OpenVPN, il server pfSense non raggiunge la LAN del Client
-
Ciao!
Dunque, se fai una site-to-site tra 2 box pfsense impostate correttamente, dovresti essere in grado di pingare ogni ip delle rispettiva lan.
Domanda stupida: hai fatto la regola sulla WAN per permettere il traffico in ingresso sul server OpenVPN? -
Certo, sulla wan del server le regole ci sono altrimenti il tunnel non partirebbe :)
Ripeto, il problema è che la lan e il tunnel del client pfSENSE NON COMUNICANO TRA DI LORO pertanto i ping verso le rispettive LAN non possono andare..
PING verso i tunnel sono da entrambe le parti OK
Grazie a tutti
-
Ok, allora sembra che il router-client non passi l'informazione per routare la propria LAN al pfsense-server.
Hai controllato di aver settato correttamente l'opzione "Remote Network" su entrambi i firewall?In caso affermativo, puoi postare la configurazione di openvpn di entrambe le pfsense? Che versione usi?
-
Ok, allora sembra che il router-client non passi l'informazione per routare la propria LAN al pfsense-server.
Esatto
Il problema sta a monte del remote netowork perchè se anche fosse errato io dalla lan riuscirei almeno a pingare il tunnel
Uso l'ultima release pfSense 2.0.1 i386 su sistema Alix
Consigli?
Grazie -
CONFIGURAZIONE SERVER PFSENSE:
dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 2.xxx.xx.70
tls-server
server 10.1.1.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
ifconfig 10.1.1.1 10.1.1.2
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.2.0 255.255.255.0"
route 192.168.10.0 255.255.255.0
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
client-to-clientCONFIGURAZIONE CLIENT PFSENSE:
dev ovpnc1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 95.xxx.xxx.73
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote 2.xxx.xxx.70 1194
ifconfig 10.1.1.2 10.1.1.1
route 192.168.2.0 255.255.255.0
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
tls-auth /var/etc/openvpn/client1.tls-auth 1
comp-lzo -
Ciao, stavo guardando una mia configurazione funzionante, e ho notato che, nel client ho:
remote network: la lan della rete sotto il pfsense-server
interface ip: la rete della vpn, nel mio caso 10.10.11.0/24anche sulla tua è così?
-
Si, identica configuraizone..
Che versione di pfSense usi? le tue VPN sono settate in TUN o TAP?
Io l'ultima 2.0.1 x86
-
Ciao, sono delle 1.2.3 che non ho ancora aggiornato. Sono entrambe configurate di default, quindi direi TUN. Riesci a postare le schermate della configurazione sia del server che del client?
-
Per prima un salvuto a tutti, sono nuovo del forum.
Anche io ho lo stesso problema con pfSense 2.0.2 i386 su ALIX.
Avete risolto?
Da qualche parte ho letto di uno che consigliava di installare in package "OpenVPN tap Bridging Fix" scaricabile dalla lista dei package disponibili.
Ho visto pero' che e' una beta e c'e' pure scritto che non si puo' disintallare quindi prima di metterlo chiedo se avete risolto in altro modo. ??? -
Io non ho più fatto delle VPN dalla 2.0.1. Confermo però che in quel caso si riescono a creare con successo delle site-to-site con OpenVPN
-
Scoperto qual'era il problema… ;D
Era il Server Mode impostato a Peer To Peer (SSL/TS)
andava impostato a Peer To Peer (Shared Key)
;)