VPN entre dos Sites con Pfsense (problema en subnets casi seguro)

oscurito23

Buenas noches,

Paso a exponer un problema muy concreto que tengo y si a alguien se le ocurre alguna idea de como solucionarlo. Por supuesto he leído casos parecidos del foro y varios tutoriales.

Necesito establecer una VPN (el protocolo me da igual) entre dos sedes con sendos Pfsense 2.2.4 que por motivos que no vienen al caso utilizan el mismo direccionamiento LAN y es inamovible….

Ambas sedes utilizan un 10.0.0.0/8 .

El esquema simple seria SedeA->PfsenseA->VPN<-PfsenseB<-SedeB

En la SedeA tenemos equipos en el rango 10.0.0.0/8 que tienen que acceder a dos equipos concretos de la sede B.

Concretamente un servidor de ficheros y un AS400

Con IPs ejemplo 10.0.0.250 AS400 y 10.0.0.105 el samba/ficheros

Pues bien, he creado un tunel con OpenVPN usando

IP4 local 10.0.0.0/8
IP4 del tunel 10.0.50.0/24
IP4 Remota 10.0.0.0/8

El tunel se establece y permanece levantado e incluso tengo bytes enviados y recibidos , pero no tengo visibilidad.

He creado reglas de firewall que SOLO permitan alcanzar las dos ips concretas ya que para mas inri hay equipos que tienen las mismas IPs en ambas sedes.

Por dar algun dato mas, uno de los Pfsenses es la 10.0.0.110 y el otro es la 10.0.0.10, estoy seguro que es un tema de mascaras de red, pero no se me ocurre como solucionarlo.

Es mas he probado a poner 10.0.0.0/24 y en ese momento ha debido haber visibilidad ya que ambos pfsense se han "flipado" y he tenido que volver atrás.

Espero haberme explicado bien y toda info que me pidais la aportaré ya que es un tema vital para mi poner esto a funcionar.

Gracias de antemano.

Saludos

PD: Ambas sedes están con varias salidas a internet con failover y balanceo configurados, pero en el caso de la VPN no lo necesito ya que las "conexiones principales" que tambien los los DefaultGW funcionan muiy bien, ambas tienen una dmz contra sendos PFsense.

Aleximper

Buen día Colega

Lastimosamente lo que planteas no es posible, ya que como sabes pfsense es el router de tu red, y el tiene las direccion de red en la tabla de direcciones , si hay otra red en el mismo segmento, el no sabe cuál es el correcto, por ende enviará a los 2 segmentos de red iguales, te recomiendo manejar subredes que sería lo mas viable o cambiar alguno de los 2 segmentos (Es Menos problemático ).

Saludos

acriollo

Las dos redes no pueden estar en el mismo segmento, tal vez podrias modificar las mascaras en las dos sedes.

y si a eso sumamos que tienes ips repetidas …

lo que se me ocurre que tal vez se podria hacer seria un nat 1:1 con diferente direccionamiento.

checa este post. habla de lo que te comento.
https://forum.pfsense.org/index.php?topic=43507.0

oscurito23

Cambia algo si paso

IP4 local 10.0.0.0/8
IP4 del tunel 10.0.50.0/24
IP4 Remota 10.0.0.0/8

a

IP4 local 10.0.0.0/16
IP4 del tunel 10.0.50.0/24
IP4 Remota 10.0.0.0/16

?

El NAT 1:1 no lo tengo muy claro… podría hacerlo en mi caso?

acriollo

Hola, las redes se traslapan con la misma mascara.

Para el caso tuyo puedes probar con el nat 1:1

ejemplo

Red local : 10.0.0.0/8
Re remota : 192.168.1.0/24
Red tunnel : 192.168.2.0/24

Si tu haces un nat 1:1 del lado del sitio remoto podriasm mapear toda la red 192.168.1.0/24 a una parte de tu red 10.0.0.0/8 , con la limitante de que solo podras mapear una red de 24 bits o si utilizas una red de clase B ( 172.16.0.0/16 ) podrias mapear toda una red de 16 bits.

De esta manera cuando tu busques 10.0.0.1 , puedes hacer una peticion a la red 192.168.1.1 y el tunel debera de hacer la peticion al otro lado del tunel y el nat 1:1 hara la traduccion a la ip correspondiente.

