OpenVPN Conecta mas não acessar a rede interna



  • Olá prezados, desde já agradeço pelo espaço…

    Tenho a Seguinte situação:

    Interface WAN: IP Válido
    Interface LAN: 172.16.0.85/23
    Interace tun0: 10.0.8.1/24

    Tipo de VPN: Client-to-Site

    Quando eu conecto com meu cliente, ele conecta normalmente, pega IP, eu consigo acessar o WebConfig do pfSense, porém eu não consigo acessar nenhum IP interno.

    Pingar no 172.16.0.85 ---> OK
    Pingar no 10.0.8.1 --------> OK
    Acessar WebConfig ------> OK
    Pinga em algum IP dentro de 172.16.0.X ----> NÃO

    Ao criar o servidor de VPN utilizando o Wizard, as regras foram criadas normalmente na interface WAN e na Interface OpenVPN, existe mais alguma regra que devo criar?
    Tenho que fazer alguma rota estática? tenho que fazer algum Nat?

    Segue abaixo um print das regras que foram criadas quando criei o servidor de VPN:

    REGRAS_LAN:

    REGRAS_OPENVPN:

    REGRAS_WAN:

    Espero que alguém me ajude com isso, porque já tem uma semana que estou na luta e nada :).

    Grato desde já pela atenção dos colegas, e tenham todos um ótimo fim de tarde.

    Caso necessite de mais alguma informação é só pedir, logs, configuração de OpenVPN, etc ;)



  • Como estão as configurações do servidor VPN



  • Olá Fernando, obrigado por se dispor em me ajudar, segue abaixo um print de cada umas das seções de configuração do servidor:

    Grato pela atenção ;)



  • Acredito que o problema esteja na configuração do firewall (desculpa não ter visto antes  :P).
    Modifique a regra de firewall em Firewall >Rules  > OpneVPN…. retire a primeira regra (a que tem um gateway definido) deixando apenas a segunda e tente a comunicação novamente.
    Acredito que deverá resolver seu problema.



  • @fernandofolha:

    Acredito que o problema esteja na configuração do firewall (desculpa não ter visto antes  :P).
    Modifique a regra de firewall em Firewall >Rules  > OpneVPN…. retire a primeira regra (a que tem um gateway definido) deixando apenas a segunda e tente a comunicação novamente.
    Acredito que deverá resolver seu problema.

    Obrigado mais uma vez Fernando…

    Fiz como pediu, porem ainda não consigo pingar na rede interna :(

    Segue o print:



  • Olá, eu estava dando um olhada nos LOGs e percebi que ele esta bloqueando meu acessos, talvez pode ser isso, porém eu não achei a regra que bloqueia, segue os prints dos logs e da informação que aparece quando eu clico no "X" vermelho do LOG.

    Alguém saberia me dizer o que pode ser?



  • O cliente OVPN que você está usando está acrescentando as rotas corretamente?



  • @fernandofolha:

    O cliente OVPN que você está usando está acrescentando as rotas corretamente?

    Ola Fernado, aparentemente sim, olha o print:

    Eu consigo pingar nas interfaces do PFSense, tanto na 10.0.8.1 quanto na 172.16.0.85.

    Eu acredito que o problema deve estar na resposta ao ping, porque quando eu desconecto a VPN a resposta do ping dá "Rede de destino inacessível" e quando esta conectado na VPN dá "Esgotado o tempo limite do pedido".

    Imagino que o pfSense esta bloqueando o retorno dos dados interno a LAN. O que você acha?



  • E as rotas no PFSENSE? Como ficam quando a VPN está conectada?

    Outro teste interessante também é deixar um PING rodando da estação com a VPN conectada e dar um TCPDUMP na interface da VPN e depois na interface LAN, afim de ver se o pacote está indo e vindo através das interfaces



  • @fernandofolha:

    E as rotas no PFSENSE? Como ficam quando a VPN está conectada?

    Outro teste interessante também é deixar um PING rodando da estação com a VPN conectada e dar um TCPDUMP na interface da VPN e depois na interface LAN, afim de ver se o pacote está indo e vindo através das interfaces

    Boa tarde Fernando, demorei porque semana passada foi meio corrido aqui no serviço, então, dei uma olhada na tabela de roteamento do pfSense e parece que esta tudo OK, sobre o TCPDUMP não consegui identificar muita coisa, segue abaixo um print da tabela de roteamento.

    Fiz alguns testes com o TCPDUMP como você sugeriu com um ping disparada da maquina cliente, segue abaixo os testes:

    Comando na interface VPN:

    Comandos na Interfaca LAN:



    Talvez eu não esteja conseguindo interpretar direito, mas me parece que as requisições estão chegando até a interface LAN, porem não esta voltando. :) eh isso?



  • Bom dia

    Pelas minhas configurações não há a necessidade de de liberação na LAN, pois na interface OpenVPN já está liberando tudo.



