OPEN VPN vs Dynamic DNS

LFCavalcanti

Senhores,

Segui o padrão para criar a VPN, funciona tranquilo se coloco o IP como meio de conexão, se uso o Host do No-IP, a conexão falha.

Alguém com problema semelhante?

marcelloc

Sua lista de dns servers é grande?

Será que você não está com a mesma instabilidade que o gilmarcabral está passando no outro post de vpn?

LFCavalcanti

@marcelloc:

Sua lista de dns servers é grande?

Não entendi… seria a quantidade de hosts ou de servidores DNS configurados no PFSense?
Bom, o Forward interno está desabilitado e no PFSense uso DNS do Google(8.8.8.8), Open DNS(208.67.222.222) e DNS da UNICAMP(143.106.2.5 e 143.106.51.37).

@marcelloc:

Será que você não está com a mesma instabilidade que o gilmarcabral está passando no outro post de vpn?

No meu caso não estou usando VLANs, nem tenho problemas de conectividade. Se eu exportar o cliente com o IP da interface(WAN), funciona bem, se exportar o arquivo utilizando o DNS Dinâmico, não funciona.

gilmarcabral

Vc esta utilizando openvpn site-to-site e especificando a configuração apra rodar em uma interface tun especifica.
Exemplo tun1?

LFCavalcanti

@gilmarcabral:

Vc esta utilizando openvpn site-to-site e especificando a configuração apra rodar em uma interface tun especifica.
Exemplo tun1?

A VPN no caso é "Client-to-Site".

gilmarcabral

Certo.
Pensei que poderia ser o mesmo bug que encontrei na openvpn site-to-site.
O que achei interessante pelo menos no meu caso no arquivo gerado pela GUI, ele passa o protocolo tcp-ipv6 sendo que utilizei ipv4 nos ips.

LFCavalcanti

@gilmarcabral:

Certo.
Pensei que poderia ser o mesmo bug que encontrei na openvpn site-to-site.
O que achei interessante pelo menos no meu caso no arquivo gerado pela GUI, ele passa o protocolo tcp-ipv6 sendo que utilizei ipv4 nos ips.

Pensando aqui, cogitei isso, mas pensando no problema:
Se eu exporto o arquivo de configuração selecionando o IP da Interface como endereço, funciona tudo certo, só que nesse cliente a internet é com IP Dinâmico, e região que eles estão não tem muita opção. Então configurei um Host do No-IP, aqui nós contratamos a versão paga do No-IP.

Para outros acessos, como ao DVR e o acesso para Terminal Service que liberamos(porque a VPN não funciona), está tudo certo, acesso usando o Host DNS. Só a OpenVPN que não funciona. Não há registro de erro nos LOGs, a conexão simplesmente nem inicia.

gilmarcabral

Muito estranho mesmo.
Pelo que vi nos meus testes este suporte a ipv6 deixou alguns pacotes malucos como a openvpn e o squid.
Tentou desabilitar o suporte a ipv6 pela GUI?
O problema de desabilitar o suporte a ipv6 pela GUI é que o squid não abre a porta quando o suporte a ipv6 esta desabilitado.

LFCavalcanti

@gilmarcabral:

Muito estranho mesmo.
Pelo que vi nos meus testes este suporte a ipv6 deixou alguns pacotes malucos como a openvpn e o squid.
Tentou desabilitar o suporte a ipv6 pela GUI?
O problema de desabilitar o suporte a ipv6 pela GUI é que o squid não abre a porta quando o suporte a ipv6 esta desabilitado.

Olá!

Nos clientes que não tenho nenhum dispositivo ou necessidade com IPv6 eu deixo desabilitado.

Não tive problemas com a porta do Squid nesse servidor, eu uso a 8080, não sei se há algum bug com a 3128.

O mais estranho é que o PFSense não me retorna nada nada nos LOGs, nem de sistema, nem do Firewall, nem da OpenVPN.

Poderiam me dar uma sugestão de parametros no TCDump para rastreas esses pacotes?

gilmarcabral

A openvpn no servidor esta configurado como udp ou tcp?

LFCavalcanti

@gilmarcabral:

A openvpn no servidor esta configurado como udp ou tcp?

UDP.

gilmarcabral

Interessante você informar que mudou a porta do squid para 8080 mesmo com o suporte a IPV6 desabilitado na GUI e ela não ficar como CLOSED.
Olha como fica no pfsense 2.1.

tcp4      0      0 127.0.0.1.8080        .                    CLOSED
tcp4      0      0 192.168.1.13.8080      .                    CLOSED

Sobre este problema ai do seu cliente.
Pelo que entendi no servidor vc usa no-ip?
Caso sim tente conectar sem o no-ip tenta conectar direto com o ip que esta no momento no servidor.
Assim você descarta de e algo no NO-IP.

LFCavalcanti

@gilmarcabral:

Interessante você informar que mudou a porta do squid para 8080 mesmo com o suporte a IPV6 desabilitado na GUI e ela não ficar como CLOSED.
Olha como fica no pfsense 2.1.

tcp4      0      0 127.0.0.1.8080        .                    CLOSED
tcp4      0      0 192.168.1.13.8080      .                    CLOSED

Sobre este problema ai do seu cliente.
Pelo que entendi no servidor vc usa no-ip?
Caso sim tente conectar sem o no-ip tenta conectar direto com o ip que esta no momento no servidor.
Assim você descarta de e algo no NO-IP.

Sobre o travamento da porta do Squid, mesmo criando a regra no Firewall "na mão" a porta fica travada?

Como eu disse acima, a conexão com o IP da interface funciona perfeitamente, assim como a conexão usando o NO-IP funciona para outros acessos, só não funciona para o OpenVPN.

gilmarcabral

Testou utilizando tcp para ver se ira dar o mesmo resultado?

gilmarcabral

Sim.
Tentei liberar no rules da lan a porta 8080 e mesmo assim sem sucesso.
Isso na versão 2.1 do pfsense.

marcelloc

Somente no squid 3.3 que tem suporte a ipv6. o squid2 não tem isso.

LFCavalcanti

NOVIDADES!

Segui a recomendação do colega e mudei o servidor OpenVPN para TCP. Agora está funcionando com o Host DNS Dinâmico do No-IP.

Agora continuo precisando resolver o problema com o Squid, que está no outro tópico. Acredito que o meu problema e do gilmarcabral tenham origens iguais: Implementação do IPv6 no PFSense 2.1

gilmarcabral

Ótima noticia.
Se não me engano eu passei por algo por isso recomendei o tcp.
O meu aqui sem novidades ainda. infelizmente a openvpn cria os parametros passando ipv6