OpenVPN + Tunnelblick

ega · Jun 9, 2014, 3:01 PM

Buen día estimados,

Recientemente implementé una configuración de OpenVPN Roadwarrior con clientes Mac OSX, seguí al pie de la letra el tutorial, sólo que estoy usando otro cliente (tunnelblick), no el que indican en el tutorial porque sólo esta disponble una version de prueba por 30 dias, logré conectarme remotamente a la VPN, pero no logro mapear los equipos por su nombre, me explico, coloco en la barra de safari SMB://equipo y no logra acceder, si logré acceder al webgui de pfsense colocando la ip LAN del servidor, por lo cual asumo que sí estoy en red local, pero no sé por qué no logro mapear los equipos.

Me conecto remotamente, hago ping a la ip del pfsense y evidentemente me responde, pero no me responde ninguna otra dirección local de equipos conectados.

Gracias de antemano.-

bellera · Jun 9, 2014, 8:01 PM

En Rules tienes la pestaña OpenVPN para dar permisos de paso.

Pon una regla que permita todo, para probar.

bellera · Jun 9, 2014, 8:03 PM

Otro tema es que, por lo que veo, quieres acceder por nombres NetBIOS. Eso no va más allá de la subred donde están los equipos, a menos que tengas algún equipo que haga de WINS y lo comuniques en la configuración de OpenVPN para que los clientes sepan qué equipo es el WINS.

ega · Jun 9, 2014, 8:27 PM

Antes que nada, gracias por responder

La regla esta creada, y es probable que lo que comentas de netbios sea una causa, pero también intento acceder colocando la ip del equipo y no accede (smb://192.168.1.xxx)

Dato adicional, en diagnostics>traceroute, solicito la traza hacia un equipo en la LAN (incluso la direccion del pfsense) con direccion de origen OpenVPN Server, y no la muestra, los 18 saltos aparecen con asteriscos.

Algo me dice que estoy dejando algún paso o no estoy habilitando algo.

Gracias de antemano por su atención.

Saludos.-

ega · Jun 9, 2014, 8:42 PM

Corrijanme si me equivoco, en teoría, al colocar la red 192.168.1.0/24 en el campo "IPv4 Local Network/s" de la configuración del servidor OpenVPN, debería acceder a la red local cuando se conectan los clientes de la VPN, cierto?

ega · Jun 11, 2014, 7:49 PM

A ver, como una imagen dice mas que mil palabras, a continuación les dejo las imágenes que creo prudentes a ver si son de ayuda para determinar en donde se presenta la falla en el servidor que trato echar a andar

Es bastante particular, logro conexión remota, tengo respuesta al hacer ping a la dirección IP LAN del pfsense, pero no tengo respuesta al hacer ping a un equipo conectado a la LAN del pfsense, creo que es mas sencillo verlo de otra forma

Source Lan pfsense (192.168.2.2) LAN Host (192.168.2.10)
LAN OK OK
OpenVPN Server OK FAIL
Cliente conectado remotamente OK FAIL

Hice el diagnóstico igualmente desde el apartado Ping en el menu Diagnósticos del pfsense, anexo las imágenes, así como la imagen de las rutas y configuración del firewall para el OpenVPN.

Gracias de antemano.-

bellera · Jun 12, 2014, 7:31 PM

https://forum.pfsense.org/index.php?topic=72917.0

ega · Jun 12, 2014, 8:12 PM

Estimado, muchas gracias, pero dudo que la irregularidad sea con el cliente, motivado a que no tengo respuesta desde un equipo en LAN con el PfSense cuando en "Diagnosticos>Ping" coloco como "Source" el servidor OpenVPN, pero me parece muy curioso que hago ping a la IP LAN del PfSense desde el mismo Servidor OpenVPN y si tengo respuesta, en el cliente remoto sucede exactamente lo mismo.

Fijate en las imágenes de ping en mi post anterior, fijate sobre todo en la en "Source Address" y la respuesta del ping, mi configuración es la siguiente:

LAN IP PfSense 192.168.2.2/24
LAN Host 192.168.2.10/24

bellera · Jun 12, 2014, 8:23 PM

Un cliente OpenVPN no está en la misma subred que LAN.

