Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN site-to-site tra pfsense in 4G e asa

    Scheduled Pinned Locked Moved Italiano
    11 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      neo09
      last edited by

      Ciao,
      è possibile creare una vpn site-to-site tra pfsense in 4G e un asa?
      Non vorrei utilizzare un servizio come DynDns.
      Quindi sull'asa che sta in ufficio ho ip pubblico statico mentre il pfsense lo connetto tramite 4G e vorrei poter fare la vpn con l'ASA.
      Esiste un modo?

      Grazie

      1 Reply Last reply Reply Quote 0
      • fabio.viganoF
        fabio.vigano
        last edited by

        Ciao,
        si può fare con Ipsec, da qualche parte avevo visto proprio una guida su una config simile.

        Questa è un po' datata ma fondamentalmente fa la stessa cosa ma con un router netgear
        http://www.pfsenseitaly.com/2013/07/vpn-site-to-site-con-router-netgear.html

        Se la trovo ti posto quella per l'ASA
        Ciao

        ===============================
        pfSenseItaly.com
        La risorsa italiana per pfSense

        Se il post o la risposta ti sono stati utili clicca su 👍

        1 Reply Last reply Reply Quote 0
        • T
          tonysud
          last edited by

          scusa, ne approfitto: come fai per collegarti in 4g con pfsense?

          che hardware hai utilizzato?

          1 Reply Last reply Reply Quote 0
          • N
            neo09
            last edited by

            Grazie fabio.vigano per la guida, la provo e ti faccio sapere.

            #Tonysud, ho acquistato direttamente un appliance che monta un modem interno, credo che il modem sia huawei.
            Non credo possa metterti il link dove l'ho acquistato, in caso scrivimi in privato a neo80.trinity83@gmail.com che ti indico il sito.

            Ciao

            1 Reply Last reply Reply Quote 0
            • N
              neo09
              last edited by

              Ciao Fabio,

              sto cercando una guida simile a questa
              http://www.pfsenseitaly.com/2012/08/configurare-openvpn-server-su-pfsense.html#more

              ma invece di far fare al pfsense il server openvpn voglio fargli fare da client.
              Ho un mio server openvpn su una distribuzione ubuntu che funziona egregiamente quindi oltre alla guida
              Vpn Site to Site con router Netgear volevo provare la soluzione openvpn client su pfsense.

              Grazie

              1 Reply Last reply Reply Quote 0
              • fabio.viganoF
                fabio.vigano
                last edited by

                Ciao,
                basta usare solo la seconda parte di questa guida

                http://www.pfsenseitaly.com/2016/03/openvpn-server-su-pfsense-23.html

                dove viene spiegato come configurare il pfsense che fa da client.

                Ciao fabio

                ===============================
                pfSenseItaly.com
                La risorsa italiana per pfSense

                Se il post o la risposta ti sono stati utili clicca su 👍

                1 Reply Last reply Reply Quote 0
                • N
                  neo09
                  last edited by

                  Ciao Fabio, grazie ancora per la seconda parte della guida…HA FUNZIONATO.
                  Sono riuscito a far funzionare il client openvpn.
                  Ora mi resta l'ultimo passaggio, spero tu possa darmi qualche indicazione
                  TI allego lo schema così magari ti orienti meglio.
                  In pratica dal client che sta dietro pfsense riesco a raggiungere tutta le rete che sta dietro il server openvpn.
                  Dal server riesco a raggiungere il pfsense ma SOLO sull'interfaccia openvpn. Quello che devo fare io è raggiungere tutto quello che sta dietro l'interfaccia lan che sta su ip diverso rispetto ad openvpn.
                  Secondo te è possibile?

                  Grazie ancora

                  CON_OPENVPN.jpg
                  CON_OPENVPN.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • fabio.viganoF
                    fabio.vigano
                    last edited by

                    Ciao,
                    si è possibile. Lato server è presente la rotta per la subnet che sta dall'altra parte?
                    Hai creato una regola per dire che tutto il traffico della OpenVPN può andare sulla lan?

                    Ciao fabio

                    ===============================
                    pfSenseItaly.com
                    La risorsa italiana per pfSense

                    Se il post o la risposta ti sono stati utili clicca su 👍

                    1 Reply Last reply Reply Quote 0
                    • N
                      neo09
                      last edited by

                      Ciao Fabio,
                      si è presente. Ti allego 4 screenshot, così ti faccio vedere la situazione.
                      I 4 file sono
                      Le rotte che ho messo sul server.
                      Le interfacce presenti sul server (quella lan e quella tun openvpn)
                      Le regole impostate sul pfsense
                      Il nat impostato su pfsense.
                      p.s.
                      Appena risolvo il problema pubblico tutto il progettino che sto facendo, in modo che anche altri possano riutilizzarlo/ispirarsi a questo.

                      Grazie ancora.

                      RotteServer.png
                      RotteServer.png_thumb
                      InterfaceServer.png
                      InterfaceServer.png_thumb
                      RulesPFSENSE.png
                      RulesPFSENSE.png_thumb
                      NatPFSENSE.png
                      NatPFSENSE.png_thumb

                      1 Reply Last reply Reply Quote 0
                      • fabio.viganoF
                        fabio.vigano
                        last edited by

                        Ciao,
                        Due note:

                        1. la seconda regola di firewall che vedo nello screenshot non serve perchè la prima è più ampia e quindi tutto il traffico verrà processato con quella. Comunque non è la causa del problema.
                        2. l'IP utilizzato nella rete "client" non è un ip privato, ti sconsiglierei di utilizzarlo. Le reti private sono 192.168.0.0/16; 172.16.0.0/12; 10.0.0.0/8

                        Potresti provare a fare un traceroute dalla rete 10.34.0.0/24 alla rete 1.1.1.0/24 e postare il risultato?
                        Se il server openvpn non è anche il gateway della tua rete 10.34.0.0/24, devi anche aggiungere una rotta statica sul tuo ASA inmodo che giri il traffico diretto alla 1.1.1.0/24 verso il server OpenVPN

                        Ciao fabio

                        ===============================
                        pfSenseItaly.com
                        La risorsa italiana per pfSense

                        Se il post o la risposta ti sono stati utili clicca su 👍

                        1 Reply Last reply Reply Quote 0
                        • N
                          neo09
                          last edited by

                          Ciao Fabio,
                          ti aggiorno:

                          1. si ho tolto quella regola che era un refuso, la prima regola le comprende entrambe
                          2. come consigliato da te ho messo una rete con ip privato ora utilizzo 192.168.0.0/16.

                          Il traceroute aggiungendo le rotte corrette (che ti allego) e mettendo una rotta statica sull'asa (ti allego anche questo), si ferma al primo hop e cioè al server openvpn e se provo a fare un ping alla lan del firewall (il nuovo ip è 192.168.0.100) mi da "Destionation Host Unreachable".

                          Sto sbagliando qualche rotta?

                          Aggiornamento:
                          Sniffando il traffico sul server openvpn e facendo un ping verso un ip che sta dietro pfsense (collegato in openvpnclient) da una macchina che sta nella stessa rete del server openvpn, ottengo

                          "09:06:13.539313 IP 10.34.0.230 > 192.168.0.100: ICMP echo request, id 24886, seq 1, length 64"
                          Quindi qualcosa arriva…ma non torna indietro.

                          Grazie come sempre

                          NuoveRotte.png
                          NuoveRotte.png_thumb
                          RotteAsa.png
                          RotteAsa.png_thumb

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.