[RESOLVIDO] Openvpn Matriz x Filiais

ccesario

Pessoal, estou com um problema relacionado ao Openvpn. Primeiramente vou tentar explicar o ambiente que tenho e então o problema.

Hoje possuo o seguinte cenario utilizando o openvpn com linux.

| –--- FILIAL 1
Matriz| ----- FILIAL 2
| ----- FILIAL 3

Tudo tranquilo.

Estou fazendo o mesmo ambiente com o PFsense (como o servidor de VPN) + Filiais com Linux

LAN da MATRIZ - 192.168.15.0/24
LAN da FILIAL - 192.168.13.0/24

Porém, eu não consigo fazer com que as máquinas da matriz enxergarem as máquinas da filiais, mas as máquinas das filiais enxergam qualquer máquina da matriz.

A VPN é estabelecida normalmente, as rotas são criadas.

Segue anexo algumas imagens do cenario. Se alguém puder dar uma dica, fico grato.

att,

vpn1.jpg_thumb

vpn2.png_thumb

vpn3.png_thumb

route_lin.png_thumb

rota_pf.png_thumb

marcelloc

Na sua aba de regras do openvpn, você lembrou de configurar acesso para as duas direções?

O que você já conseguiu identificar com o tcpdump?

ccesario

@marcelloc:

Na sua aba de regras do openvpn, você lembrou de configurar acesso para as duas direções?

2 direções? Eu coloquei any to any para efeito de testes

Veja anexo.

@marcelloc:

O que você já conseguiu identificar com o tcpdump?

O que consegui com o tcpdump foi apenas identificar que as requisições das máquinas da matriz chegam somente até a LAN do pfsense, é como ele não fizesse o forward ou devido roteamento para a interface do openvpn.

LAN

tcpdump -vv -i bce0 dst host 192.168.13.1
tcpdump: listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes

12:03:11.228712 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 153, length 64
12:03:12.236774 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 154, length 64
12:03:13.244790 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 155, length 64
12:03:14.252823 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 156, length 64
12:03:15.260753 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 157, length 64
12:03:16.268705 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 158, length 64

OPENVPN

tcpdump -vv -i ovpns1 dst host 192.168.13.1
tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytes

ou

tcpdump -vv -i ovpns1 host 192.168.15.27
tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytes

att,

rules_vpn.jpg_thumb

marcelloc

Na aba do openvpn server, voce esqueceu de colocar o 'push' com as rotas entre aspas.

ccesario

Não é necessário Marcello.

Como eu defini minha rede local no campo "Local Network" como 192.168.15.0/24

Ele automaticamente gerou o arquivo com o push!

cat /var/etc/openvpn/server1.conf | grep -i push

push "route 192.168.15.0 255.255.255.0"

Vou verificar as regras de Lan (não sei pode ter algo relacionado)

att

marcelloc

você fez da rede 15, mas não fez da rede 13.

Confere as duas.

ccesario

@marcelloc:

você fez da rede 15, mas não fez da rede 13.

Confere as duas.

Da rede 13 eu só preciso do route (que eu já coloquei)

Mas eu acho que já descobri. Não sei se é o modo correto, mas funcionou.

Criei 2 Regras na aba Floating para a interface LAN, com o SRC e DST à rede da Filial.

(alias, até agora não entendi muito bem essa aba Floating) :P

Veja como ficou

floating.png_thumb

marcelloc

A aba floating são regras para o bom e velho ipfw equanto as outras abas são para o pf.

ccesario

@marcelloc:

A aba floating são regras para o bom e velho ipfw equanto as outras abas são para o pf.

Obrigado! ;D