VPN entre Matriz e Filiais



  • Amigos,

    Já faz algum tempo que acompanho o fórum, no entanto nunca tinha postado uma dúvida. Fiz uma busca pelo site mas já fiz de tudo e ainda não consegui resolver meu problema. Atualmente trabalho na MATRIZ da empresa, e esta possui 3 FILIAIS. Fazemos sincronização/replicação dos ADs (Active Diretory). Hoje utilizo OpenVPN diretamente no AD da filial, e este se comunica com o AD da MATRIZ (esta possui um servidor VPN, que não é o pfSense). No entanto, temos alguns problemas com a queda de conexão, links lentos, etc.

    Olhando na internet vários tutoriais e videos mostrando a configuração de VPN site-to-site via pfSense achei o máximo. Tudo funciona lindamente bem, e sem estresse. Mas, na prática, fazendo exatamente como consta nas vídeo-aulas, as coisas não são tão lindas e maravilhosas assim.

    Configurei a VPN entre dois pfSenses (MATRIZ e FILIAL1), e o túnel está UP. Matriz pinga nos servidores da Filial e Filial pinga em servidores da Matriz. No entanto, as estações dos dois lados não se comunicam.

    Fiz alguns testes…

    1. Quando eu estou numa estação (lado da filial), eu consigo pingar no gateway da MATRIZ. Mas ao pingar no servidor AD (localizado na matriz), ele passa pelo gateway local, em seguida vai pelo o túnel, aí o pacote morre.
    2. Quando eu estou no servidor AD da matriz, e tento pingar no servidor AD da filial, o pacote nem chega ao gateway.

    Vi que alguns colegam resolveram esse problema adicionando algumas regras "route" em Advanced Configuration. Coloquei "push route ..." no lado do servidor e "route ..." no lado do cliente. Mas, não resolveu o problema.

    Dúvidas:

    1. Preciso adicionar alguma regra em especifico na LAN? Pq a regra da WAN e Openvpn estão liberadas.
    2. Meu NAT de saída está AUTO. Preciso colocar manual e criar regra específica?
    3. Com relação aos comandos "route". É de fato necessário adicionar em ambos os lados? Ou somente no lado do servidor?
    4. A opção "Don't pull routes" deverá ser marcada no lado do cliente? Pesquisando, não entendi muito bem qual a sua finalidade.

    Se alguém tiver um link do fórum, de outra discussão, sobre esse problema favor enviar o link pq eu não encontrei.

    Estou a uma semana batendo cabeça. Sou iniciante em pfsense, minhas desculpas pela ignorância. Desde já obrigado.

    Detalhes da rede:

    REDE MATRIZ: 10.0.0.0/16
    REDE FILIAL 1: 192.168.50.0/24
    REDE TUNEL: 172.16.100.0/30



  • Ninguem?



  • @ribeiro:

    Ninguem?

    Post preent da tela de configuração do servidor VPN (matriz)
    e da tela do servidor VPN cliente (filial).

    assim fica mais facil para entender o que vc usou nas configurações.



  • @andrezaomac:

    @ribeiro:

    Ninguem?

    Post preent da tela de configuração do servidor VPN (matriz)
    e da tela do servidor VPN cliente (filial).

    assim fica mais facil para entender o que vc usou nas configurações.

    Obrigado pelo retorno andrezaomac! Segue abaixo as imagens. Lado do Servidor e Lado do Cliente. Coloquei tbm abaixo de cada imagem o status do tunel.  Ambos conseguem se comunicar… inclusive se de um lado ou pingar numa estação do outro lado do cliente. Só as estações que nao se comunicam entre si.






  • @ribeiro:

    @andrezaomac:

    @ribeiro:

    Ninguem?

    Post preent da tela de configuração do servidor VPN (matriz)
    e da tela do servidor VPN cliente (filial).

    assim fica mais facil para entender o que vc usou nas configurações.

    Obrigado pelo retorno andrezaomac! Segue abaixo as imagens. Lado do Servidor e Lado do Cliente. Coloquei tbm abaixo de cada imagem o status do tunel.  Ambos conseguem se comunicar… inclusive se de um lado ou pingar numa estação do outro lado do cliente. Só as estações que nao se comunicam entre si.

    Segue as configurações.

    Servidor:  https://app.box.com/s/s9328gez5n6sthp37ie8emteltnqc0gc

    Filial: https://app.box.com/s/z6ecuidv5123p9yoxnypvt4xje3q5hu1

    Fiz exatamente as mesmas configurações que uso em meus servidores.

    No final de tudo, vc tem que fazer em Firewall>> Regras, a rota das redes nos 2 servidores (Matriz e Filial).

    Fica dessa forma.
    OBS: Troque os IP para seu ambiente.
    https://app.box.com/s/ccym1ohr1tm0982dyuypixwjp8qx02jt

    A principio vamos tentar isso.
    Depois passa o feedback de como ficou!!



  • andrezaomac,

    Fiz as alterações conforme solicitou. Nada ainda.  :'(

    Segue imagens com as alterações.






