Problema para acessar somente os roteadores em outra VLAN ou via VPN
-
Bom dia amigo!
Meu primeiro post é sobre um problema que está me tirando o sono. SeguinteTenho configurado no meu PF na interface re0 a LAN(192.168.0.0/24) e a VLAN200(10.150.10.0/24).
Inseri uma regra no Firewall da VLAN200 para que tenha acesso total aos ips da LAN, na qual funcionou para todos os ips, Servers linux/windows, impressoras, switch, porém não consigo acessar os roteadores, são roteadores comuns, wireless, um Asus RT-AC66U, Cisco Linksys EA6300, e outros da TP-link, netgear. Não consigo acessar nenhum deles. De resto acesso tudo.
O problema acontece via VPN tb, acesso todos os ips, menos os routers.
Subi um ubuntu server tb com openvpn e acesso normal todos, inclusive os routers.
Concluí que é algum problema, alguma config espeçifica do PF, pois nos logs, ele não dropa a conexão, aparece como aceito, mto estranho.
Não sou expert em redes, por isso gostaria que alguém me desse um luz, pois já tentei de tudo.
Agradeço desde já!
-
Olá!
O problema é na configuração dos roteadores.
O roteador vai recusar acesso a interface de gerenciamento via Browser se a subrede for diferente da dele. Ou seja, se o IP do roteador for 192.168.0.10 e sua estação estiver na VLAN200 com IP 10.150.10.50, ele interpreta como sendo uma tentativa de acesso externo.
A maioria dos roteadores possui uma configuração para acesso remoto, ali você pode configurar quais IPs de origem ele vai aceitar acesso.
-
Olá Luiz,
Tem dois fatores que me fazem acreditar que não seja isso que vc falou:
1 - Eu subi um Linux com o OpenVpn instalado, direto, e através desse túnel eu consigo acessar todos dispositivos da minha rede, inclusive os roteadores. Pelo OpenVpn do PF não, acesso somente máquinas, impressoras, os roteadores não consigo acesso.
2 - Creio que não precise mexer nos roteadores pelo fato acima e também pq eu não utilizo a porta WAN destes roteadores, eu apenas desativo o dhcp deles, e coneto um cabo em uma das 4 LAN disponíveis.
Obs: Já tentei tudo q é config nos roteadores, desativando seus firewalls e filtros.
Vlw!
-
Olá Luiz,
Tem dois fatores que me fazem acreditar que não seja isso que vc falou:
1 - Eu subi um Linux com o OpenVpn instalado, direto, e através desse túnel eu consigo acessar todos dispositivos da minha rede, inclusive os roteadores. Pelo OpenVpn do PF não, acesso somente máquinas, impressoras, os roteadores não consigo acesso.
2 - Creio que não precise mexer nos roteadores pelo fato acima e também pq eu não utilizo a porta WAN destes roteadores, eu apenas desativo o dhcp deles, e coneto um cabo em uma das 4 LAN disponíveis.
Obs: Já tentei tudo q é config nos roteadores, desativando seus firewalls e filtros.
Vlw!
Meu caro, esse servidor Open VPN, são clientes que se conectam a ele direto certo? O IP deles não é na mesma subrede dos roteadores?
-
Sim, o OpenVpn do PF conecta pelo ip 192.168.15.0/24 na rede 192.168.0.0/24, sem problemas, acesso tudo, somente os Roteadores que não acesso.
Como disse anteriormente, Eu subi uma maquina Linux com o OpenVpn server para Linux, configurei pra conectar com esse ip tb 192.168.15.0/24 na rede 192.168.0.0/24 e eu consigo acessar tudo, inclusive os Roteadores entendeu?
Somente pelo Openvpn do PF ( e via VLAN 10.150.10.0/24) não consigo acessar os Roteadores, os outros dispositivos eu pingo e acesso normal sacou?
;)
-
Você não consegue ao menos resposta de ping desses roteadores pela VPN?
Se respondem a Ping, seu NAT está ok. Se você chega na tela de configuração dos roteadores via Browser, mas o roteador da acesso negado, é problema na configuração do roteador.
-
Cara, ele não responde ping e não é NAT.
Estou na rede VPN ou na VLAN200, tanto faz, ambas não acessam os roteadores, porem acessam os demais outros dispositivos.
Entendeu?
Na VPN e na VLAN200 eu tenho uma config de firewall para poderem acessar tudo ad LAN, só q os ips dos roteadores nao responde, somente eles!
-
Olá!
Olha, se você acessa tudo entre as redes, está claro que não é algo que possa ser configurado no PFSense. Volto a dizer, isso me parece configuração de segurança nas interfaces dos roteadores.
Abra eles, procure a configuração de acesso remoto a interface Web deles, coloque como permitida uma ou todas essas subredes fora a que eles fazem parte e ai faça o teste.
-
Luiz, vc não está entendendo.
Pra fazer o teste, em outra rede, eu subi um servidor VPN, OPENVPN, diretemanete num Ubuntu Server 12.04.1 e através deste, eu acessei a rede COMPELTAMENTE, todos os servers, impressoras, ROTEADORES, ABSOLUTAMENTE TUDO!
Por isso continuo batendo na tecla que é o PFSENSE.
Porque raios funcionaria num openVpn puro no linux e não no openvpn do PF?
Ja verifiquei a configuração dos roteadores amigo, sem sucesso.
Espero que tenha entendido dessa vez.
-
Bom dia!
Em primeiro lugar, cuidado com o tom ao falar com as pessoas no fórum, ninguém aqui é empregado da ESF, mantenedora do PFSense, somos todos usuários e/ou colaboradores do projeto. Postar aqui é voluntário.
Segundo, se você está tão seguro que o problema é no PFSense, desenhe um diagrama de topologia de rede demonstrando suas subredes, os roteadores e o pfsense no meio. Poste também imagens das configurações do OpenVPN, de NAT Outbound, Regras de Firewall nas interfaces envolvidas, inclusive a da VPN.
EDIT: No diagrama, pelo menos um dos roteadores e seu IP.
-
Acredito mesmo que seja alguma config específica do PF, por conta do teste que fiz num OpenVpn Server direto no Linux. O que reforça também que seja no PF é o fato do problema acontecer tb entre a comunicação entre LAN e VLAN, comunico com todos os ips, exceto os de roteadores.
Desculpe o "tom", realmente não foi a intenção.
Irei desenhar o diagrama para facilitar.
Vlw!