Es cosa de probar :)

oscurito23

Se me ha ocurrido otra solucion, a ver como lo veis, si es posible. (gracias por las respuestas hasta ahora)

Imaginemos que solo necesito acceso a uno de los servidores, el 10.0.0.105 y este servidor tiene dos tarjetas de red y una no la estoy usando.

Le asigno una 10.1.1.105/24 a esa tarjeta y hago el tunel:

Red local : 10.0.0.0/16
Re remota : 10.1.1.0/24
Red tunnel : 10.0.50.0/24

Funcionará?? Lo pregunto antes de probarlo porque ya he creado un loop antes como os comenté y no quiero liarla que son equipos en produccion…

acriollo

Yo creo que te puede funcionar.

Intenta nada mas que las subredes no se sobrepongan.

La del tunel puede ser cualquiera , ejemplo 192.168.1.x/24

la de la tarjeta puede ser 192.168.2.0/24 para no liarte con las mascaras de tus redes actuales. El tema va a ser el retorno, por que el equipo como tiene una ruta que tiene mas prioridad que cualquier otra por ser interna es probable que te cause problemas cuando busque Ips que estan dentro del mismo rango de tu tarjeta con ip 10.x

no queda mas que intentar o hacerte una maqueta por fuera.

Saludos

oscurito23

Buenos días,

Para no liarme por ahora, estoy tratando de montar esto con la siguiente configuración:

Sede1 (servidor OPENVPN) 192.168.9.0/24–--->PFSENSE1->Tunel VPN 192.168.8.0/24<--PFSENSE2<-------Sede2(cliente OPENVPN) 192.168.7.0/24

Pues bien, el túnel se establece:

**Status: OpenVPN plus status logs help

Client Instance Statistics
Name Status Connected Since Virtual Addr Remote Host Bytes Sent Bytes Rcvd Service
Client UDP up Fri Aug 14 9:05:29 2015 192.168.8.2 83.175.xxx.xxx 66 KB 20 KB**

Peer to Peer Server Instance Statistics
Name Status Connected Since Virtual Addr Remote Host Bytes Sent Bytes Rcvd Service
Server UDP:1194 up Fri Aug 14 11:05:23 2015 192.168.8.1 178.60.xx.xx 17 KB 54 KB
status restart stop

Pongo un equipo de un lado en el rango que corresponde, otro en el otro, pero no pingueo…...

Con esta regla en ambas WAN:

IPv4 UDP * * * 1194 (OpenVPN) * none

Y esta en ambas pestañas OPENVPN:

ID Proto Source Port Destination Port Gateway Queue Schedule Description
delete selected rules add
icon IPv4 * * * * * * none

Los pfsense en ambas sedes son el GW en los equipos...

Que se os ocurre que estoy haciendo mal?

Gracias

Saludos

oscurito23

ACLARACION:

Los equipos de ambos extremos del túnel, tienen ips principales

10.0.0.0/8

Con los PFsense de GW

uno es el 10.0.0.10 y el otro el 10.0.0.110

Se les ha añadido una segunda IP 192.168.7.55 y 192.168.9.55 a uno y a otro.

Tengo que hacer un route en cada equipo para que se vean? tendré que hacer un route a la IP del tunnel?

acriollo

Tienes correctas los gateways en las PCs ?

las pcs ven el pfsense de cada lado ? tienes las reglas correctas en las interfaces ?

oscurito23

@acriollo:

Tienes correctas los gateways en las PCs ?

las pcs ven el pfsense de cada lado ? tienes las reglas correctas en las interfaces ?

Hola, cada PC tiene su propio pfsense como GW ,

Un pc es 192.168.7.55 y tiene como GW el pfsense 10.0.0.10

El otro PC es 192.168.9.55 y tiene como GW el pfsense 10.0.0.110

En las WAN de cada PFsense hay una regla que permite el UDP 1194

En el interfaz OPenVPN hay una regla que permite todo.

acriollo

las pcs deben de tener una ip alcanzable como gateway, en este caso la ip a la que pertenecen en el pfsense.

192.168.7.55 192.168.7.254 algo asi

oscurito23

@acriollo:

las pcs deben de tener una ip alcanzable como gateway, en este caso la ip a la que pertenecen en el pfsense.