  • @argdenis:

    Bom dia

    Pelas minhas configurações não há a necessidade de de liberação na LAN, pois na interface OpenVPN já está liberando tudo.

    Ok Denis, obrigado pela força, o que você acha que pode ser então? cara já tentei todas as formas que achei pela net, refiz tudo do zero, e o problema continua rsrsrsrs



  • Faz um teste. Desabilita o FW do windows  das estações e veja se funciona.



  • Verifique se as maquinas que você está pingando tem como gateway o 172.16.0.85.

    Pode ser uma pergunta besta a minha, mas nao custa.. hehe.. de repente você trabalha com 2 gateways ai.

    Att
    Denis



  • @sergiocarreira:

    Faz um teste. Desabilita o FW do windows  das estações e veja se funciona.

    Olá Sergio, obrigado pela dica, e sim, eu já desativei o fw da máquina, inicialmente eu estava fazendo os testes em uma máquina com Kaspersky instalado, ai achei que pudesse ser o firewall do windows ou do anti-virus, então eu subi uma VM sem nada instalado, desabilitei o fw e instalei somente o OpenVPN, e mesmo assim, não deu :(



  • @argdenis:

    Verifique se as maquinas que você está pingando tem como gateway o 172.16.0.85.

    Pode ser uma pergunta besta a minha, mas nao custa.. hehe.. de repente você trabalha com 2 gateways ai.

    Att
    Denis

    Boa noite Denis, Obrigado pela dica, e não é uma pergunta besta, todas as perguntas são validas ;), as vezes a gente peca em coisas simples, sim eu tenho dois GW na rede, eu estou fazendo um teste entre duas VMs, com IPs configurados manualmente, o GW da VMs interna a minha rede onde esta o pfSense esta com o IP do pfSense (172.16.0.85), mesmo esquema da VM usada como Cliente, só o Windows instalado, sem anti-virus, com FW desabilitado.



  • @aguinaldo.sis:

    @sergiocarreira:

    Faz um teste. Desabilita o FW do windows  das estações e veja se funciona.

    Olá Sergio, obrigado pela dica, e sim, eu já desativei o fw da máquina, inicialmente eu estava fazendo os testes em uma máquina com Kaspersky instalado, ai achei que pudesse ser o firewall do windows ou do anti-virus, então eu subi uma VM sem nada instalado, desabilitei o fw e instalei somente o OpenVPN, e mesmo assim, não deu :(

    Certo. Faz outro teste. Crie uma pasta compartilhada  nas estações das duas pontas e veja se consegue acessar pelo windows de cada uma delas. Tente acessar via Explorer. Atento só a questão de permissão de acesso à pasta, blz?



  • Estou com o mesmíssimo problema do autor do tópico, pinga as interfaces LAN do pfSense porém não pinga nada na rede interna. Já tentei de tudo, começo a achar que seja um bug em alguma coisa desta versão 2.3.2. Alguém sabe de algo?



  • Consegui!!!

    Meu problema era que eu não estava usando a LAN do meu pfSense como gateway da rede interna, sendo que no meu cenário a rede interna tinha um outro gateway diferente da LAN do pfSense; quando alterei isso, pingou. Também poderia ter adicionado uma rota para esse gateway da rede interna que daria certo, mas já eliminei o mal pela raiz!

    Fica a dica para o autor do tópico: verifique se os gateways da sua rede interna e a LAN do pfSense são os mesmos; se nao for, altere-os.



  • @email15:

    Consegui!!!

    Meu problema era que eu não estava usando a LAN do meu pfSense como gateway da rede interna, sendo que no meu cenário a rede interna tinha um outro gateway diferente da LAN do pfSense; quando alterei isso, pingou. Também poderia ter adicionado uma rota para esse gateway da rede interna que daria certo, mas já eliminei o mal pela raiz!

    Fica a dica para o autor do tópico: verifique se os gateways da sua rede interna e a LAN do pfSense são os mesmos; se nao for, altere-os.

    Bom dia Colega, obrigado pela dica, então, eu já tinha pensado nisso, fiz a configuração manual em uma maquina da minha rede LAN apontando como GW o ip do meu pfSense, mas mesmo assim não responde os pings :( , de todo jeito obrigado pela dica.



  • @sergiocarreira:

    @aguinaldo.sis:

    @sergiocarreira:

    Faz um teste. Desabilita o FW do windows  das estações e veja se funciona.

    Olá Sergio, obrigado pela dica, e sim, eu já desativei o fw da máquina, inicialmente eu estava fazendo os testes em uma máquina com Kaspersky instalado, ai achei que pudesse ser o firewall do windows ou do anti-virus, então eu subi uma VM sem nada instalado, desabilitei o fw e instalei somente o OpenVPN, e mesmo assim, não deu :(

    Certo. Faz outro teste. Crie uma pasta compartilhada  nas estações das duas pontas e veja se consegue acessar pelo windows de cada uma delas. Tente acessar via Explorer. Atento só a questão de permissão de acesso à pasta, blz?