Revisa documentación de cómo se monta OpenVPN.

https://forum.pfsense.org/index.php/topic,63552

ega · Jun 13, 2014, 3:04 AM

Claro! totalmente de acuerdo, están en segmentos diferentes.

Lo que me parece muy particular es que estoy haciendo las pruebas desde el mismo PfSense, no desde el cliente remoto, desde el cliente tengo exactamente los mismos resultados que al hacerlos desde el PfSense, por eso me olvide del remoto y estoy actualmente únicamente haciendo pruebas desde el PfSense.

En el foro en inglés hicieron un comentario acerca del botón "Play" al lado de la regla del firewall en la pestaña OpenVPN, en la imagen se ve gris, pero está en verde, por calidad de imagen no se guardó el color original (gif 8 colores).

He leído otros problemas que se han solucionado únicamente con darle "save" en el cuadro de configuración de la interfaz, pero en mi caso no tengo más que la interfaz LAN y WAN, no hay un submenu "ovpn".

Esta es una instalación limpia, estoy considerando hacer un downgrade, instalar una versión de PfSense anterior (donde se monte ovpn como interfaz) a ver si persiste la falla, y si funciona, actualizar desde el equipo en producción a ver si así sí funciona correctamente, no sé si sea una pérdida de tiempo, comentarios?

Muchas gracias por sus sugerencias y soporte.

bellera · Jun 13, 2014, 8:15 AM

@ega:

Es bastante particular, logro conexión remota, tengo respuesta al hacer ping a la dirección IP LAN del pfsense, pero no tengo respuesta al hacer ping a un equipo conectado a la LAN del pfsense, creo que es mas sencillo verlo de otra forma

El resultado de

es normal.

Probado en un pfSense con dos OpenVPN funcionando correctamente, una site-to-site y otra para road-warriors.

bellera · Jun 13, 2014, 8:18 AM

Verifica que tu equipo cliente no tenga algún tipo de cortafuegos (por software o sistema operativo) que esté limitando accesos a otras subredes más allá de la propia. Suele ser habitual. Deshabilita el cortafuegos, si lo hay, para pruebas.

Postea imagen del la configuración de tu servidor OpenVPN en pfSense.

ega · Jun 14, 2014, 3:32 PM

Equipo remoto sin firewall (de hecho por defecto lo tenía deshabilitado)

Anexo imágenes de la configuración

Ok me tranquiliza un poco lo que me dices acerca que es normal no tener respuesta en el ping, teniendo como origen el servidor OpenVPN y destino un host en LAN, jeje me cuesta asimilarlo, pero me tranquiliza.

bellera · Jun 15, 2014, 11:10 AM

Todo parece normal. Si no comprendí mal, la conexión se establece pero no tienes tráfico del cliente hacia la LAN.

Lo primero que tendríamos que ver es si las rutas están correctas en tu OS X.

netstat -r

Dijiste que llegas la interfase de LAN de pfSense. Eso diría que las rutas están correctas, pero no está de más comprobarlas.

Y como la situación es extraña diría que no queda más que probar "a ciegas". Veo opciones que NO empleo y que tienes activadas. No estaría mal probar a desactivarlas, a ver si hay algún problema con ellas:

Concurrent connections
Inter-client communication
Dynamic IP

A ver si hay suerte.

Otra prueba que podrías hacer es testear OpenVPN con algún equipo que no sea OS X, a fin de comprobar si funciona correctamente (del lado servidor).

Y para lo que querías hacer de nombres de máquina tendrías que tener activada la opción Enable NetBIOS over TCP/IP.

