VPN problema con conexión
-
Saludos:
He implementado en mi red interna un servidor VPN RoadWarrior con pfSense, y al conectar a un usuario desde una red externa se llega a conectar y le asigna una ip, pero al momento de acceder al correo interno por intra.midominio.net aparece mi hosting diciendo que es una pagina denegada y al hacerle un ping a intra.midominio.net me da la ip de mi hosting, alguien podria decirme que es lo que me falta o estaria mal?, pues al parecer no esta pasando por el tunel hasta mi red interna sino que esta saliendo directo a internet, ojala me puedan dar una ayuda. saludos
-
Tu cliente está empleando para resolución DNS un servicio DNS en internet, con lo que intra.midominio.net es resuelto con su IP pública (si existe) y tú quieres que sea la privada, por lo que dices. De esta forma, efectivamente, irías hasta él por la VPN.
Ahí tienes varias soluciones. Una es "alterar" el fichero hosts de tu road warrior, para indicar la IP interna de intra.midominio.net
La otra, más elegante, es hacer que tu road warrior resuelva nombres empleando un servidor DNS tuyo, interno.
En este caso, en el servidor OpenVPN de pfSense tendrás que emplear las opciones DNS Servers - Provide a DNS server list to clients
Como servidor DNS para tu roadwarrior puedes usar el propio pfSense, rellenando Host Overrides con tu intra.midominio.net
-
Saludos amigo bellera, este cambio lo hago en OpenVPN–>DNS Servers-->Provide a DNS server list to clients y aqui en Server #1 coloco el ip publico y vuelvo a generar otro archivo de configuracion, tambien te comento que el esquema de la red es:
[Internet]–>[Firewall]–>[pfSense-OpenVPN]
|
|____>Al hacer este cambio se activa la conexion pero de igual manera no hace el tunneling y pasa directamente a internet. Y no tengo por ahora muchas ideas, tambien modifique el archivo hosts de windows desde mi casa para direccionar a la empresa, colocando el ip publico del server donde esta pfsense
-
No. Tienes que poner la IP (privada) de la LAN de pfSense. Tu roadwarrior tiene que emplear a pfSense como único DNS.
Como servidor DNS para tu roadwarrior puedes usar el propio pfSense, rellenando Host Overrides con tu intra.midominio.net
-
Hice los cambios indicados y ya no conecta, no se si podria detallarte cuales fueron mis pasos para que me puedas corregir si me equivoque en un punto.
-
En el servidor OpenVPN de pfSense tendrás que emplear las opciones DNS Servers - Provide a DNS server list to clients
Como servidor DNS para tu roadwarrior puedes usar el propio pfSense, rellenando Host Overrides con tu intra.midominio.net
Sólo tienes que hacer esto. Por imponerle un DNS al roadwarrior no debería dejar de establecerce el túnel.
¿Seguro que no cambiaste más cosas?
-
saludos bellera una consulta no hay problema si la vpn esta detras de un firewall? se podria usar 1 tarjeta de red? o necesariamente tiene que tener 2 y contar con una ip publica, pues como te comente mi esquema de red es asi:
Mi casa –------->[Internet]–-->[Firewall]
|
|
|–>[pfSense-OpenVPN]
|
|____> -
-
El cortafuegos que tienes por delante de pfSense tiene que admitir el paso del tráfico.
-
Como que el cortafuegos debe ser un enrutador, habrá que hacer NAT en él del puerto de la VPN hacia pfSense.
-
En 2.x no es obligatorio tener dos tarjetas, Google opnenvpn one nic site:forum.pfsense.org
-
-
OpenVPN pueden ser configurado para que todo el tráfico generado por el usuario sea transmitido por la VPN, por ejemplo que todo el acceso a Internet sea transmitido por la VPN y se dificulta la posibilidad que un tercero intercepte.
-
Saludos bellera, tengo una consulta con respecto al dns, lo que pasa es que en el firewall tengo corriendo un DNS Server interno, de todas maneras tendría que crear otro DNS Server en el servidor pfsense? o podria usar el mismo que esta en firewall (esto no trairia problemas para conectar la vpn del pfsense).
Al configurar el tunel el "Tunnel Setting" si selecciono "Redirect Gateway–>Force all client generated traffic through the tunnel" ayudaria a establecer el tunnel?
