OpenVPN Client no pfSense

jdgrieco

Olá a todos,

configurei um cliente OpenVPN no pfsense para acesso a um sistema remoto (a conexão é feita através de um emulador de terminal e usa telnet).

A configuração do cliente está 100% (conexão, atribuição de IP, rotas), a tabela de roteamento da vpn criada é:


10.3.10.3/32           172.18.240.1           UGS   0   0   1500   ovpnc1    
10.3.254.1/32           172.18.240.1           UGS   0   380   1500   ovpnc1    
172.18.240.0/20   172.18.245.213   UGS   0   67   1500   ovpnc1    
172.18.245.213   link#9                   UH   0   0   1500   ovpnc1

Na aba OpenVPN em Rules eu liberei todo o tráfego

No servidor eu consigo fazer a conexão sem problemas (telnet 10.3.254.1) porém se eu tentar fazer a conexão através de uma estação dá timeout.

Rodei o tcpdump no servidor (escutando a interface do openvpn) e tente conectar através da estação:


14:52:43.414247 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5276855 ecr 0,nop,wscale 7], length 0
14:52:44.414139 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5277105 ecr 0,nop,wscale 7], length 0
14:52:46.418117 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5277606 ecr 0,nop,wscale 7], length 0
14:52:50.426206 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5278608 ecr 0,nop,wscale 7], length 0
14:52:58.442366 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5280612 ecr 0,nop,wscale 7], length 0
14:53:14.490651 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5284624 ecr 0,nop,wscale 7], length 0

Pelo que entendi o pacote chegou na interface da vpn. Está certo?

O que falta para completar a conexão? Tenho que fazer NAT?

Estou meio perdido!!
![Captura de tela de 2014-04-02 14:44:22.png](/public/_imported_attachments_/1/Captura de tela de 2014-04-02 14:44:22.png)
![Captura de tela de 2014-04-02 14:44:22.png_thumb](/public/_imported_attachments_/1/Captura de tela de 2014-04-02 14:44:22.png_thumb)[/s][/s][/s][/s][/s][/s]

rbgarga

O que deve estar acontecendo é que o 10.3.254.1 não sabe como devolver o pacote para o 192.168.0.10. Para resolver isso você teria que por uma rota nele falando que pra chegar na rede 192.168.0.x ele deveria usar o tunel (172.18.240.2) ou então, fazer um NAT antes de enviar o pacote, pra que a origem seja o 172.18.240.1. Pelo menos é o que imagino baseado no que consegui entender do seu ambiente

jdgrieco

Renato, obrigado pela sua resposta.

A 1ª opção é impossível: não tenho acesso ao sistema remoto e já sei de antemão que eles não atenderam qq solicitação desse tipo.

A segunda opção é Outbond NAT? O IP de origem não teria que ser o que o cliente OpenVPN designou? No caso: 172.18.245.213

rbgarga

Exato, eu comi o 13 e deixei apenas 2 la :)

rbgarga

@Renato:

Exato, eu comi o 13 e deixei apenas 2 la :)

E sim, é no Outbound NAT.

jdgrieco

Renato, muito obrigado pela sua ajuda.

Foi só configurar o outbound NAT e funcionou!!!!

Em anexo estou enviando a tela de configuração do outbound NAT para quem precisar

![Captura de tela de 2014-04-09 10:08:06.png](/public/imported_attachments/1/Captura de tela de 2014-04-09 10:08:06.png)
![Captura de tela de 2014-04-09 10:08:06.png_thumb](/public/imported_attachments/1/Captura de tela de 2014-04-09 10:08:06.png_thumb)

rec

Olá, não intendi muito bem.

Minha rede interna: 192.168.0.0/24.
Rede Tunel: 172.16.0.0/24.

O cliente VPN conecta, pega IP 172.16.0.6 mas sequer pinga para um servidor com ICMP liberado na rede interna.

Já criei regra no OpenVPN para passar tudo.

Não intendi sobre a parte do NAT Outbound.

Poderia me ajudar?

Obrigado.

jdgrieco

Vc chegou a entrar no shell e ver se por lá pinga na rede da VPN?

rec

@jdgrieco:

Vc chegou a entrar no shell e ver se por lá pinga na rede da VPN?

Olá, pinguei e não pinga de nenhum dos lados.

Source Address: Default, LAN, WAN1, OpenVPN, ambos com mesma falha.


PING 172.16.0.6 (172.16.0.6): 56 data bytes

--- 172.16.0.6 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Att.

jdgrieco

Desculpa, não fui claro.

Vc entrou no shell do pfSense?

No shell do pfSense vc tem que conseguir pingar no endereço 172.16.0.6, senão imagino que tenha alguma coisa errada com a configuração do cliente OpenVPN

rec

@jdgrieco:

Desculpa, não fui claro.

Vc entrou no shell do pfSense?

No shell do pfSense vc tem que conseguir pingar no endereço 172.16.0.6, senão imagino que tenha alguma coisa errada com a configuração do cliente OpenVPN

Sem crise, grato pela ajuda.

Não pinga, veja no "Status: OpenVPN" que conectado está, mas não conecta.

Att.

jdgrieco

Não conheço muito de VPN mas estou achando que pode ser um problema de roteamento.

Dá uma olhada em Diagnostics -> Routes

rec

@jdgrieco:

Não conheço muito de VPN mas estou achando que pode ser um problema de roteamento.

Dá uma olhada em Diagnostics -> Routes

Não aparece nada, como vemos no print abaixo.

Att.