OpenVPN, il server pfSense non raggiunge la LAN del Client

dmtecnology

Qualcuno può aiutarmi con questo problema?

Server pfSense:
dev tun
IP Tunnel pfSense: 10.1.1.1
LAN sotto pFsense: 192.168.2.0/24

Client OpenVPN (WINDOWS):
client
dev tun
dev-node OpenVPN
script-security 3
proto udp
remote x.x.x.x 1194
keepalive 10 60
resolv-retry infinite
nobind
persist-key
persist-tun
ca xx.crt
cert xx.crt
key xx.key
tls-auth ta.key 1
cipher AES-128-CBC
ns-cert-type server
comp-lzo
pull
verb 3

Il problema è che dal client riesco a pingare sia l'IP del tunnel pfsense sia la LAN sotto pfsense. Dalla LAN sotto pFsense invece riesco a pingare solo l'ip client del tunnel ma non della lan. Stesso discorso vale per l'interfaccia VPN su pfSense, pinga solo il tunnel ma non la LAN. sul server ho aggiunto il comando route 192.168.88.0 255.255.255.0 ma non funziona..

Grazie

Gabri.91

Dovrebbe essere il comportamento corretto, da PFsense (e dalla sua LAN) raggiungi solo l'interfaccia del clietn sulla VPN (e quindi sotto PFsense). Per fare di più penso ti serva un'interfaccia site-to-site..

dmtecnology

L'interfaccia site-to-site intendi dalla parte del client giusto?

Perchè ti spiego qual'è il problema

Inizialmente il PC Windows Server 2008 fungeva da server VPN mentre pfSense da client

Il collegamento veniva stabilito correttamente.

Il problema era che da pFsense non riuscivo a pingare l'interfaccia del server VPN

o meglio, riuscivo a pingarla solo dall'interfaccia OPT1 (associata alla VPN) ma non dalla LAN

A nulla sono serviti i bridge fra LAN e OPT1, a meno che non sbagliassi qualcosa io.

Quindi ho optato per far fare a pfsense da server e a windows da client però, se qualcuno sa come risolvere questo problema sarebbe meglio che pfsense mi facesse da client per vari motivi..

Grazie mille

fabio.vigano

Ciao,
OpenVPN server su Windows ha problemi di routing e quelli che hai descritto sembrerebbero proprio i problemi che ho riscontrato in più installazioni, se recupero la configurazione che ho utilizzato su alcune installazioni simili ti dico come ho risolto.
ciao

dmtecnology

Fammi un favore Fabio postami la configurazione, ne sto uscendo matto..

Ho fatto un altra prova però..

site to site fra 2 pfsense.

Quello che fa da server dall'interfaccia tunnell pinga l'interfaccia tunnel del client ma non pinga la lan sotto il client
Quello che fa da client dall'interfaccia tunnel pinga l'interfaccia tunnel e la lan del server

Però, dal 'interfaccia lan del client non riesco a pingare ne il tunnel del server ne la lan.

quindi il problema sta nel client perchè la scheda del tunnel e la lan non comunicano fra di loro (e questo me lo dimostra il fatto che dal server non pingo la lan del client ma solo quella del tunnel mentre dal tunnel del client pingo sia lan che tunnel perchè le due schede comunicano fra loro)

Dovrei riuscire a mettere in bridge il tunnel e la lan del client ma non ci riesco. Aggiungo un bridge con le relative interfacce sul pfSense e lo assegno alla LAN ma non funziona..

Cosa consigliate? Può essere un problema di subnet? Uso per entrambe la subnet 255.255.255.0 (subnet lan) e anche per il tunnel (255.255.255.0) anche se dalle info delle interfacce tunnel poi mi ritrovo 255.255.255.0

Posto la route table del server pfsense:

default xx.xx.96.1 UGS 0 7506859 1500 vr1
x.x.96.0/24 link#2 U 0 243679 1500 vr1
x.x.96.70 link#2 UHS 0 0 16384 lo0
10.1.1.0/24 10.1.1.2 UGS 0 139537 1500 ovpns1
10.1.1.1 link#8 UHS 0 0 16384 lo0
10.1.1.2 link#8 UH 0 0 1500 ovpns1
62.101.93.101 00:0d:xx:xx:xx:xx UHS 0 48 1500 vr1
83.103.25.250 00:0d:xx:xx:xx:c5 UHS 0 48 1500 vr1
127.0.0.1 link#5 UH 0 281 16384 lo0
192.168.2.0/24 link#1 U 0 13154047 1500 vr0
192.168.2.253 link#1 UHS 0 1 16384 lo0