-
En el servidor OpenVPN puede imponerse qué DNS emplear al cliente OpenVPN.
Provide a DNS server list to clientsLa opción
Redirect Gateway Force all client generated traffic through the tunnel.lo que hace es imponer la VPN como puerta (gateway) del cliente.
Son pues, dos cosas distintas.
Así, si tengo un cliente OpenVPN que accede a mi red y quiero que pueda resolver servicios de mi intranet sin pasar por internet bastará que use mis DNS internos.
En cambio si lo que tengo es un cliente OpenVPN que no deseo que navegue "por libre" y lo haga usando el proxy corporativo le obligaré a pasar todo por el túnel. Y si tengo DNS internos también habré empleado la opción anterior.
Espero haberme explicado…
-
Perfecto, muy detallado gracias, he realizado las pruebas y a la configuracion de dns del openvpn le he colocado la direcion del servidor dns interno, provee en una maquina virtual y todo correcto, se puede acceder a los recursos compartidos, aunque la tarjeta local aparece con conexion a la red interna, la tarjeta de la vpn (TAP-Windows Adapter V9) aparece como "Red no identificada"
Prove en la pc de mi casa para conectarme pero aparece:
Tue Feb 11 13:58:53 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Tue Feb 11 13:58:57 2014 Control Channel Authentication: using 'ovpn-udp-1194-ksalazar-tls.key' as a OpenVPN static key file
Tue Feb 11 13:58:57 2014 UDPv4 link local (bound): [undef]
Tue Feb 11 13:58:57 2014 UDPv4 link remote: [AF_INET]192.168.127.8:1194
Tue Feb 11 13:59:57 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Feb 11 13:59:57 2014 TLS Error: TLS handshake failed
Tue Feb 11 13:59:57 2014 SIGUSR1[soft,tls-error] received, process restarting
Tue Feb 11 14:00:00 2014 UDPv4 link local (bound): [undef]
Tue Feb 11 14:00:00 2014 UDPv4 link remote: [AF_INET]192.168.127.8:1194 -
La auntenticación no coincide a ambos lados. Revisa el método de autenticación.
-
Si amigo tiene usted razon estaba usando "Local users", creo que lo mas recomendable seria usar la opcion "Create an intermediate certificate authority", estuve tratando de usar esta pero creo que no lo hice muy bien, nose si tendrias algun enlace o recomendacion para poder hacerlo, desde ya muchisimas gracias.
-
Arriba, en Documentación, tienes una entrada VPN donde hay tutoriales.
Mira los que son para 2.x, pues pfSense tiene gestor de certificados (System - Cert Manager) y no es necesario ya crearlos fuera con openssl como sucedía con versiones anteriores.
-
Perfecto muchas gracias bellera ya lo solucioné y ahora puedo conectarme desde mi casa a la red interna de la empresa, pero tengo una última consulta viendo las conexiones de red, la tarjeta TAP aparece como "Red no identificada" que faltaría para que identifique el nombre de la red pues como te comente ya puedo acceder a los recursos.
Nose si sabras si se puede usar el tunnel para que los usuarios si se conectan a una red insegura, cuando activen el vpn esta sea por el servidor o alguna manera de securizar su navegacion con la vpn
-
la tarjeta TAP aparece como "Red no identificada"
Eso deben ser cosas de Windows, ¿no?
Google red no identificada windows
http://support.microsoft.com/kb/2423416/esGoogle unidentified network windows openvpn
-
jejeje si tiene usted razon windows=marca ACME
Sabras como puedo usar el tunneling para asegurar la navegación? ayudaría si es que la puerta de enlace junto con el dns apuntan a mis servicios internos?
Seria necesario establecer el servicio de RADIUS para mayor seguidad o solo con la authenticación de Roadwarrior bastaria.
-
Sabras como puedo usar el tunneling para asegurar la navegación? ayudaría si es que la puerta de enlace junto con el dns apuntan a mis servicios internos?
Redirect Gateway Force all client generated traffic through the tunnel. -
Seria necesario establecer el servicio de RADIUS para mayor seguidad o solo con la authenticación de Roadwarrior bastaria.
Depende de qué quieras hacer…
http://es.wikipedia.org/wiki/RADIUS
http://es.wikipedia.org/wiki/Sslhttp://www.networkcomputing.com/1114/1114ws1.html