Conectado a OPENVPN no accedo a Subnet
-
Hola gente, estoy ya quemado la cabeza para analizar un problema, el cual no le estoy encontrando solucion. El problema concreto es que, si me conecto por VPN a SP no puedo llegar a la subnet de ST. Ambos PFSENSE tienen una conexion IPsec entre SP y ST, la conexion esta creada en ambos pfsense, conectandose a las IP publicas PRIVADAS mediante fibra.
Si estoy en cualquiera de los 2 locales FISICAMENTE puedo acceder a todas las subnets, si lo quiero hacer desde mi conexion vpn (usando diferentes versiones de sistema operativo, clientes de conexion, etc)Interconecto 2 locales mediante IPsec llamado SP y ST
SE CONECTAN ENTRE SI
AMBOS LOCALES
(SP <–IPsec--> ST)–-----------------------------------
PFSENSE SPWAN = xxx.xxx.xxx.xxx -> "FIBRA OPTICA IP publica FIJA SP"
LAN =192.168.0.1
OPENVPN = 192.168.130.0/24 (DHCP PARA VPN) // Puerto 1194
IPSEC = Se conecta hacia un tunel IPsec PFSENSE en ST a "FIBRA OPTICA IP publica FIJA ST"–-----------------------------------
ST esta compuesto porWAN = zzz.zzz.zzz.zzz -> FIBRA OPTICA IP publica FIJA ST
LAN =192.168.10.1
OPENVPN = 192.168.123.0/24 (DHCP PARA VPN) // Puerto 1194
IPSEC = Se conecta hacia un servidor IPsec PFSENSE en SP a la "FIBRA OPTICA IP publica FIJA SP"Hago las siguientes pruebas:
Ping desde cualquiera de SP y ST y llego a todos las subnets 192.168.0.0/192.168.10.0/192.168.123.0/192.168.130.0 :D
Conectar a las VPNs de ST y SP, realice las mismas pruebas
Ping desde cualquiera de SP y ST y llego a todos las subnets 192.168.0.0/192.168.10.0/192.168.123.0/192.168.130.0 :'(
Claramente analizo y verifico que solo puedo ingresar a la subnet de SP conectado mediante la VPN de SP
Claramente analizo y verifico que solo puedo ingresar a la subnet de ST conectado mediante la VPN de STPodrian decirme si hay algo que no estoy teniendo en cuenta?
-
Hola.
En resumen, cuando estas por VPN cliente-servidor, si entras por VPN SP solo llegas a todo lo que sea SP.
Si te conectas por la VPN ST solo llegas a todo lo que sea ST.
A nivel de site-to-site, si estas en ST ves tu red local (obvio) y la red remota SP y vicervera.
Si es asi, solo se me ocurre que es un tema de rutas en la configuración del la von cliente-servidor.
El tema IPSEC lo desconozco por que siempre he tratado es OpenVPN, y una ves tenia un caso idéntico al tuyo, todo estaba en las rutas de la VPN.
En openVPN era en el parámetro: IPv4 Local network(s)
No hacia falta agregar rutas manuales con el comando: push…...
Espero te sirva.
Saludos.
-
El tema IPSEC lo desconozco por que siempre he tratado es OpenVPN, y una ves tenia un caso idéntico al tuyo, todo estaba en las rutas de la VPN.
No sabia como interconectar las 2 sucursales. que no sea mediante un tunel IPsec (a parte para conectar toda la red y no dispositivo por dispositivos)
En openVPN era en el parámetro: IPv4 Local network(s), No hacia falta agregar rutas manuales con el comando: push…...
Tu dices en VPN > OpenVPN >Server>Tunel settings?. tengo dicho que fuerce la salida por openvpn, porque tengo un requerimiento por el uso del GW. Igual eh agregado las subnets y tampoco tuve exito
advance config en custom eh agregado push "route 192.168.0.0/24"; push "route 192.168.10.0/24" (o viceversa)
-
Tengo el mismo problema, una vez conectado a la VPN no me deja pasar mas allá del gw de IPv4 Tunnel Network.
Me da ping el gw pero ninguna subred mas. Coloqué el segmento en IPv4 Local network(s) y agregué otra con push y nada. -
Prueba agregando aquí todas tus redes LAN en ambos nodos.
Cuando se utiliza OpenVPNcliente en Windows, se recomienda ejecutar el icono que carga como administrador o con botón derecho: ejecutar como administrador.
-
ya va,
Omitan el mensaje anterior.
Si las redes se ven mediante el IPSEC (es decir la vpn site-to-site)
En la cliente servidor deberían tener:
En: ####IPv4 Tunnel Network##### es la Red de la VPN cliente, deberia ser por ej: 10.20.2.0/24 por ej.
Aqui, a lo le pones 10.20.2.0/24 a ST (pfsense ST) y en el Pfsense SP 10.20.3.0/24
Pero en AMBOS:
En: #### IPv4 Local network(s)###### Van las Redes LAN de SP y ST, separadas por (coma) ,
De esta forma, te conectes bien sea por SP o por ST, vas a ver ambas redes.
-
ya va,
Omitan el mensaje anterior.
Si las redes se ven mediante el IPSEC (es decir la vpn site-to-site)
En la cliente servidor deberían tener:
En: ####IPv4 Tunnel Network##### es la Red de la VPN cliente, deberia ser por ej: 10.20.2.0/24 por ej.
Aqui, a lo le pones 10.20.2.0/24 a ST (pfsense ST) y en el Pfsense SP 10.20.3.0/24
Pero en AMBOS:
En: #### IPv4 Local network(s)###### Van las Redes LAN de SP y ST, separadas por (coma) ,
De esta forma, te conectes bien sea por SP o por ST, vas a ver ambas redes.
Gracias por haberte molestado en querer brindarme ayuda. Te comento que no llego a entender a lo que me informas, ahi te muestro el IPsec de lado y lado. Supongo que tu me dices sobre la configuracion del servidor OpenVPN ?
Aqui te muestro como tengo cada site.