  • Na tela do Servidor

    Na Rede Remota, vc tem que colocar a rede da sua Filial, conforme mandei no preent anterior,  vc colocou sua rede Local.

    Mude para da Filial



  • A rede da filial é 10.0.1.0/24. Por isso não alterei.

    Até mais.



  • @ribeiro:

    A rede da filial é 10.0.1.0/24. Por isso não alterei.

    Até mais.

    É que nos primeiro post você colocou
    outro número de rede!!



  • @andrezaomac:

    É que nos primeiro post você colocou
    outro número de rede!!

    Me desculpe andrezaomac. Realmente lá em cima eu coloquei 192.168.50.0/24. Essa é a rede da filial 2. Acabei me confundindo. Mas, estou fazendo os testes com a filial 1, cuja rede é 10.0.1.0/24.

    Ainda tem ideia do que possa está ocorrendo?

    Até.



  • @ribeiro:

    @andrezaomac:

    É que nos primeiro post você colocou
    outro número de rede!!

    Me desculpe andrezaomac. Realmente lá em cima eu coloquei 192.168.50.0/24. Essa é a rede da filial 2. Acabei me confundindo. Mas, estou fazendo os testes com a filial 1, cuja rede é 10.0.1.0/24.

    Ainda tem ideia do que possa está ocorrendo?

    Até.

    Seu servidor matriz usa Proxy autenticado??

    Nos seus preent não vi a regra que liberar a porta da sua VPN na WAN.
    Libera a porta da VPN na WAN. (nos 2 servidores).



  • Outra questão tbm é:

    No OpenVPN.
    Na sua matriz, vc esta usando a aba SERVIDOR!!
    e na sua filia vc usa a aba CLIENTE!!

    Eu digo isso pq já vi usuário utilizando no 2 lados as abas SERVIDOR. Isso não da certo (ao menos comigo nunca deu…rsr)



  • @andrezaomac:

    Seu servidor matriz usa Proxy autenticado??

    Não utilizamos.

    @andrezaomac:

    Nos seus preent não vi a regra que liberar a porta da sua VPN na WAN.
    Libera a porta da VPN na WAN. (nos 2 servidores).

    Tem a liberação da porta, em ambos. Está lá em cima.



  • @andrezaomac:

    Outra questão tbm é:

    No OpenVPN.
    Na sua matriz, vc esta usando a aba SERVIDOR!!
    e na sua filia vc usa a aba CLIENTE!!

    Eu digo isso pq já vi usuário utilizando no 2 lados as abas SERVIDOR. Isso não da certo (ao menos comigo nunca deu…rsr)

    Sim. Matriz está configurado como SERVIDOR e Filial como CLIENTE.

    Acho que deve ser rota. Você precisou inserir rotas manuais em alguma estação do lado da matriz ou filial?



  • Não utilizo rotas.

    Só fiz a regras no OpenVPN.
    e fiz a regras de firewall na WAN  e LAN de cada servidor.

    Gerei a Chave pelo servidor matriz e copiei e colei no servidor cliente.

    Basicamente é isso, não tem muito segredo.

    Vou montar os preent do meu servidor.



  • @ribeiro:

    @andrezaomac:

    Outra questão tbm é:

    No OpenVPN.
    Na sua matriz, vc esta usando a aba SERVIDOR!!
    e na sua filia vc usa a aba CLIENTE!!

    Eu digo isso pq já vi usuário utilizando no 2 lados as abas SERVIDOR. Isso não da certo (ao menos comigo nunca deu…rsr)

    Sim. Matriz está configurado como SERVIDOR e Filial como CLIENTE.

    Acho que deve ser rota. Você precisou inserir rotas manuais em alguma estação do lado da matriz ou filial?

    Segue a configuração dos meus Servidores.

    Matriz: https://app.box.com/s/vjxj806xcstdms0m0j9ob453ss5v5rsu

    Filial: https://app.box.com/s/zhyw79n0w2o2iwctpshhky26a43gp9ev

    OBS: No arquivo da Filial, por questão de segurança eu apaguei o meu IP. Apenas isto foi editado.

    E tbm tem adicionado as Regras de portas e IPs no firewall conforme já foi mencionado em outros posts.

    OBS²: As portas são as mesma é que o preent da Matriz está com porta diferente da Filial, é pq eu tirei o preet de outra Filial…. mas é só colocar as mesma portas, como vc já tem feito.



  • Certo. Vou refazer tudo novamente. Obrigado pelo auxílio.

    Você usa proxy autenticado?



  • @ribeiro:

    Certo. Vou refazer tudo novamente. Obrigado pelo auxílio.

    Você usa proxy autenticado?

    Sim!!



  • @ribeiro:

    Certo. Vou refazer tudo novamente. Obrigado pelo auxílio.

    Você usa proxy autenticado?

    Ratificando a imagem do Servidor.

    como eu tirei o preent da conexão de outra Filial, só para ficar tudo certo, na tela do SERVIDOR Matriz, 'Tunel da Rede iPV4 o correto é - 10.30.30.1/30


Log in to reply