Roteamento interno PFSense não manda trafego para a VPN
-
Boa tarde a Todos
Sei que estou sendo meio chato com está questão do roteamento no PFSense mais como já tenho ele instalado nas empresas que presto serviço não gostaria de mudar para outra plataforma.
Passei alguns dias tentando efetuar um roteamento ip da minha filial em campinas para um router na minha matriz e ainda não consegui efetua-lo.
Estava utilizando o IPSec para fechar a VPN entre eles mas como não estava tendo muito sucesso resolvi alterar a vpn para o OpenVPN.
Estudei os tutoriais aqui do fórum a VPN já está funcionando perfeitamente entre matriz e filial porém continuo com o problema de roteamento.
Alguns casos semelhantes foram discutidos aqui no fórum porém não encontrei a solução.
Bom vou descrever minha rede para se ter um melhor entendimento.
Matriz PFSense 2.0.1 utilizando LoadBalanced/FailOver
Lan: 192.168.1.0/24
Wan: IP Fixo
OPT1: IP Fixo
OpenVPN: 10.0.0.1Filial PFSense 2.0.1 utilizando LoadBalanced/FailOver
Lan: 192.168.2.0/24
Wan: IP Fixo
OPT1: IP Fixo
OpenVPN: 10.0.0.2Na matriz possuo um router que está na mesma rede Lan com IP: 192.168.1.5 onde o mesmo está configurado uma rede FrameRelay para o range 172.30.100.0/24
No PFSense da Matriz efetuei o login no shell efetuei o comando: "route add 172.30.100.0/24 192.168.1.5", efetuei o teste no próprio PFSense da matriz um traceroute e o mesmo faz o uso do router 192.168.1.5 para chegar na rede 172.30.100.0 conforme resposta abaixo
Traceroute output:
1 192.168.1.5 (192.168.1.5) 0.698 ms 0.337 ms 0.344 ms
2 172.25.84.82 (172.25.84.82) 48.929 ms 48.658 ms 43.942 ms
3 172.30.20.1 (172.30.20.1) 47.903 ms 47.695 ms 47.986 msNo PFSense da Filial adicionei dentro do openvpn\client\advanced configuration o comando: "route 172.30.100.0 255.255.255.0"
O teste do traceroute no ip 172.30.100.5 também respondeu conforme abaixo:Traceroute output:
1 10.0.0.1 (10.0.0.1) 8.974 ms 8.916 ms 8.910 ms
2 192.168.1.5 (192.168.1.5) 15.968 ms 14.881 ms 14.754 ms
3 172.25.84.82 (172.25.84.82) 49.329 ms 49.580 ms 46.146 ms
4 172.30.20.1 (172.30.20.1) 48.123 ms 48.952 ms 48.368 msAgora o problema está quando efetuo um tracert no endereço 172.30.100.5 dentro da minha rede da filial. O PFSense não envia o pacote para o tunnel vpn e sim para a interface wan conforme monitorei através do Packet Capture:
177.139.219.13 > 172.30.100.5: ICMP echo request, id 31961, seq 1098, length 72
177.139.219.13 > 172.30.100.5: ICMP echo request, id 31961, seq 1100, length 72
177.139.219.13 > 172.30.100.5: ICMP echo request, id 31961, seq 1101, length 72Ja efetuei algumas configurações no NAT da filial mudando para outbound manual e efetuando algumas configurações lá porém sem sucesso.
Alguém teria como me ajudar nisso?
-
Olá,
Vá em System>Routing
Você precisa criar um Gateway no PFSense apontando para o IP do OpenVPN que está ativo.
Depois na mesma tela, clique na aba Routes e crie a rota com origem na sua rede interna e destino na outra rede, usando o IP da OpenVPN como Gateway.
-
Olá,
Vá em System>Routing
Você precisa criar um Gateway no PFSense apontando para o IP do OpenVPN que está ativo.
Depois na mesma tela, clique na aba Routes e crie a rota com origem na sua rede interna e destino na outra rede, usando o IP da OpenVPN como Gateway.
Boa tarde LFCavalcanti
Já tentei fazer isso mais o PFSense não encontra em nenhuma das minhas interface o ip da VPN
Segue abaixo a mensagem de erro:The following input errors were detected:
The gateway address 10.0.0.2 does not lie within the chosen interface's subnet.
Changing name on a gateway is not allowed. -
Só uma pergunta: Você está conectando a OpenVPN a partir de onde?
-
Só uma pergunta: Você está conectando a OpenVPN a partir de onde?
A VPN está interligada Site-to-Site com 2 PFSense cada um sendo o gw padrão de cada localidade matriz / filial.
-
Marcelloc e JackL,
Me digam se estiver errado, mas como o PFSense é quem fecha a VPN, deve existir uma interface no sistema ou ao menos um Virtual IP. Tente apontar as rotas para essa interface/ip.
-
Marcelloc e JackL,
Me digam se estiver errado, mas como o PFSense é quem fecha a VPN, deve existir uma interface no sistema ou ao menos um Virtual IP. Tente apontar as rotas para essa interface/ip.
Quando vou no status do OpenVPN aparece o IP Virtual da VPN porém o mesmo não pode ser atribuido a uma interface fisica. A interface virtual no pfsense está como "ovpnc1" e ip 10.0.0.2.
-
Você não consegue criar um Gateway baseado nessa interface virtual?
-
Você não consegue criar um Gateway baseado nessa interface virtual?
Bom dia e desculpa a demora pra responder!!! Cara já tentei criar… Pela web não é possível e através do comando de terminal ele não encontra a interface... Se alguém aqui do fórum souber como se faz eu agradeço pois se não conseguir infelizmente terei que retirar os PFs...