Posto la route table del client pfsense:

default xx.xx.xx.78 UGS 0 746254 1500 em0
10.1.1.1/32 10.1.1.9 UGS 0 0 1500 ovpnc1
10.1.1.9 link#9 UH 0 0 1500 ovpnc1
10.1.1.10 link#9 UHS 0 0 16384 lo0
95.xx.xx.72/29 link#1 U 0 532160 1500 em0
95.xx.xx.73 link#1 UHS 0 0 16384 lo0
95.xx.xx.77 link#1 UHS 0 0 16384 lo0 =>
95.xx.xx.77/32 link#1 U 0 0 1500 em0
127.0.0.1 link#5 UH 0 15275 16384 lo0
192.168.2.0/24 10.1.1.9 UGS 0 635 1500 ovpnc1
192.168.10.0/24 link#2 U 0 934855 1500 em1
192.168.10.253 link#2 UHS 0 0 16384 lo0

Posto lo status dell'interfaccia tunnel pfSense Server:

Status up
MAC address 00:00:00:00:00:00
IP address 10.1.1.1  
Subnet mask 255.255.255.255
In/out packets 150622/150622 (32.33 MB/31.70 MB)
In/out packets (pass) 150622/159840 (32.33 MB/31.70 MB)
In/out packets (block) 0/0 (0 bytes/0 bytes)
In/out errors 0/0
Collisions 0

Posto lo status dell'interfaccia tunnel pfSense Client:

Status up
MAC address 00:00:00:00:00:00
IP address 10.1.1.10  
Subnet mask 255.255.255.255
Gateway 10.1.1.9
In/out packets 580/580 (61 KB/667 KB)
In/out packets (pass) 580/846 (61 KB/667 KB)
In/out packets (block) 0/0 (0 bytes/0 bytes)
In/out errors 0/0
Collisions 0
Bridge (bridge0) learning

Grazie  ;D

horace

Ciao!
Dunque, se fai una site-to-site tra 2 box pfsense impostate correttamente, dovresti essere in grado di pingare ogni ip delle rispettiva lan.
Domanda stupida: hai fatto la regola sulla WAN per permettere il traffico in ingresso sul server OpenVPN?

dmtecnology

Certo, sulla wan del server le regole ci sono altrimenti il tunnel non partirebbe :)

Ripeto, il problema è che la lan e il tunnel del client pfSENSE NON COMUNICANO TRA DI LORO pertanto i ping verso le rispettive LAN non possono andare..

PING verso i tunnel sono da entrambe le parti OK

Grazie a tutti

horace

Ok, allora sembra che il router-client non passi l'informazione per routare la propria LAN al pfsense-server.
Hai controllato di aver settato correttamente l'opzione "Remote Network" su entrambi i firewall?

In caso affermativo, puoi postare la configurazione di openvpn di entrambe le pfsense? Che versione usi?

dmtecnology

@horace:

Ok, allora sembra che il router-client non passi l'informazione per routare la propria LAN al pfsense-server.

Esatto

Il problema sta a monte del remote netowork perchè se anche fosse errato io dalla lan riuscirei almeno a pingare il tunnel

Uso l'ultima release pfSense 2.0.1 i386 su sistema Alix

Consigli?
Grazie

dmtecnology

CONFIGURAZIONE SERVER PFSENSE:

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 2.xxx.xx.70
tls-server
server 10.1.1.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
ifconfig 10.1.1.1 10.1.1.2
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.2.0 255.255.255.0"
route 192.168.10.0 255.255.255.0
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
client-to-client

CONFIGURAZIONE CLIENT PFSENSE:

dev ovpnc1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 95.xxx.xxx.73
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote 2.xxx.xxx.70 1194
ifconfig 10.1.1.2 10.1.1.1
route 192.168.2.0 255.255.255.0
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
tls-auth /var/etc/openvpn/client1.tls-auth 1
comp-lzo

horace

Ciao, stavo guardando una mia configurazione funzionante, e ho notato che, nel client ho:
remote network: la lan della rete sotto il pfsense-server
interface ip: la rete della vpn, nel mio caso 10.10.11.0/24

anche sulla tua è così?

dmtecnology

Si, identica configuraizone..

Che versione di pfSense usi? le tue VPN sono settate in TUN o TAP?

Io l'ultima 2.0.1 x86

horace

Ciao, sono delle 1.2.3 che non ho ancora aggiornato. Sono entrambe configurate di default, quindi direi TUN. Riesci a postare le schermate della configurazione sia del server che del client?

monitor

Per prima un salvuto a tutti, sono nuovo del forum.

Anche io ho lo stesso problema con pfSense 2.0.2 i386 su ALIX.
Avete risolto?
Da qualche parte ho letto di uno che consigliava di installare in package "OpenVPN tap Bridging Fix" scaricabile dalla lista dei package disponibili.
Ho visto pero' che e' una beta e c'e' pure scritto che non si puo' disintallare quindi prima di metterlo chiedo se avete risolto in altro modo.  ???

horace

Io non ho più fatto delle VPN dalla 2.0.1. Confermo però che in quel caso si riescono a creare con successo delle site-to-site con OpenVPN

dmtecnology

Scoperto qual'era il problema…  ;D

Era il Server Mode impostato a Peer To Peer (SSL/TS)

andava impostato a Peer To Peer (Shared Key)

;)