[Risolto] OpenVPN - VPN site-to-site, impossibile raggiungere i pc lato client

Gromit60

Ho implementato una VPN con due pfSense versione 2.2.4 su hardware minimali.
Tenendo conto che la sede A ospita il server e la sede B ospita il client, tutto funziona egregiamente, avendo, ad esempio, dei telefoni IP nella sede B regolarmente registrati sul centralino presente nella sede A.
Il problema è che ora dovrei registrare un apparato nella sede A ad un server presente nella sede B, e questo non funziona. Non solo: provando a pingare un qualsiasi dispositivo presente nella sede B dalla sede A si ottiene un bel "richiesta scaduta".
Le configurazioni sono le seguenti:

Site A

OpenVPN: Server
Server Mode: Peer to Peer (Shared Key)
Device Mode: tun
IPv4 Tunnel Network: 10.0.10.0/30
IPv4 Local Network/s: 192.168.1.0/24
IPv4 Remote Network/s: 192.168.70.0/24

Firewall rules
L'interfaccia OpenVPN interfaces/tabs ha le seguenti regole:
Proto: IPv4 *
Source: *
Port: *
Destination: *
Port: *
Gateway: *
Queue: none

Diagnostics: IPv4 Routing tables
Destination: 192.168.70.0/24
Gateway: 10.0.10.2
Flags: UGS
Use: 0
Mtu: 1500
Netif: ovpns1

Site B Setup

OpenVPN: Client
Server Mode: Peer to Peer (Shared Key)
Device Mode: tun
IPv4 Tunnel Network: 10.0.10.0/30
IPv4 Local Network/s: 192.168.70.0/24
IPv4 Remote Network/s: 192.168.1.0/24

Firewall rules
L'interfaccia OpenVPN ha le seguenti regole:
Proto: IPv4 *
Source: *
Port: *
Destination: *
Port: *
Gateway: *
Queue: none

Diagnostics: IPv4 Routing tables
Destination: 192.168.1.0/24
Gateway: 10.0.10.1
Flags: UGS
Use: 5782
Mtu: 1500
Netif: ovpnc1

Leggendo un po' in giro ho provato a restringere la classe degli indirizzi usati per il tunnel con un /30 ma senza successo.

Ho anche letto di aggiungere una regola in "Client specific override" aggiungendo una route verso il client, ma sinceramente mi pare già presente, infatti le route sul server sono le seguenti:

Destination      Gateway       Flags   Use           Mtu Netif
default             10.10.11.254 UGS     1845994      1500 vr0
10.0.10.1         link#7         UHS              0               16384      lo0
10.0.10.2         link#7      UH             0                1500 ovpns1
10.10.11.0/24          link#2         U             0          1500 vr0
10.10.11.250  link#2         UHS             0               16384 lo0
10.10.11.254     10.10.11.254 UGHS 121030         1500 vr0
127.0.0.1         link#5         UH           102       16384 lo0
192.168.1.0/24 link#1         U       2091505         1500 fxp0
192.168.1.1         link#1         UHS             0               16384 lo0
192.168.70.0/24 10.0.10.2 UGS           40         1500 ovpns1
208.67.220.220 10.10.11.254 UGHS 579         1500 vr0

Suggerimenti?

Grazie in anticipo

rbonesi

ciao hai fatto il push delle reti? nelle config avanzate di open vpn lato server prova a mettere
push "route  192.168.70.0 255.255.255.0";

poi vai nelle route statiche del server e metti una route statica
192.168.70.0/24 su interfaccia openvpn

fai la stessa cosa lato client mettendo una route statica
192.168.1.0/24 su interfaccia openvpn

tieni presente di pulire i log di open vpn e di riavviare i box.
Postami i log se dovessi avere dei prob.

Ciao

Gromit60

Come prima cosa ti ringrazio della risposta.
Qualche domanda: devo fare il push della route anche se compare già nell'elenco delle route del server? Lo chiedo perché andando ad impostare una route statica sul server non mi compare l'interfaccia openvpn su cui attivarla.

fabio.vigano

Ciao,
nelle VPN site to site implementate con le versioni 2.2.x ho riscontrato un errore per cui pure avendo un atabella di routing corretta di fatto il routing tra le varie sottoreti non avviene.
L'unica soluzione che ho trovato è aggiungere a mano le rotte statiche.
Ciao fabio

Gromit60

In effetti aggiungendo "push route 192.168.70.0 255.255.255.0" nella configurazione avanzata lato server funziona!
Lato client non ho modificato nulla.
Questo "baco" è stato corretto nella nuova versione 2.2.5?

Grazie di nuovo per le risposte