Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN: non pingo un'altra rete presente sul server remoto

    Scheduled Pinned Locked Moved
    Italiano
    2
    6
    754
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • dark_matterD
      dark_matter
      last edited by dark_matter

      Ciao a tutti.
      Vi spiego il mio problema, abbastanza curioso.

      Metto su un server remoto PFsense che è connesso in VPN con il PFsense di casa mia. La rete creata funziona, pingo correttamente sia l'altro nodo, sia la rete di casa mia.

      Ma il PFsense di casa mia oltre alla connessione FTTH gestisce anche il failover essendo collegato con un altro router 4G, ha quindi un'altra rete fisicamente connessa.
      Ebbene, questa rete, dal server remoto in VPN non c'è modo di pingarla, di più, con il tcpdump non vedo neanche arrivare la richiesta sulla interfaccia del tunnel. In tcpdump sulla interfaccia VTUN del server remoto vedo che la richiesta parte, ma dall'altra parte non è presente, che fine fa?

      Discorso rotte: se dò un netstat la rete (192.168.5.0/24 è presente ed è configurata alla stessa maniera della rete di casa mia (10.200.0.0/16).
      Firewall: tutto aperto lato OpenVPN e interfaccia tun.

      10.200.0.0/16 172.30.2.2 UGS ovpns2
      192.168.5.0/24 172.30.2.2 UGS ovpns2

      Suggerimenti?
      Grazie.

      1 Reply Last reply Reply Quote 0
      • kiokomanK
        kiokoman LAYER 8
        last edited by kiokoman

        non ho capito quindi che rete non riesci a pingare ? da dove a dove?

        il 4g e l'ftth sono 2 WAN
        192.168.5.0/24 è una LAN e 10.200.0.0/16 è l'altra LAN ?
        come tunnel cosa hai messo?

        se stai cercando di pingare il lato wan dove c'e' il modem 4g ti server una regola di outbound NAT
        pingare quella rete è come cercare di pingare qualcosa in internet passando per la vpn e si trova fuori da quanto gestito da pfsense

        ping in foto prima e dopo la creazione della regola di outbound
        va impostato in Hybrid Outbound NAT rule

        Immagine.jpg

        172.16.0.0/24 da una parte, la mia lan è 192.168.10.0/24, il mio modem è 192.168.2.0/24 dove pfsense è 192.168.2.2 e il modem 192.168.2.1 ed è consirderata WAN

        senza questa regola la connessione risulterebbe asimmetrica dove il ping arriva al modem dalla rete 172.16.0.0/24 ma lui non ha le rotte e non conosce nulla della lan o della vpn quindi risponderebbe al ping uscendo in internet anzichè rispondere indietro a pfsense

        ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
        Please do not use chat/PM to ask for help
        we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
        Don't forget to Upvote with the 👍 button for any post you find to be helpful.

        1 Reply Last reply Reply Quote 0
        • dark_matterD
          dark_matter
          last edited by

          ciao kiokoman, grazie per la risposta.
          Ricapitolando:
          10.200.0.0/16 172.30.2.2 UGS ovpns2 (LAN casa)
          192.168.5.0/24 172.30.2.2 UGS ovpns2 (RETE router 4G connessa al PFsense di casa)
          172.30.2.0/24 rete VPN server remoto-casa

          Il ping lo faccio dal server remoto passando quindi dalla VPN arrivando al PFsense di casa che è connesso direttamente con la rete 4G del router esterno.
          Ovviamente sul PFsense di casa non serve rotta in quanto è direttamente connessa la rete verso il router 4G.

          Il problema è che se mi metto sul server di casa a sniffare il traffico con tcpdump sulla interfaccia della VPN non vedo proprio i pacchetti arrivare. Poi dal PFsense di casa dovrebbero essere dirottati verso la rete 4G, ma al momento non li vedo arrivare manco al fw di casa.

          La regola di cui parli tu è una cosa che ho provato a fare ma il mio problema è a monte, non arrivando proprio il pacchetto il PFsense di casa non può gestirlo.

          Spero di essermi spiegato un po' meglio ora.

          Grazie

          1 Reply Last reply Reply Quote 0
          • kiokomanK
            kiokoman LAYER 8
            last edited by kiokoman

            @dark_matter said in OpenVPN: non pingo un'altra rete presente sul server remoto:

            192.168.5.0

            nella configurazione della vpn su
            ipv4 remote network hai aggiunto 192.168.5.0/24 ? o hai aggiunto la rotta manualmente ?

            Immagine.jpg

            dovresti sniffare dall'altra parte per vedere se almeno il traffico entra nel tunnel

            ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
            Please do not use chat/PM to ask for help
            we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
            Don't forget to Upvote with the 👍 button for any post you find to be helpful.

            1 Reply Last reply Reply Quote 0
            • dark_matterD
              dark_matter
              last edited by dark_matter

              Ciao Kioko, buongiorno.

              Ho aggiunto la rotta da entrambe le parti ma il problema è che che sniffo il traffico con tcpdump dall'altro lato del tunnel (casa mia) non vedo i ping arrivare.

              Se sniffo il traffico sull'interfaccia del tunnel del server remoto vedo che il ping viene correttamente eseguito.
              Non capisco dove possa perdersi, visto che viene indirizzato sull'interfaccia corretta.
              Con traceroute ovviamente ho solo asterischi.

              E anche le rotte mi paiono corrette:
              10.200.0.0/16 172.30.2.2 UGS ovpns2 (LAN casa)
              192.168.5.0/24 172.30.2.2 UGS ovpns2 (RETE router 4G connessa al PFsense di casa)
              172.30.2.0/24 rete VPN server remoto-casa

              1 Reply Last reply Reply Quote 0
              • kiokomanK
                kiokoman LAYER 8
                last edited by kiokoman

                non riesci a pingare nulla da quel lato o solo la rete del 4g ? riesci ad esempio a pingare pfsense ? hai comunque verificato se sul log del firewall viene bloccato qualcosa ?
                come tunnel,se è una site to site, hai configurato una rete /30 ?
                su tutte le interfacce hai disabilitato Block bogon networks e Block private networks and loopback addresses ?
                prova a vedere se seguendo queste indicazioni riesci a identificare il problema
                https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn.html

                ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                Please do not use chat/PM to ask for help
                we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post