192.168.7.55 192.168.7.254 algo asi

Se le puede asignar a cada PFsense una IP de LAN secundaria? es decir no puedo cambiar las 10.0.0.10 y 10.0.0.110 a un rango 192 bajo ningun concepto, no me importaria añadirles una ip secundaria…

Sino de esta manera tampoco lo voy a poder hacer...

acriollo

Puedes añadirle a los servidores una ip virtual del rango 192.168.x y hacer el tunel con unas ips diferentes que tienes en tu LAN.

de esta manera creo que podrias alcanzar los servidores via la VPN.

Si el gateway de los servidores es diferente al PFsense , deberas de crear las rutas correctas para que estos equipos alcancen los PFs.

saludos

oscurito23

@acriollo:

Puedes añadirle a los servidores una ip virtual del rango 192.168.x y hacer el tunel con unas ips diferentes que tienes en tu LAN.

de esta manera creo que podrias alcanzar los servidores via la VPN.

Si el gateway de los servidores es diferente al PFsense , deberas de crear las rutas correctas para que estos equipos alcancen los PFs.

saludos

Buenos días,

Eso estoy haciendo, pero nada…

Vamos a repasarlo a ver en que fallo.

Tengo un servidor con IP:

192.168.7.55/24 y con IP
10.0.0.250 y su GW es la 10.0.0.10 (PFSENSE)

Otro servidor con la IP:

192.168.9.55/24 y con IP
10.0.0.105 y su GW es la 10.0.0.110 (PFSENSE2)

Un tunel OpenVPN establecido con los parametros:

192.168.7.0/24 ----------------192.168.8.0/24 (tun)----------192.168.9.0/24

El tunel esta UP y cada PFSENSE tiene como IPS del tunel las IP

PFSENSE1(tunel) 192.168.8.1
PFSENSE2(tunel) 192.168.8.2

Desde la 192.168.9.55 puedo hacer ping a la 192.168.8.1 pero no a la 192.168.8.2 (al tunel llego sin problema pero no paso por el?)
Desde la 192.168.7.55 puedo hacer ping a la 192.168.8.2 pero no a la 192.168.8.1

No puedo hacer ping entre la 192.168.7.55 y la 192.168.9.55

Si puedo hacer ping desde PFSENSE1 a PFSENSE2 con las IPs del tunel, de la 192.68.8.1 a la 192.168.8.2 y viceversa.

Tengo que añadir "routes" en Advance configuration de OpenVPN server y client?

Entiendo que es un problema de reglas de FW??

Que reglas debo tener para que funcione?

Añado capturas de los tracert:

Desde "PFsense A" hacia un PC al otro lado del tunel y del PFSENSE B

Desde "PFsense B" hacia un PC al otro lado del tunel y del PFSENSE A

Gracias

Saludos

acriollo

En la ultima imagen cuando intentas llegas a la 7.55 se ve qe el trafico se va a internet y no se va por el tunel.

revisa en tu tabla de ruteo si las rutas estan levantando correctamente.

Revisa que las dos redes estan declaradas correctamente como remotas y locales.

acriollo

Puedes pegar las pantallas del tunel?

oscurito23

Ahi pongo las capturas del tunnel y ademas los "Diagnosis->Routes" que afectan a la VPN

tunnel1.jpg_thumb

tunnel2.jpg_thumb

tunel3.jpg_thumb

tunel4.jpg_thumb

routes1.jpg_thumb

routes2.jpg_thumb

oscurito23

@acriollo:

En la ultima imagen cuando intentas llegas a la 7.55 se ve qe el trafico se va a internet y no se va por el tunel.

revisa en tu tabla de ruteo si las rutas estan levantando correctamente.

Revisa que las dos redes estan declaradas correctamente como remotas y locales.

El tracert a la 7.55 se va por el tunel y cuando llega al otro pfsense se va a internet ?¿?¿?¿

No lo entiendo.

Es decir, desde el Pfsense cuya IP del tunel es la 192.168.8.2 hago tracert a la 7.55 y me muestra primer salto la 192.168.8.1 (bien porque es el otro lado del tunel) y luego el GW de internet????

oscurito23

Hola, ya entiendo lo que pasa pero por desgracia no se como evitarlo.

El tracert que parece que en vez de ir por el túnel va por internet en realidad sale a internet…. Al otro lado del túnel!

Es decir en vez de ir por el túnel hacia la lan, busca el default gateway e intenta salir por ahí.

Como lo evito? Le he dado vueltas pero no se si hacer una ruta estática y donde ponerla...