OpenVPN + Copel Telecom (CGNAT)

P4ul0R0s4

Prezados,

Estamos todos acompanhando a grande complicação que o Coronavírus vem trazendo a população, e para profissionais de T.I no particular, complicou bastante a vida!

Diversas empresas que atendo estão solicitando liberação de VPN para que funcionários possam trabalhar de casa. Algumas nem se quer sabiam da possibilidade de acessar pastas da rede no computador de casa. Muitas, não possuem Firewall, apenas servidor de dados e com link e internet Ipv4 publico, o que facilita a vida do T.I, configura as portas 1701/1723/4500/500/ 47 etc.. no modem e cria o serviço de VPN no Windows server, pronto, perfeito.

Mas..

Um escritório em particular aonde recentemente coloquei o PFsense, possui o bendito link da Copel Telelcom aqui em Curitiba, que assim como todas as outras operadoras, já está em CGNAT, e entrega somente o IPV6 publico, que aliás, é alterado toda vez que o modem reinicia ou após alguns dias, e também é /64, o que é impede de ser roteado no PFsense :/

Pois bem, quando coloco o servidor conectado direto ao modem, ele recebe um IPV6 bonitinho, configuro na VPN do server e consigo acesso externo tranquilamente. Quando conecto o servidor pelo PFsense, ele recebe um numero Ipv6 porém sem internet, apenas o IPv6 de enfeite mesmo.

Procurei alguns tutoriais, todos me levaram ao OpenVPN. Fiz todas as configurações, certificado, etc. Exportei o executável para máquina cliente, sem chances, não conecta de forma alguma, devido ao IP estar no CGNAT porta nenhuma é liberada.

Alguém sabe alguma forma de fechar VPN no Windows server com PFsense, estando em rede com CGNAT?

Cenário:

Modem Huawei HG8245Q2 Copel Fibra > PFSense > Windows Server 2016

shadowdf

@PauloRosa2020 Será que não é o mesmo caso que ocorre com NET, de fazer amarração com o MAC?

LucasQjim

Meu caro, bom dia!! Sou de BH e o escopo que trabalhamos aqui com OpenVPN existe mto CGNAT! do lado do cliente, basta solicitar a operadora a remoção do nateamento do IP da internet! Porém, do lado do usuário realmente é bem complicado uma vez que cada um possui uma internet com link banda larga domestico! Recentemente esbarrei em um problema que APENAS VPNs cuja origem e destino eram a mesma operadora nao conectavam! Snifando junto com a operadora, identificamos que o IP do CGNAT que ela usava, estava na lista de IPs Bogon que o pfsense se baseia! Por hora, para funcionar, desabilitei essa opção la em INTERFACES > WAN > Block bogon interfaces. Desmarca ai que vai funcionar! Porém, é uma vulnerabilidade na rede. O ideal seria que o pfsense deixasse editar a lista de bogon para remoção do IP que etá sendo barrado ou até mesmo permitir que criassemos uma regra acima da regra padrão de bloqueio de bogon com a faixa de IP utilizada pela operadora que, no meu caso, é 100.64.0.0/10. Mas o PFSENSE não permite nenhuma das duas coisas! lendo a documentação do SO, vi que a ordem de leitura de regras do firewall é: floating rules > interface group rules > interface tab rules! porém, criei uma regra de exceção dessa rede la em floating, voltei a habilitar o bloqueio de bogon e o firewall voltou a barrar minha conexão! sigo tentando achar uma solução (que nao seja apenas desmarcar a opção de bogon em WAN)! caso ache algo comunico aqui ou se souberem de algo deem um toque