PfSense VPN Cliente para Site
-
Boa noite pessoal,
será que poderiam me ajudar?Preciso implementar VPN para cliente acessar a rede do site.
Achei este site que explica muito bem e fiz todos os passos de acordo e consigo conectar a VPN e receber o IP que determinei para ele no Tunnel.
http://thiago.oxente.org/2011/11/09/pfsense-2-0-e-openvpn-e-autenticando-no-windows-2008/Porém, não consigo navegar na rede interna, não enxerga nenhum PC da intra nem o próprio IP interno do pfsenseVPN. Como é de teste, este servidor cuida só da VPN, seria este o problema?
A rede interna tem um pfsense como DHCP e o mac é fixo, teria como ele receber um IP deste DHCP?
Obrigado!
[atualização, rs]
Bem, ao menos agora consigo pingar o servidor VPN, porém ninguém mais da rede. Isso, somente executando ClienteVPN como adm.. -
Poste a config do seu OpenVPN.
Tem algo errado com rotas ou Firewall ai. Verifique se você está fornecendo servidores DNS da sua rede interna(caso tenha dominio) e também se no Firewall o trafego está liberado.
-
Olá, agradeço a ajuda,
não creio que seja DNS por que tento pingar direto pelo IP as maquinas internas.
Com o firewall principal está tudo certo. todos saem normalmente, e no firewall há a porta aberta. Consigo até logar no WebConfigurator e pelo ssh do server VPN usando o cliente, mas o cliente não enxerga as demais máquinas na mesma rede que ele.
o servidor VPN também consegue enxergar todas as máquinas internas, tanto pelo IP quanto pelo nome.A configuração que fiz segue em anexo.
Será que o problema é por que a VPN não está se conectando na mesma subrede da rede? Já que defini o tunel por uma outra subrede?
-
Duas coisas, mude o Device Mode para TAP, você está interligando apenas uma subrede com a outra, TUN é para multi hop.
Essa subrede que você deixou para a OpenVPN por acaso não é a mesma da sua rede interna, certo? Tem que ser subredes diferentes.
-
Olá, informei TAP, a conexão funcionou mais ainda assim somente com o servidor.
A subrede para VPN é diferente da rede interna, outra faixa de IP.Seria algum problema com a conta do usuário criado para acesso a VPN? Bem, pouco provável, acessei diversos artigos e tutoriais, todos informam a mesma forma de se estabelecer conexão com a intra.
-
Bom, pode ser problema de rota… o pfSense é Gateway dessa subrede local?
Por acaso você não possui algum Firewall nos computadores dessa rede local? Talvez de alguma solução antivírus? Se sim, é preciso adicionar a subrede da VPN nas permissões do Firewall.
-
Olá, informei TAP, a conexão funcionou mais ainda assim somente com o servidor.
voce consegue pingar o servidor da outra ponta, mas não a rede interna?
seu servidor VPN é pfsense ou windows 2008?
se for pfsense, verique se esta liberando regra para trafegar os dados na interface da VPN, já aconteceu comigo de esquecer 8)se for windows server, posta como voce configurou o serviço de roteamento.
-
Quando voce executa o ping, o pacote de fato chega no pfsense. Roda um tcpdump e acompanhe.
-
Olá pessoal!
Acabou que as dicas do LFCavalcanti me ajudaram a resolver o problema.
Eu estava usando um servidor VPN teste e talvez por falta de rota não acessava as demais maquinas da rede. Então instalei o serviço no meu gateway e funcionou.Obrigado a todos.
Mas, poderiam me ajudar um pouco mais? Comecei a mexer no pfsense faz somente dois meses e aos poucos vou aprendendo a implementar cada serviço.
Ainda tenho algumas duvidas sobre a VPN para melhorar a segurança dele.
- Ao menos, essa VPN, 4 pessoas precisarão usar e gostaria de criar regras para que somente essas consigam usar e se possível, usando a mesma porta que liberei no firewall.
- Bloquear TeamViewer.
É possível?
-
essa pessoas irão conectar de lugares com IP fixo? se sim, restrinja a conexão somente desses IP. aumenta em muito a segurança
agora, como é bem provável que não sejam (provavelmente notebooks que estarão em diversos lugares diferentes) dai não tem muito o que fazer além de utilizar umas senhas seguras/fortes e certificado digital
-
Entendi. De todo modo, muito obrigado pela ajuda!
Grandes Abraços!
E para quem desejar, achei este site que mostra como bloqueia teamviwer, vou testar:
http://itbr.org/forum/dicas-74/bloqueando-o-teamviwer/