    Olá Sergio, fiz como você sugeriu, sem sucesso. Porem da máquina que esta na LAN do pfSense eu consigo pingar na maquina Client OpenVPN, consigo acessar compartilhamento, consigo acessar Área de Trabalho Remota.

    Será que não seria alguma configuração ou algum parâmetro adicional que eu tenha que colocar quando for exportar os arquivos de configuração na aba Client Export do OpenVPN?



  • @aguinaldo.sis:

    @sergiocarreira:

    @aguinaldo.sis:

    @sergiocarreira:

    Faz um teste. Desabilita o FW do windows  das estações e veja se funciona.

    Olá Sergio, obrigado pela dica, e sim, eu já desativei o fw da máquina, inicialmente eu estava fazendo os testes em uma máquina com Kaspersky instalado, ai achei que pudesse ser o firewall do windows ou do anti-virus, então eu subi uma VM sem nada instalado, desabilitei o fw e instalei somente o OpenVPN, e mesmo assim, não deu :(

    Certo. Faz outro teste. Crie uma pasta compartilhada  nas estações das duas pontas e veja se consegue acessar pelo windows de cada uma delas. Tente acessar via Explorer. Atento só a questão de permissão de acesso à pasta, blz?

    Olá Sergio, fiz como você sugeriu, sem sucesso. Porem da máquina que esta na LAN do pfSense eu consigo pingar na maquina Client OpenVPN, consigo acessar compartilhamento, consigo acessar Área de Trabalho Remota.

    Será que não seria alguma configuração ou algum parâmetro adicional que eu tenha que colocar quando for exportar os arquivos de configuração na aba Client Export do OpenVPN?

    Olá Aguinaldo,
    Não entendi bem o que vc quis dizer (desculpe). As estações do "servidor Vpn" vc consegue acessar os recursos das estações do "cliente VPN", é isso? E o contrário não?



  • Olá Sergio, isso mesmo.
    Mas ou menos assim:

    VM1 => LAN pfSense
    VM2 => OpenVPN Client

    VM1 pinga na VM2
    VM2 não pinga na VM1



  • @aguinaldo.sis:

    Olá Sergio, isso mesmo.
    Mas ou menos assim:

    VM1 => LAN pfSense
    VM2 => OpenVPN Client

    VM1 pinga na VM2
    VM2 não pinga na VM1

    Certo!

    Agora faz outro teste:
    No Pfsense Server, vc cria um client, se conectando no outro Pfsense que tb vai virar Server. Entendeu?  Uma via de "mão-dupla".
    Como se quisesse fazer o contrário, mas sem excluir a configuração atual, blz?



  • @sergiocarreira:

    @aguinaldo.sis:

    Olá Sergio, isso mesmo.
    Mas ou menos assim:

    VM1 => LAN pfSense
    VM2 => OpenVPN Client

    VM1 pinga na VM2
    VM2 não pinga na VM1

    Certo!

    Agora faz outro teste:
    No Pfsense Server, vc cria um client, se conectando no outro Pfsense que tb vai virar Server. Entendeu?  Uma via de "mão-dupla".
    Como se quisesse fazer o contrário, mas sem excluir a configuração atual, blz?

    Boa tarde Sergio, obrigado pela atenção novamente, fiz conforme orientação, porém sem suscessso :(, não respondi antes porque estou em uma correria doida aqui.



  • Muito estranho amigo.
    Vamos pra outro teste:
    Vocë consegue acessar alguma maquina via RDP em casa ponto das redes (matriz e filial)?

    Manda o print do tracert vindo de uma estação na matriz para uma da filial e vice-versa.

    @aguinaldo.sis:

    @sergiocarreira:

    @aguinaldo.sis:

    Olá Sergio, isso mesmo.
    Mas ou menos assim:

    VM1 => LAN pfSense
    VM2 => OpenVPN Client

    VM1 pinga na VM2
    VM2 não pinga na VM1

    Certo!

    Agora faz outro teste:
    No Pfsense Server, vc cria um client, se conectando no outro Pfsense que tb vai virar Server. Entendeu?  Uma via de "mão-dupla".
    Como se quisesse fazer o contrário, mas sem excluir a configuração atual, blz?

    Boa tarde Sergio, obrigado pela atenção novamente, fiz conforme orientação, porém sem suscessso :(, não respondi antes porque estou em uma correria doida aqui.



  • @argdenis:

    Verifique se as maquinas que você está pingando tem como gateway o 172.16.0.85.

    Pode ser uma pergunta besta a minha, mas nao custa.. hehe.. de repente você trabalha com 2 gateways ai.

    Att
    Denis

    Bingo! Estava com o mesmo problema.
    Troquei os ips de toda a rede e um servidor (asterix) fixou com o gateway antigo, resolvido! Muito grato pela dica.