-
Você não consegue criar um Gateway baseado nessa interface virtual?
Bom dia e desculpa a demora pra responder!!! Cara já tentei criar… Pela web não é possível e através do comando de terminal ele não encontra a interface... Se alguém aqui do fórum souber como se faz eu agradeço pois se não conseguir infelizmente terei que retirar os PFs...
Alguém tem uma luz?
-
Olá,
Dá um olhada nesse tópico: http://forum.pfsense.org/index.php/topic,58083.15.html
-
Já tentou adicionar a rota na configuração do openvpn, como o próprio exemplo sugestiona ?
isso pode ser feito tanto no lado servidor, quanto no lado cliente.
-
Já tentou adicionar a rota na configuração do openvpn, como o próprio exemplo sugestiona ?
isso pode ser feito tanto no lado servidor, quanto no lado cliente.
Boa noite Luiz Gustavo
Efetuei este procedimento sim… De PFSense Filial pra PFSense Matriz o roteamento funciona... O problema está quando qualquer computador da rede filial tenta usar este roteamento... O PFSense em vez de mandar o pacote para o tunnel vpn ele manda pra interface wan... Já não sei mais o que fazer... Tava até pesquisando sobre o IPFW para ver se conseguia algum procedimento através de shell mesmo mais ainda sem solução...
-
Mais alguém teria uma solução pra este problema???
-
Galera para melhor entendimento da minha rede segue abaixo a mesma.
Preciso que qualquer maquina da rede 192.168.2.0/24 da minha filial consiga acessar o ip 172.30.100.5 através do tunnel vpn. Fiz teste do PFsense da filial através traceroute e o mesmo faz certinho o caminho até o router serpro porém de dentro da rede da filial não. Ele sempre tenta sair pela interface wan ou opt1.
Agradeço a ajuda pois já estou quase perdendo as esperanças em fazer isso funcionar pois já pesquisei muito e ainda não consegui solução.
-
Dê uma olhada aqui, talvez ajude:
http://forum.pfsense.org/index.php/topic,58083.msg310765.html#msg310765 -
Dê uma olhada aqui, talvez ajude:
http://forum.pfsense.org/index.php/topic,58083.msg310765.html#msg310765Boa tarde Johnnybe
Já segui este procedimento que você postou porém quando o faço nem mesmo o PFsense da filial consegue chegar até a matriz… A unica maneira que encontrei do PFsense da filial chegar até a matriz com traceroute no ip 172.30.100.5 foi deixando ele fazendo este tipo de roteamento através do advanced options do openvpn: routepush; route 172.30.100.0 255.255.255.0
Acho que sobre este assunto já olhei de cabo a rabo aqui no forum porém ainda não encontrei a solução.
A grande questão é que não gostaria de deixar de utilizar o PFSense.
Mais valeu pela ajuda!!!
-
Galera me tira uma duvida…
Se de PFSense pra PFSense o roteamento funciona não seria alguma configuração que eu deveria adicionar nas regras de firewall? Por eu estar usando nos dois PFSense o Load Balanced \ Failover poderia ser algo a ser configurado na aba Floating? Pois as regras se aplicam na subnet correto?
Efetuei mais alguns testes porém ainda sem sucesso.
-
Boa noite galera…
Abri um topic no support em inglês e o membro phil.davis me deu um toque referente a estar usando o failover conforme mensagem abaixo...
Use Diagnostics->Routes to see what routes end up in the routing table. The 192.168.2.10 pfSense should have a route to 172.30.100.0/24 that goes through the tunnel.
The diagram mentions failover on the pfSense boxes - maybe you have rules feeding (policy routing) general internet traffic into gateway groups. If those rules are too broad, and include 172.30.100.0/24, then that would be forcing the traffic into the external gateways before the OpenVPN route gets looked at.Alguém poderia me ajudar a tentar a solucionar está questão forçando ou negando este range nas regras de loadbalanced/failover?
-
@LCantano:
Boa noite galera…
Abri um topic no support em inglês e o membro phil.davis me deu um toque referente a estar usando o failover conforme mensagem abaixo...
Use Diagnostics->Routes to see what routes end up in the routing table. The 192.168.2.10 pfSense should have a route to 172.30.100.0/24 that goes through the tunnel.
The diagram mentions failover on the pfSense boxes - maybe you have rules feeding (policy routing) general internet traffic into gateway groups. If those rules are too broad, and include 172.30.100.0/24, then that would be forcing the traffic into the external gateways before the OpenVPN route gets looked at.Alguém poderia me ajudar a tentar a solucionar está questão forçando ou negando este range nas regras de loadbalanced/failover?
Boa tarde galera
Gostaria de agradecer a todos pela contribuição… Consegui solucionar o problema de roteamento com a ajuda do membro phil.davis do suporte em inglês conforme resposta abaixo.
From the LAN rules, I don't think that you can reach 192.168.1.0/24 or 172.30.100.0/24 from the client LAN 192.168.2.0/24. The last LAN rule is directing it all into LoadBalance_Failover.
I think this will work:
a) Add an alias InternalNets for the networks 192.168.1.0/24 and 172.30.100.0/24
b) Add a rule before the last LAN to LoadBalance_Failover rule. Pass source LAN net, Destination InternalNets, no gateway.
The packets for those internal networks should be passed straight out of the packet filter and use the normal routing table.Realmente o problema estava nas regras de lan por causa do meu loadbalanced/failover. Bastou seguir as instruções acima que consegui solucionar o meu problema. Espero que este tópico ajude outros usuários com problemas parecidos.
Obrigado a todos…