Ao conectar no VPN os clients não acessam internet…

andrezaomac

@dbastos:

Boa tarde senhores. Estou implementando o PFSense na minha empresa e estou com problemas com o  OpenVPN. Eu preciso que um funcionário que trabalha em home office acesse algumas pastas compartilhadas da minha rede interna.

Meu cenário:
Rede local: 10.0.0.0/24
Rede VPN: 10.0.1.0/24

IP da rede do funcionário: 10.10.10.63
Gateway dele: 10.10.10.17

Configurei a CA, gerei os certificados, criei usuário para a VPN. Exportei o instalador do openvpn e instalei numa máquina windows 7. A conexão foi realizada sem problemas, consigo acessar as pastas compartilhadas em meus servidores e consigo pingar para qualquer host da minha rede interna (10.0.0.0/24) a partir da máquina do home office (10.0.1.0/24).

Meu problema é que a máquina não navega na internet. Nas configurações do pfsense eu conseguir fazer a máquina navegar quando forcei todos os pacotes a saírem pelo gateway da minha rede (Marcando a opção: "Redirect Gateway - Force all client generated traffic through the tunnel.").

Mas eu não quero isso, eu quero que a navegação ocorra pelo gateway da rede do funcionário,  e quando eu desmarco a opção citada a máquina não navega.

Dei uma pesquisada antes, e vi que o client do openvpn pode gerar problemas se não for executado como administrador. Ocorre que mesmo executando ele como administrador a máquina não navega.

O que pode estar acontecendo? será que poder ser algo relacionado a rota na máquina do funcionário? Abaixo seguem as rotas na máquina dele:

Tabela de rotas IPv4

Rotas ativas:
Endereço de rede          Máscara          Ender. gateway      Interface  Custo
0.0.0.0                0.0.0.0                    10.10.10.17          10.10.10.63    20
10.0.0.0              255.255.255.0        10.0.1.1                10.0.1.2    20
10.0.1.0              255.255.255.0        No vínculo              10.0.1.2    276
10.0.1.2              255.255.255.255    No vínculo              10.0.1.2    276
10.0.1.255          255.255.255.255    No vínculo              10.0.1.2    276
10.10.10.63        255.255.255.255    No vínculo              10.10.10.63    276
127.0.0.0            255.0.0.0                No vínculo              127.0.0.1    306
127.0.0.1            255.255.255.255    No vínculo              127.0.0.1    306

Amigo uso exatamente a configuração de VPN que vc quer!!!!
Segue as imagem da minha configuração.
Aqui funciona perfeito.
OBS: A rede interna do seu funcionário tem que ser obrigatoriamente diferente da rede local do seu servidor.

dbastos

@andrezaomac:

Amigo uso exatamente a configuração de VPN que vc quer!!!!
Segue as imagem da minha configuração.
Aqui funciona perfeito.
OBS: A rede interna do seu funcionário tem que ser obrigatoriamente diferente da rede local do seu servidor.

Obrigado pelo retorno, tentei deixar as configurações como a sua, mas não funcionou. Vamos as observações:

Estou fazendo o teste em outra rede, com faixa completamente diferente:

Rede da empresa: 10.0.0.0/24
Rede VPN: 172.20.0.0/24
Rede residencial: 192.168.0.0/24

Também não funcionou. Comparando suas configurações com a minha, o que tinha de diferente eram os seguintes campos:

Peer Certificate Revocation list - No meu não tinha nada, adicionei o que havia criado.
Type-of-Service Set the TOS IP header value of tunnel packets to match the encapsulated packet value. - No meu estava desmarcado
Inter-client communication - Allow communication between clients connected to this server - No meu estava marcado
Compression - No meu estava No preferenec

Se no campo de compressão eu utilizar qualquer coisa diferente da opção No Preference continuo sem navegar e ainda por cima não consigo acessar nenhuma máquina da rede da empresa.
O campo TOS não fez diferença.
Se eu desmarcar o campo Inter-client communication eu não consigo acessar os servidores e também não navego.

Segue abaixo imagem de como está configurada:

https://www.dropbox.com/s/2vq1qsm9iko7eui/1.png?dl=0
https://www.dropbox.com/s/545t1vldiqv3zpv/2.png?dl=0
https://www.dropbox.com/s/o134dipbu2nwwdr/3.png?dl=0
https://www.dropbox.com/s/olhv2ujiz95lakc/4.png?dl=0

Será que é algum bug da release que to usando?

dbastos

Uma coisa que observei, dando um tracert para qualquer endereço IP, ele consegue chegar ao destino, porem se o tracert (ou ping) for para um nome ele não resolve. Me parece algum problema de DNS então.

Mas o que pode ser?

andrezaomac

Não esqueça de ir na WAN e liberar a conexão para porta do sua VPN!!

dbastos

@andrezaomac:

Não esqueça de ir na WAN e liberar a conexão para porta do sua VPN!!

