Open Vpn, Pf Sense E Zywall Usg 110

danielino1981

Sede A PfSense

Lan: 192.168.0.0/24

Sede Zywall

Lan: 192.168.1.0/24

Rete Open Vpn

192.168.32.0/24

Configurazione Open Vpn

IPSEC TUNNELS

REGOLE FIREWALL

Dai client con openvpn non riesco a pingare lo Zyxel sul 192.168.1.1, nè i suoi server collegati sul 192.168.1.6

kiokoman

https://forum.netgate.com/topic/74351/routing-openvpn-traffic-through-specific-ipsec-tunnels
la logica dovrebbe essere la stessa
"push route 192.168.1.0 255.255.255.0" to your openVPN server config advanced settings

danielino1981

Dallo Zyxel riesco a pingare la rete dell'Open Vpn sul 192.168.32.X
Ma dalla open vpn se faccio un ping verso la rete Zyxel non funziona.
Che cosa manca?
Ho seguito quella guida ma non funziona.

kiokoman

@kiokoman said in Open Vpn, Pf Sense E Zywall Usg 110:

"push route 192.168.1.0 255.255.255.0"

se dalla openvpn non riesci a pingare lo zyxel significa che gli manca la rotta o il firewall lo blocca, le regole sul tab ipsec sono permissive uguali a openvpn?

danielino1981

Si. Dovrebbe essere tutto ok.
Che cosa devo controllare?

Ecco il comando tracert

fabio.vigano

Ciao,
il modo con cui comunichi ai cient le sottoreti non è propriamente corretto.
Dovresti utilizzare il comando push in custom options con questa sintassi

push "route 192.168.1.0 255.255.255.0";

Considera che le rotte complete le devono conoscere anche gli host lato zywall altrimenti tu arrivi fino alla rete dietro lo zywall, ma lo zywall non sa come risponderti e il pacchetto si perde nel ritorno.

Ciao Fabio

kiokoman

ho provato a configurare allo stesso modo nel mio lab ma non mi è riuscito di far passare il traffico tra openvpn e ipsec, prova a chiedere nel forum inglese se qualcuno riesce a darti maggiori indicazioni, cercando su google ho trovato altre persone con lo stesso problema ma di fatto nessuna chiara soluzione

danielino1981

Che rotte devo configurare sullo Zywall?

Il tunnel della vpn?

Altra stranezza

Se pingo un server (collegato allo Zywall) da Pfsense non risponde.
Se lo pingo dal lato lan Pfsense risponde (ho un server sul lato lan del pfsense)

Gabri.91

Puoi provare a verificare nella Phase1 di avere abilitata l'opzione "Split connections" in quanto puo' essere che lo Zyxel non gestica due Phase2 sulla stessa Phase1.
Anche se in questo caso generalmente non funziona tutta la VPN, non solo una parte.
EDIT: Do per scontato che la seconda Phase2 sia stata creata anche sullo Zyxel, ma direi di si' da quello che sembra

danielino1981

Split Connection non lo trovi in Phase 1.
Opzione che hanno tolto con il nuovo PFsense?
Grazie per il supporto.
Sullo Zyxel non è possibile creare una seconda fase. Anche perchè pare non sia possibile.

Gabri.91

Sembra l'opzione sia disponibile soltanto se la fase 1 è in IkeV2, mentre tu l'hai impostata in auto (che in realtà prende come default IkeV2), dovresti provare a settala forzata IkeV2 (se lo Zyxel la supporta) e quindi impostare split connections. Se altrimenti sei già in IkeV1 per via dello Zyxel, probabilmente non serve.

Quindi scusa, lato Zyxel la rete OpenVPN tramite IPSEC come è settata? Con un'altra Fase 1 uguale? Perché le Fasi 2 devono essere uguali da entrambi i lati, se lo Zyxel non ha la Fase 2 OpenVPN è normale non funzioni.