OpenVPN Peer to Peer
-
forse non hai messo icmp nelle regole del firewall di pfsense?
-
@kiokoman said in OpenVPN Peer to Peer:
forse non hai messo icmp nelle regole del firewall di pfsense?
Ma la regola la devo mettere su LAN o su OpenVPN? e inoltre come deve essere fatta?
Grazie -
io sul tab openvpn (ho 2 pfsense collegati in vpn per collegare casa / ufficio) ho tutto aperto
la regola che permette il ping l'ho messa sul tab LAN
-
una l'ho fatta,dove la destination e la lan della sede remota, ma comunque non va
-
e sul tab openvpn?
tra l'altro è facile rilevare dove vanno a finire quei pacchetti usando packet capture e mettendolo in ascolto nelle varie interfacce vedi se arriva fino all'altro capo della vpn o si fermano prima -
E' tutto aperto....
Controllo con il Capture -
controlla anche nell'altro firewall
-
Trovato l'inghippo. Mancava la regola sul FW remoto in OpenVPN .
Grazie per l'aiut- -
ottimo
-
@kiokoman Vista la tua altissima competenza sul pFsense, non è che mi daresti una mano ancora su una piccola problematica.
La mia configurazione è la seguente:
Sede A pFsense 192.168.10.0/24
2 Server OpenVPN: uno fa da Peer to Peer verso sede B e l'altro fa da Server per client ( per collegarmi via iPhone o Mac quando sono fuori ufficio sede A )Sede B pFsense 192.168.200.0/24
1 Server OpenVPN: per collegarmi via iPhone o Mac quando sono fuori ufficio sede B; e un Client che collega in Peer to peer da Sede B ad A.La domanda è semplice.
Dove devo indicare la regola, che se sono collegato alla sede A via client con il Mac, posso vedere via collegamento Peer to Peer la sede B? Ora devo ogni volta spegnere la VPN verso la sede A e avviare verso la sede B.Non so se mi sono spiegato bene?
Grazie per l'aiuto. -
credo che basti aggiungere la rete nelle opzioni di openvpn
IPv4 Remote network(s) -
Però nella configurazione del server non ho la voce Remote network
-
Su OpenVPN Server di A (non quello P2P ma quello client) in custom options metti:
push "route 192.168.200.0 255.255.255.0";
-
Ho messo cosi' sul server sulla Sede A, dove mi collego con l'iphone, per capirci.
Ma non funziona....
Con capture packet si vede che i pachetti partono ma dall'altra parte non arriva niente.
10.0.211.2 il mio iPhone e 192.168.200.240 e' l'NVR nella sede B -
Nelle impostazioni di entrambe le Peer to Peer (da un lato come local e dall'altro come remote) oltre a 192.168.10.0/24 aggiungi anche 10.0.211.0/24 (mi sembra di ricordare ci vada la virgola)
-
Grazie per la risposta. Ho provato a inserire.
Se la logica è questa:1° quando arrivo sulla sede A in client mi viene assegnato un 10.0.211.x e su questo server gli devo aggiungere la regola che deve vedere anche il tunnel 10.0.212.x ( la peer to peer ) e anche la rete remota 192.168.200.x
2° sul server sede A peer to peer gli devo dire che deve vedere il tunnel del client 10.0.211.x
3° sul client della sede B peer to peer gli devo dire che deve vedere il tunnel del client della sede A 10.0.211.x perché la locale 192.168.200.0 le vede già
Cosi, il pacchetto che parte dal client 10.0.211.x va sul tunnel 10.0.212.x, arriva nella sede B, raggiunge il Device, e torna indietro per la stessa strada.
Ancora non funziona.
Mi viene il dubbio come deve essere scritta la regola: devo scrivere PUSH, senza PUSH, con la parola ROUTE, o senza, devo scrivere 10.0.211.0/24 oppure 10.0.211.0 255.255.255.0 ?Grazie per l'aiuto
-
Due precisazioni:
- Il "push route" e' un comando server, quindi sul client non ha effetto
- Il push della tunnel network non dovrebbe servire in quanto i due pfSense "conoscono" gia' quella rete
Detto questo, io farei cosi:
-
VPN Remote Access
IPV4 Local network => 192.168.10.0/24
Custom options => push "route 192.168.200.0 255.255.255.0"; -
VPN Server A
IPV4 Local network => 192.168.10.0/24, 10.0.211.0/24
IPV4 Remote network => 192.168.10.0/24 -
VPN Client B
IPV4 Local network => 192.168.10.0/24
IPV4 Remote network => 192.168.10.0/24, 10.0.211.0/24
Premesso che non e' una configurazione abituale (di solito per una Site2Site si usa IPSEC, non OpenVPN), se non funziona nemmeno cosi l'ultima carta rimane provare ad assegnare su firewall B ad OpenVPN Client un'interfaccia e relativa regola di NAT Outbound.
-
Funzionaaaaaaa!
Grazie per l'aiuto.
Comunque funziona cosi' impostando.
Nel server Remote acces solo questo
Nel Server A Peer to Peer cosi' perche' la voce Local nework non c'e' ed ho messo nella voce Remote network
Nel Client B Peer to Peer cosi' perche' la voce Local nework non c'e' ed ho messo nella voce Remote network
Ora funziona alla grande!!
Grazie nuovamente
-
Ottimo!
Non ricordavo come fosse esattamente la Peer2Peer OpenVPN per il motivo di cui sopra, se e' cosi secondo me puoi rimuovere 10.0.211.0/24 da remote networks di Server A.
-
No, se tolgo non funziona più.
Ho rimesso.