Configurei a vpn pelo wizard, então ele criou a regra automaticamente.

https://www.dropbox.com/s/ipz4w89sxjg85tm/Regras%20Firewall.PNG?dl=0

Você seguiu algum tutorial específico pra configurar a sua VPN?

Acho que to vacilando em algum detalhe, como disse, na máquina do funcionário eu dei um traceroute para um deteminado IP, e ele chegou ao destino saindo pelo gateway da rede dele. O problema é que não está resolvendo nomes. Já tentei setar o DNS do google nas configurações da vpn e direto na máquina dele e nada. Tentei desabilitar a opção nas configurações de VPN para especificar um DNS e o resultado é o mesmo.

andrezaomac

O seu está como destino WANadress , o meu esta destino TODOS.  as vezes pode ser esse detalhe.

dbastos

@andrezaomac:

O seu está como destino WANadress , o meu esta destino TODOS.  as vezes pode ser esse detalhe.

Liberei como vc falou, mas não funcionou. Caramba que novela! rs vou continuar pesquisando e fuçando aqui pra ver se descubro o que pode estar ocorrendo.

Ou então tentar outros meios de configurar uma VPN que não seja pelo openvpn.

andrezaomac

@dbastos:

@andrezaomac:

O seu está como destino WANadress , o meu esta destino TODOS.  as vezes pode ser esse detalhe.

Liberei como vc falou, mas não funcionou. Caramba que novela! rs vou continuar pesquisando e fuçando aqui pra ver se descubro o que pode estar ocorrendo.

Ou então tentar outros meios de configurar uma VPN que não seja pelo openvpn.

kkkkkkkk que novela heim…. mas deve ser algum detalhe que está faltando.

Verifiquei seus preents e comparei com o meu.

Aqui eu sempre deixo DESATIVADO as seguintes funções (no caso o seu está ativo).

DESATIVE - Dinamic IP e também a opção Provedor DNS.

Outra observação que vi, é no tipo de Algorítimo da Chave, vc usa AES-256-CBC (256bit)
No meu uso BF-CBC (128bit) ..... Não sei se isso interfere.

dbastos

@andrezaomac:

@dbastos:

@andrezaomac:

O seu está como destino WANadress , o meu esta destino TODOS.  as vezes pode ser esse detalhe.

Liberei como vc falou, mas não funcionou. Caramba que novela! rs vou continuar pesquisando e fuçando aqui pra ver se descubro o que pode estar ocorrendo.

Ou então tentar outros meios de configurar uma VPN que não seja pelo openvpn.

kkkkkkkk que novela heim…. mas deve ser algum detalhe que está faltando.

Verifiquei seus preents e comparei com o meu.

Aqui eu sempre deixo DESATIVADO as seguintes funções (no caso o seu está ativo).

DESATIVE - Dinamic IP e também a opção Provedor DNS.

Outra observação que vi, é no tipo de Algorítimo da Chave, vc usa AES-256-CBC (256bit)
No meu uso BF-CBC (128bit) ..... Não sei se isso interfere.

Cara, fiz como vc fez e agora funcionou corretamente!!! Conecto na vpn, acesso as pastas compartilhadas e o trafego que não é endereçado a minha rede local sai pelo gateway do usuário! Muito obrigado!

andrezaomac

@dbastos:

@andrezaomac:

@dbastos:

@andrezaomac:

O seu está como destino WANadress , o meu esta destino TODOS.  as vezes pode ser esse detalhe.

Liberei como vc falou, mas não funcionou. Caramba que novela! rs vou continuar pesquisando e fuçando aqui pra ver se descubro o que pode estar ocorrendo.

Ou então tentar outros meios de configurar uma VPN que não seja pelo openvpn.

kkkkkkkk que novela heim…. mas deve ser algum detalhe que está faltando.

Verifiquei seus preents e comparei com o meu.

Aqui eu sempre deixo DESATIVADO as seguintes funções (no caso o seu está ativo).

DESATIVE - Dinamic IP e também a opção Provedor DNS.

Outra observação que vi, é no tipo de Algorítimo da Chave, vc usa AES-256-CBC (256bit)
No meu uso BF-CBC (128bit) ..... Não sei se isso interfere.

Cara, fiz como vc fez e agora funcionou corretamente!!! Conecto na vpn, acesso as pastas compartilhadas e o trafego que não é endereçado a minha rede local sai pelo gateway do usuário! Muito obrigado!

Que ótimo. Parabéns!

amandrade

Boa noite

Estou com mesmo problema para ter acesso a minha rede local, mas o que acontece aqui é diferente

quando faço a conexão via VPN tenho 5 conexões disponiveis.
Só consegue acesso a rede local quem pega o ip 192.168.26.2 se alguém pegar o ip 192.168.26.3 não consegue acesso a rede loca as pastas compartilhadas.

Já liberei portas, já criei um lista de alias, mas nada funcionou.
Alguém com caso assim?

ghislenidroid

@amandrade confere o post