VPN site-to-site tra pfsense in 4G e asa

neo09

Ciao,
è possibile creare una vpn site-to-site tra pfsense in 4G e un asa?
Non vorrei utilizzare un servizio come DynDns.
Quindi sull'asa che sta in ufficio ho ip pubblico statico mentre il pfsense lo connetto tramite 4G e vorrei poter fare la vpn con l'ASA.
Esiste un modo?

Grazie

fabio.vigano

Ciao,
si può fare con Ipsec, da qualche parte avevo visto proprio una guida su una config simile.

Questa è un po' datata ma fondamentalmente fa la stessa cosa ma con un router netgear
http://www.pfsenseitaly.com/2013/07/vpn-site-to-site-con-router-netgear.html

Se la trovo ti posto quella per l'ASA
Ciao

tonysud

scusa, ne approfitto: come fai per collegarti in 4g con pfsense?

che hardware hai utilizzato?

neo09

Grazie fabio.vigano per la guida, la provo e ti faccio sapere.

#Tonysud, ho acquistato direttamente un appliance che monta un modem interno, credo che il modem sia huawei.
Non credo possa metterti il link dove l'ho acquistato, in caso scrivimi in privato a neo80.trinity83@gmail.com che ti indico il sito.

Ciao

neo09

Ciao Fabio,

sto cercando una guida simile a questa
http://www.pfsenseitaly.com/2012/08/configurare-openvpn-server-su-pfsense.html#more

ma invece di far fare al pfsense il server openvpn voglio fargli fare da client.
Ho un mio server openvpn su una distribuzione ubuntu che funziona egregiamente quindi oltre alla guida
Vpn Site to Site con router Netgear volevo provare la soluzione openvpn client su pfsense.

Grazie

fabio.vigano

Ciao,
basta usare solo la seconda parte di questa guida

http://www.pfsenseitaly.com/2016/03/openvpn-server-su-pfsense-23.html

dove viene spiegato come configurare il pfsense che fa da client.

Ciao fabio

neo09

Ciao Fabio, grazie ancora per la seconda parte della guida…HA FUNZIONATO.
Sono riuscito a far funzionare il client openvpn.
Ora mi resta l'ultimo passaggio, spero tu possa darmi qualche indicazione
TI allego lo schema così magari ti orienti meglio.
In pratica dal client che sta dietro pfsense riesco a raggiungere tutta le rete che sta dietro il server openvpn.
Dal server riesco a raggiungere il pfsense ma SOLO sull'interfaccia openvpn. Quello che devo fare io è raggiungere tutto quello che sta dietro l'interfaccia lan che sta su ip diverso rispetto ad openvpn.
Secondo te è possibile?

Grazie ancora

CON_OPENVPN.jpg_thumb

fabio.vigano

Ciao,
si è possibile. Lato server è presente la rotta per la subnet che sta dall'altra parte?
Hai creato una regola per dire che tutto il traffico della OpenVPN può andare sulla lan?

Ciao fabio

neo09

Ciao Fabio,
si è presente. Ti allego 4 screenshot, così ti faccio vedere la situazione.
I 4 file sono
Le rotte che ho messo sul server.
Le interfacce presenti sul server (quella lan e quella tun openvpn)
Le regole impostate sul pfsense
Il nat impostato su pfsense.
p.s.
Appena risolvo il problema pubblico tutto il progettino che sto facendo, in modo che anche altri possano riutilizzarlo/ispirarsi a questo.

Grazie ancora.

RotteServer.png_thumb

InterfaceServer.png_thumb

RulesPFSENSE.png_thumb

NatPFSENSE.png_thumb

fabio.vigano

Ciao,
Due note:

la seconda regola di firewall che vedo nello screenshot non serve perchè la prima è più ampia e quindi tutto il traffico verrà processato con quella. Comunque non è la causa del problema.
l'IP utilizzato nella rete "client" non è un ip privato, ti sconsiglierei di utilizzarlo. