OpenVPN Client no pfSense
-
Olá a todos,
configurei um cliente OpenVPN no pfsense para acesso a um sistema remoto (a conexão é feita através de um emulador de terminal e usa telnet).
A configuração do cliente está 100% (conexão, atribuição de IP, rotas), a tabela de roteamento da vpn criada é:
10.3.10.3/32 172.18.240.1 UGS 0 0 1500 ovpnc1 10.3.254.1/32 172.18.240.1 UGS 0 380 1500 ovpnc1 172.18.240.0/20 172.18.245.213 UGS 0 67 1500 ovpnc1 172.18.245.213 link#9 UH 0 0 1500 ovpnc1
Na aba OpenVPN em Rules eu liberei todo o tráfego
No servidor eu consigo fazer a conexão sem problemas (telnet 10.3.254.1) porém se eu tentar fazer a conexão através de uma estação dá timeout.
Rodei o tcpdump no servidor (escutando a interface do openvpn) e tente conectar através da estação:
14:52:43.414247 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5276855 ecr 0,nop,wscale 7], length 0 14:52:44.414139 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5277105 ecr 0,nop,wscale 7], length 0 14:52:46.418117 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5277606 ecr 0,nop,wscale 7], length 0 14:52:50.426206 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5278608 ecr 0,nop,wscale 7], length 0 14:52:58.442366 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5280612 ecr 0,nop,wscale 7], length 0 14:53:14.490651 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5284624 ecr 0,nop,wscale 7], length 0 Pelo que entendi o pacote chegou na interface da vpn. Está certo? O que falta para completar a conexão? Tenho que fazer NAT? Estou meio perdido!! ![Captura de tela de 2014-04-02 14:44:22.png](/public/_imported_attachments_/1/Captura de tela de 2014-04-02 14:44:22.png) ![Captura de tela de 2014-04-02 14:44:22.png_thumb](/public/_imported_attachments_/1/Captura de tela de 2014-04-02 14:44:22.png_thumb)[/s][/s][/s][/s][/s][/s]
-
O que deve estar acontecendo é que o 10.3.254.1 não sabe como devolver o pacote para o 192.168.0.10. Para resolver isso você teria que por uma rota nele falando que pra chegar na rede 192.168.0.x ele deveria usar o tunel (172.18.240.2) ou então, fazer um NAT antes de enviar o pacote, pra que a origem seja o 172.18.240.1. Pelo menos é o que imagino baseado no que consegui entender do seu ambiente
-
Renato, obrigado pela sua resposta.
A 1ª opção é impossível: não tenho acesso ao sistema remoto e já sei de antemão que eles não atenderam qq solicitação desse tipo.
A segunda opção é Outbond NAT? O IP de origem não teria que ser o que o cliente OpenVPN designou? No caso: 172.18.245.213
-
Exato, eu comi o 13 e deixei apenas 2 la :)
-
-
Renato, muito obrigado pela sua ajuda.
Foi só configurar o outbound NAT e funcionou!!!!
Em anexo estou enviando a tela de configuração do outbound NAT para quem precisar
![Captura de tela de 2014-04-09 10:08:06.png](/public/imported_attachments/1/Captura de tela de 2014-04-09 10:08:06.png)
![Captura de tela de 2014-04-09 10:08:06.png_thumb](/public/imported_attachments/1/Captura de tela de 2014-04-09 10:08:06.png_thumb) -
Olá, não intendi muito bem.
Minha rede interna: 192.168.0.0/24.
Rede Tunel: 172.16.0.0/24.O cliente VPN conecta, pega IP 172.16.0.6 mas sequer pinga para um servidor com ICMP liberado na rede interna.
Já criei regra no OpenVPN para passar tudo.
Não intendi sobre a parte do NAT Outbound.
Poderia me ajudar?
Obrigado.
-
Vc chegou a entrar no shell e ver se por lá pinga na rede da VPN?
-
Vc chegou a entrar no shell e ver se por lá pinga na rede da VPN?
Olá, pinguei e não pinga de nenhum dos lados.
Source Address: Default, LAN, WAN1, OpenVPN, ambos com mesma falha.
PING 172.16.0.6 (172.16.0.6): 56 data bytes --- 172.16.0.6 ping statistics --- 3 packets transmitted, 0 packets received, 100.0% packet loss
Att.
-
Desculpa, não fui claro.
Vc entrou no shell do pfSense?
No shell do pfSense vc tem que conseguir pingar no endereço 172.16.0.6, senão imagino que tenha alguma coisa errada com a configuração do cliente OpenVPN
-
Desculpa, não fui claro.
Vc entrou no shell do pfSense?
No shell do pfSense vc tem que conseguir pingar no endereço 172.16.0.6, senão imagino que tenha alguma coisa errada com a configuração do cliente OpenVPN
Sem crise, grato pela ajuda.
Não pinga, veja no "Status: OpenVPN" que conectado está, mas não conecta.
Att.
-
Não conheço muito de VPN mas estou achando que pode ser um problema de roteamento.
Dá uma olhada em Diagnostics -> Routes
-
Não conheço muito de VPN mas estou achando que pode ser um problema de roteamento.
Dá uma olhada em Diagnostics -> Routes
Não aparece nada, como vemos no print abaixo.
Att.