ega · Jun 17, 2014, 1:40 PM

Ok anexo el resultado del netstat -r

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            dd-wrt             UGSc           38        0     en1
10/24              10.0.0.5           UGSc            1        0    tun0
10.0.0.5           10.0.0.6           UH              3        0    tun0
10.37.129/24       link#8             UC              3        0   vnic1
10.37.129.2        0:1c:42:0:0:9      UHLWI           1      542     lo0
10.37.129.255      link#8             UHLWbI          1        2   vnic1
10.211.55/24       link#7             UC              3        0   vnic0
10.211.55.2        0:1c:42:0:0:8      UHLWI           0        2     lo0
10.211.55.255      link#7             UHLWbI          1        2   vnic0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              6     5551     lo0
169.254            link#5             UCS             0        0     en1
192.168.1          link#5             UCS             4        0     en1
dd-wrt             0:40:77:bb:55:10   UHLWI          42      340     en1   1176
movil-josegil      0:1a:73:cb:9c:e3   UHLWI           0      105     en1   1193
macbook-ega        localhost          UHS             0        1     lo0
192.168.1.255      link#5             UHLWbI          3       39     en1
192.168.2          10.0.0.5           UGSc            0        0    tun0

Hice la prueba conectandome desde un pc con Windows e igualmente no logré acceso a la LAN, podría postear las rutas, al momento no se me ocurrió hacer la prueba, pero dudo que difiera mucho del resultado obtenido en mac.

En las opciones que me comentaste que deshabilitara, la de "Concurrent Connections" asigné el valor "0" pero este valor no es para el máximo de clientes que puede permitir conexion el servidor simultáneamente? Creo que asignando 0 no tendrá límite de clientes, dime tú que valor le asigno.

Las otras dos opciones fueron deshabilitadas.

Ok ahora dime algo acerca de las instancias que tienes operativas, son que versión de PfSense?, en caso de ser 2.1.3, fueron instalación limpia o actualizadas?

Porque si me dices que tienes corriendo OpenVPN en PfSense 2.1.3, no veo otra opción, no creo que sea un error de configuración, monté el pfsense solo para probar esto, siguiendo los pasos del tutorial de la documentación, pero con toda la lata que me esta dando, creo que el error puede ser un bug del PfSense, ya que he leído que en otras versiones de pfsense se resuelven irregularidades solo haciendo click en salvar en la interfaz de OpenVPN que se genera al crear el servidor, en esta versión (2.1.3) no está esa pestaña, o sea he visto detalles que comentan que no estan en esta versión y se me ocurre que haya alguna diferencia de una instalación limpia a una actualización.

No sé, qué me comentan ustedes?

Gracias de antemano por su atención.

bellera · Jun 18, 2014, 9:01 AM

@ega:

En las opciones que me comentaste que deshabilitara, la de "Concurrent Connections" asigné el valor "0" pero este valor no es para el máximo de clientes que puede permitir conexion el servidor simultáneamente? Creo que asignando 0 no tendrá límite de clientes, dime tú que valor le asigno.

Yo lo tengo vacío, sin nada.

bellera · Jun 18, 2014, 9:06 AM

@ega:

Ok anexo el resultado del netstat -r

Supongo que es de tu cliente OS X, eso. Parece correcto, aunque no estoy muy familiarizado con la sintaxis de OS X, que se ahorra cosas. Así:

192.168.2          10.0.0.5           UGSc            0        0    tun0

entiendo que se refiere al destino 192.168.2.0/24 (la LAN de tu pfSense). Eso sería correcto, pues se irá el tráfico por la puerta 10.0.0.5, siendo 10.0.0.6 la ip de la tun0 del OS X.

bellera · Jun 18, 2014, 9:12 AM

@ega:

Ok ahora dime algo acerca de las instancias que tienes operativas, son que versión de PfSense?, en caso de ser 2.1.3, fueron instalación limpia o actualizadas?

Porque si me dices que tienes corriendo OpenVPN en PfSense 2.1.3, no veo otra opción, no creo que sea un error de configuración, monté el pfsense solo para probar esto, siguiendo los pasos del tutorial de la documentación, pero con toda la lata que me esta dando, creo que el error puede ser un bug del PfSense, ya que he leído que en otras versiones de pfsense se resuelven irregularidades solo haciendo click en salvar en la interfaz de OpenVPN que se genera al crear el servidor, en esta versión (2.1.3) no está esa pestaña, o sea he visto detalles que comentan que no estan en esta versión y se me ocurre que haya alguna diferencia de una instalación limpia a una actualización.

Realmente es raro. Tienes la conexión pero no tienes tráfico.

Mis instalaciones son siempre limpias, aunque (normalmente) partiendo de config.xml de versión anterior.