-
Hola.
¿Podrías poner capturas de pantalla de la configuración OpenVPN?- VPN - OPENVPN - SERVER -- configuración del servidor Openvpn creado
- VPN - OPENVPN - CLIENTS -- si hay alguna configuración
- VPN - OPENVPN - Client Specific Overrides -- si hay alguna configuración
Cuando hay 2 ó más clientes Openvpn, ¿puedes poner capturas de pantalla de STATUS - OPENVPN?
-
¿Te puedo enviar los captures por otro medio?
-
@Yohannys-Ramón-Agrizonis
Si las capturas tienen información que prefieres no compartir, puedes editarlas (borrando o recortando lo que no quieras compartir) antes de adjuntarlas.
Otra opción es hacer capturas o copiar texto sólo de lo que sí puedes compartir.No veo otro método ahora mismo para que me las puedas enviar.
-
De acuerdo @lucasll
No tengo configuración alguna en VPN - OPENVPN - CLIENTS ni en VPN - OPENVPN - Client Specific Overrides.
A continuación las capturas de pantalla:
-
@Yohannys-Ramón-Agrizonis
Hola.
¿Puedes mostrar la configuración, lo que se pueda, de VPN - OPENVPN - SERVER -- configuración del servidor Openvpn creado (en tu caso "vpn para usuarios corporativos (tun)")? -
De acuerdo @lucasll
-
Mi configuración tiene estos valores:
- Protocol: TCP on IPv4 only
- Device mode: tun-Layer 3 Tunnel Mode
- Local port: 1723
- IPv4 Tunnel Network: 10.0.11.0/24
- IPv4 Local network(s): 192.168.0.0/16
- Concurrent connections: 20
- Duplicate Connection: marcado Allow multiple concurrent connections from clients using the same Common Name.
(This is not generally recommended, but may be needed for some scenarios.)
Hay otros valores que también tengo distintos, pero no me parecen relevantes.
Te he puesto los anteriores, para que revises:
- IPv4 Tunnel Network
- IPv4 Local network(s)
Revisa que no tienes un /32 o /30 en IPv4 Tunnel Network
Revisa que tienes el rango correcto y la máscara de red en - IPv4 Local network(s)Mi configuración tiene estos valores:
- Protocol: TCP on IPv4 only
- Device mode: tun-Layer 3 Tunnel Mode
- Local port: 1723
- IPv4 Tunnel Network: 10.0.11.0/24
- IPv4 Local network(s): 192.168.0.0/16
- Concurrent connections: 20
- Duplicate Connection: marcado Allow multiple concurrent connections from clients using the same Common Name.
(This is not generally recommended, but may be needed for some scenarios.)
Hay otros valores que también tengo distintos, pero no me parecen relevantes.
Te he puesto los anteriores, para que revises:
- IPv4 Tunnel Network
- IPv4 Local network(s)
Revisa que no tienes un /32 o /30 en IPv4 Tunnel Network
Revisa que tienes el rango correcto y la máscara de red en - IPv4 Local network(s)Los otros valores son distintos, pero creo que no te afectan, pero te los he puesto a modo de comparación.
Además, puedes revisar los logs de VPN por si ves algo extraño. En Status - System Logs - OpenVPN.
-
Saludos @lucasll, gracias.
He estado investigando full y aun nada, el problema persiste.
-
No tengo /32 o /30 en IPv4 Tunnel Network.
-
Tengo el rango correcto y la máscara de red en - IPv4 Local network(s). De hecho me conecto con la primera IP asignada de la OpenVPN.
-
No veo nada extraño en Status - System Logs - OpenVPN.
Ahora bien, tengo lo siguiente:
IPv4 Tunnel Network: IP_Tun.0/24
En las interfaces del Servidor y Clientes de la OpenVPN tengo el siguiente direccionamiento:
SERVIDOR: IP_Tun.1 --> IP_Tun.2 netmask 0xffffff00
CLIENTE-1: IP_Tun.2 (Primera IP asignada del tuner a un cliente - Solo con esta hay conexión hacia la LAN)
CLIENTE-2: IP_Tun.3Test 1
CLIENTE-1 hace ping hacia IP_Tun.1 y responde. CLIENTE-2 hace ping hacia IP_Tun.1 y NO responde.
