Conexión OPENVPN y ping en ambos sentidos.



  • Muy buenas, he leído y releído miles de post, y antes de entrar en bucle y volverme loco, he decidido escribir por aquí, a ver si algún alma caritativa puede ayudarme.
    Primeramente, como soy nuevo en estos lares, quiero dar las gracias por vuestro trabajo y la información tan valiosa que aportáis.
    El caso es que quiero conectar dos sedes, separadas a través de un túnel vpn, y he pensado en OpenVpn.
    En una sede, tengo instalado pfSense (192.168.2.1) que da servicio a toda la lan (192.168.2.0/24) y que hará de servidor OpenVPN.
    En la otra, mikrotik (192.168.0.100), que es el router de toda la lan (192.168.0.0/24), y que hará de cliente OpenVPN.

    He creado un túnel, siguiendo vuestros consejos, con Openvpn que conecta perfectamente las dos sedes. (ip's del túnel: 10.0.8.0/24)
    El problema, por el que voy  a desfallecer en cualquier momento… hago ping en un sentido (cliente a servidor) pero no en sentido contrario.
    Es decir, cualquier máquina del rango 192.168.0.0, hace ping a cualquiera del rango 192.168.2.0, pero no al contrario.
    He hecho un tracert y desde la sede servidor a una máquina de la sede cliente, y llega al pfsense (192.168.2.1), pero de ahí salta a internet, y se pierde.
    Sin embargo, si hago un tracert desde una máquina cliente a una de la sede servidor, entra por el tunel (10.0.8.1) y llega al destino.

    Por favor, tenéis alguna idea de que puede estar pasando? ¿tengo que añadir alguna regla en pfsense para que el tráfico desde 192.168.2.0 a 192.168.0.0 se enrute por el túnel?
    Mucha gracias! Felices Reyes!!!
    ![RULE LAN.jpg](/public/imported_attachments/1/RULE LAN.jpg)
    ![RULE LAN.jpg_thumb](/public/imported_attachments/1/RULE LAN.jpg_thumb)
    ![rule OPENVPN.jpg](/public/imported_attachments/1/rule OPENVPN.jpg)
    ![rule OPENVPN.jpg_thumb](/public/imported_attachments/1/rule OPENVPN.jpg_thumb)
    ![rule WAN.jpg](/public/imported_attachments/1/rule WAN.jpg)
    ![rule WAN.jpg_thumb](/public/imported_attachments/1/rule WAN.jpg_thumb)
    ![tarcert_desde_servidor a cliente.jpg](/public/imported_attachments/1/tarcert_desde_servidor a cliente.jpg)
    ![tarcert_desde_servidor a cliente.jpg_thumb](/public/imported_attachments/1/tarcert_desde_servidor a cliente.jpg_thumb)
    ![tracert_cliente a servidor.jpg](/public/imported_attachments/1/tracert_cliente a servidor.jpg)
    ![tracert_cliente a servidor.jpg_thumb](/public/imported_attachments/1/tracert_cliente a servidor.jpg_thumb)



  • Entiendo que el sentido que funciona es microtik->pfSense pero no al contrario.

    Estás permitiendo en el microtik el tráfico de la red privada remota?



  • Muy buenas,
    gracias por responder.
    El tráfico en el mikrotik está permitido a la red 192.168.2.0/24 y a su propia red.
    el tracert desde cualquier máquina en 192.168.2.0/24, llega a la 192.168.2.1 que es la puerta de enlace y pfsense de la red servidor. El tema es que en lugar de dirigirse al túnel, es decir, pasar por 10.0.8.1 hasta 10.0.8.2 y de ahí a la red del mikrotik, desde pfsense, se va a internet y se pierde.
    Como comento, desde la lan cliente, 192.168.0.0/24 se hace ping a todas las máquinas de su red, a las dos ips del túnel, y a toda la red remota. Pero desde la lan que hace de servidor, con ipsense como puerta de enlace, las máquinas hacen ping a su red, y a las dos ips del túnel, pero no a las de la red cliente.
    En mikrotik tengo definida una regla para que todo tráfico que tenga definida destino 192.168.2.0/24, vaya por el gateway 192.168.0.100, ip del mikrotik,  y se cuele por el túnel openvpn, sin embargo, no se como definir ésto mismo en pfsense, para que desde la 192.168.2.0/24, todo tráfico que vaya a la 192.168.0.0/24 pase por el túnel.

    ¿me falta algo?¿alguna idea por favor?.
    Muchas gracias de nuevo!.



  • el tema muy probablemente es que no hay una ruta establecida en el pFsense para alcanzar la red remota . Muy probablemente por que creaste la vpn en modo roadwarrior y no en modo PTP.

    podrias verficiar eso ?

    En todo caso podrias intentar crear una ruta estatica en el pfsense para alcanzar la red remota via la interface de la vpn.



  • Buenas,
    gracias por tu ayuda. He segudo este post:
    https://forum.pfsense.org/index.php?topic=108627.0
    y este
    http://oriolrius.cat/blog/2016/08/22/openvpn-between-pfsense-and-mikrotik/
    al pie de la letra, pero sigo igual.
    Por favor, podrías idicarme, según mi configuración, como puedo crear esa ruta estática para alcanzar la red remota?
    Lo he intentado haciendo un push "route 192.168.0.0 255.255.255.0" en Advanced configuration -> Custom Options, pero no me ha solucionado el problema.
    Muchas gracias!!!



  • Buenas,
    finalmente he encontrado la solución en el siguiente enlace:

    http://qlr.ro/site-to-site-openvpn-between-pfsense-and-mikrotik/

    Gracias!!!



  • Genial. Sería bueno que marcaras el post como resuelto.


Log in to reply