptado y una nueva encriptación por él tomará más tiempo de respuesta.
-
El dominio por la vpn ya funciona, lo que te pregunto si cuando pongo en el cliente openvpn auth-user-pass ese usuario y contraseña vaya contra un servidor active directory.
Espero explicarme bien.
Slds.-
-
[VPN] [OpenVPN] [Wizards]
Veo que ahí se puede escoger LDAP y Radius como autentificación…
Y en [System] [User Manager] [Servers] puedes definir servidores de autentificación.
Google openvpn ldap howto pfsense
http://blog.stefcho.eu/?p=916
Google openvpn radius howto pfsense
http://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS
Saludos,
Josep Pujadas-Jubany
O sea que tendrías que tener LDAP o FreeRadius en el Windows… No sé si te servirá...