Test 2
CLIENTE-1 hace ping hacia el CLIENTE-2 y resopnde CLIENTE-2 hace ping hacia el CLIENTE-1 y resopnde
Hago ip route en CLIENTE-1 y muestra
default via 192.168.42.129 dev enp0s26u1u2 proto dhcp metric 100
IP_LAN1.0/8 via IP_Tun.1 dev tun0
IP_Tun.0/24 dev tun0 proto kernel scope link src IP_Tun.2
IP_LAN2.0/16 via IP_Tun.1 dev tun0
169.254.0.0/16 dev enp0s26u1u2 scope link metric 1000
192.168.42.0/24 dev enp0s26u1u2 proto kernel scope link src 192.168.42.134 metric 100Hago ip route en CLIENTE-2 y muestra
default via 192.168.1.1 dev wlx90f652075e25 proto dhcp metric 600
IP_LAN1.0/8 via IP_Tun.1 dev tun0
IP_Tun.0/24 dev tun0 proto kernel scope link src IP_Tun.3
IP_LAN2.0/16 via IP_Tun.1 dev tun0
192.168.1.0/24 dev wlx90f652075e25 proto kernel scope link src 192.168.1.5 metric 600Ruta mostra en el pfSense: DIAGNOSTICS - ROUTES
Destination Gateway Flags Use Mtu Netif Expire
IP_Tun.0/24 IP_Tun.1 UGS 600385 1500 lo0
IP_Tun.1 link#9 UHS 17606 16384 lo0
IP_Tun.2 link#9 UH 5671 1500 ovpns3En Diagnostics - States - States
OPENVPN udp IP_Tun.2:46594 -> IP_DNS:53 SINGLE:MULTIPLE 1 / 1 74 B / 74 B
OPENVPN icmp IP_Tun.3:6198 -> IP_DNS:6198 0:0 3.676 K / 18.38 K 230 KiB / 1.11 MiB
OPENVPN tcp IP_Tun.2:59858 -> IP_LAN_FIREWAL:443 ESTABLISHED:ESTABLISHED 503 / 643 37 KiB / 695 KiBDiagnostics - pfTop - View - rules
RULE ACTION DIR LOG Q IF PR K PKTS BYTES STATES MAX INFO
42 Block In Log !ovpns 0 0 * drop inet from IP_Tun.0/24 to any
43 Block In Log 0 0 * drop inet from IP_Tun.1/32 to any
54 Pass Out K 0 0 * route-to ... inet from IP_Tun.1/32 to ! IP_Tun.0/24Agradezco todo el apoyo. Saludos.
-
-
Hola
Supongo que lo habrás revisado. Pero por si acaso lo comento.
¿Has mirado que no haya solapamiento de redes? Es decir, que las redes desde las que conectan los clientes (cliente-1, cliente-2, ...) (en tu comentario serían 192.168.42.0, 192.168.1.0, 169.254.0.0) no coincidan con alguna red en el pfsense (IP_TUN, IP_LAN, otras). -
Saludos @lucasll
No hay redes que conocían entre la LAN, la OpenVPN, las 192... y la 169.... Son redes distintas.
Me extraña que las IP_Tun.3, IP_Tun.4,...,IP_Tun.n no le llegan ni a su misma puerta de enlace IP_Tun.1, pero si se ven entre ellas.
Saludos.
-
¿Has probado un tracert desde:
- desde ip_tun.2 hacia ip_tun.3, y viceversa.
- desde ip_tun3 hacia ip_tun.4 y viceversa.
?
Es por si da alguna pista.
-
Afirmativo @lucasll, he probado, y da sólo dos saltos, el gateway de la red privada del cliente y la IP_Tun.destino.
-
@Yohannys-Ramón-Agrizonis
Pero si no recuerdo mal, si haces tracert desde ip_tun.2, ip_tun.3 o ip_tun.4 hacia una ip de la LAN, no pasaba por ip_tun.0 salvo sólo desde ip_tun.2. ¿correcto lo que digo? -
Si hago tracert desde ip_tun.2 hacia la LAN pasa por IP_Tun.0, el resto no pasa, ni siquiera llegan al gatewat IP_Tum.1.
El gateway que menciono al hacer ping desde una IP_Tun.x a otra IP_Tun.y es el gateway de la red 192.168.xxx.xxx de los clientes OpenVPN.
-
@Yohannys-Ramón-Agrizonis
Pues eso ya es una pista. Porque desde ip_tun.x a otra ip_tun.y, debería, creo, ir por ip_tun.0. Porque si van por el gateway de la red 192.168.x.x entonces no se están enrutando por la vpn, sino por la salida normal de internet. -
Bien, ¿Cómo hago para enrutar por la VPN?
-
@Yohannys-Ramón-Agrizonis
Se supone que lo hace el software openvpn. En el primer caso funciona ok.
He mirado varias veces la tabla de rutas de los clientes openvpn que pusiste. O sea, el comando ip route.
Pero no veo el problema.
Observo que son Linux, ¿verdad? -
He hecho una prueba desde Linux para comparar la tabla de rutas y obtengo lo mismo que tú. (Yo con mis rangos de red que son distintos a los tuyos).
-
@lucasll
Así es, en este momento estoy usando GNU/Linux, no he probado con clientes Windows. -
Hola @lucasll,
Entiendo que hiciste una prueba desde GNU/Linux con una tabla de rutas equivalente a la que manejan los clientes OpenVPN que menciono, y nada más te conectas con una sola IP_Tun.x, tal cual me esta sucediendo.
¿El problema estará en la tabla de rutas? Si es así ¿Cómo hago para modificarla y colocar la tabla de ruta correcta.?
Saludos...