OpenVPN não pinga na LAN
-
Olá!
Encontrei vários tópicos com este assunto, sei que o tema é batido, mas realmente não consegui fazer funcionar…
Tenho dois PfSenses, um em cada empresa:
Matriz: WAN:200.17.55.252
LAN: 10.3.0.1Filial: WAN: 200.17.40.200
LAN: 10.18.0.1Criei uma conexão OpenVPN nos dois PfSense - Peer-to-peer (Shared Key).
Configuração feita no PFsense Matriz (Server):
Protocol: UDP
IPv4 Tunnel network: 172.16.0.0/24
IPv4 Local network: 10.3.0.0/24
IPv4 Remote Network: 10.18.0.0/16Configuração feita no PFsense Filial (Client):
Protocol: UDP
IPv4 Tunnel network: 172.16.0.0/24
IPv4 Remote Network: 10.3.0.0/16Por fim, criei uma regra no firewall, na aba OpenVPN, liberando TUDO. Isso foi feito na Matriz e na Filial.
Então fui testar no PfSense da Filial em Diagnostic/Ping.
Host: 10.3.0.10 (um máquina qualquer da LAN da Matriz)
Source Address: DefaultE PINGOU NORMALMENTE !!!
Mas quando mudo o Source Address para LAN, não pinga mais.
E também não consigo fazer ping de uma máquina da filial (ex: 10.18.0.15) pra qualquer outra da matriz (ex:10.3.0.12).O que está faltando?
-
Baseado no que você passou, quase certeza que erro seja o seguinte:
Na Matriz: IPv4 Local network: 10.3.0.0/24
Na Filial: IPv4 Remote Network: 10.3.0.0/16~mascaras diferentes para a mesma rede~
Vê se funciona corrigindo isso.
-
Desculpe, escrevi errado.
O correto é 10.3.0.0/16.
-
Nesse caso, verifica se as NAT de saída estão marcadas para serem geradas automaticamente.
Se estiverem, pode colar aqui a sua tabela de roteamento? -
No PfSense da FIlial, fui em Firewall / NAT / Outbound
Está marcado o modo: Automatic OutBound NAT Rule Generation
Tem duas regras criadas automaticamente:
Interface: WAN
Source: 127.0.0.0/8 10.18.0.0/16 172.16.0.0/24
Source Port: *
Destination: *
Destination Port: 500
Nat Adress: WAN Address
NAT Port: *
Static Port: YESInterface: WAN
Source: 127.0.0.0/8 10.18.0.0/16 172.16.0.0/24
Source Port: *
Destination: *
Destination Port: *
Nat Adress: WAN Address
NAT Port: *
Static Port: NOEm System / Routing tenho:
Name:WANGW (default)
Interface:WAN
Gateway:200.17.40.199
Monitor IP:200.17.40.199
Description: WAN GatewayÉ essa informação que você precisa?
-
A NAT de saída está certa então.
A tabela de roteamento você pode acessar em Diagnostics > Routes.
Verifica se tem na primeira coluna Destination o IP da sua rede local e em Netif a interface da sua VPN na mesma linha.
Se não tiver pode ser um problema.Outra coisa que você pode fazer é capturar o tráfego com o tcpdump para tentar diagnosticar o que pode estar acontecendo, mas isso exige certo conhecimento dessa ferramenta.
-
Segue tabela de roteamento.
MATRIZ>> Diagnostic / Routing Table:
Destination Gateway Flags Use Mtu Netif Expire
default 200.17.57.209 UGS 6693132 1500 em0
10.3.0.0/16 link#2 U 5185727 1500 em1
10.3.0.1 link#2 UHS 0 16384 lo0
10.3.100.0/24 link#4 U 115 1500 em3
10.3.100.1 link#4 UHS 0 16384 lo0
10.18.0.0/16 172.16.0.2 UGS 577 1500 ovpns1
127.0.0.1 link#8 UH 0 16384 lo0
172.16.0.1 link#10 UHS 0 16384 lo0
172.16.0.2 link#10 UH 9 1500 ovpns1FILIAL>> Diagnostic Table:
Destination Gateway Flags Use Mtu Netif Expire
default 200.17.57.65 UGS 1691231 1500 em1
10.3.0.0/16 172.16.0.1 UGS 5565 1500 ovpnc1
10.18.0.0/16 link#1 U 2560660 1500 em0
10.18.0.1 link#1 UHS 0 16384 lo0
127.0.0.1 link#5 UH 79 16384 lo0
172.16.0.1 link#7 UH 22 1500 ovpnc1Aparentemente está tudo normal… Vê algum problema?
-
Detalhe:
Essa interface ovpnc1 não está na lista de interfaces e não a crei. Deve ter sido criada automaticamente ao criar OpenVPN.
-
A tabela está certa.
Sim, o pfSense cria a interface automáticamente.
Minhas sugestões estão se esgotando, nesse caso eu tentaria monitorar o tráfego com o tcpdump.Vou tentar te ajudar com ele!
Deixa um ping em um computador da rede local rolando para a outra ponta.
Acessa os pfSense's via SSH e roda o comando
tcpdump -ni ovpns1 (ou ovpnc1 - dependendo de qual dos pfSense você estiver acessando) icmp
Com esse comando você vai capturar o tráfego da interface da VPN pelo protocolo ICMP, ou seja, você vai conseguir ver se o ping está alcançando a rede remota.
Verifica com que IP ele está chegando lá. Qualquer coisa manda o resultado da captura aqui.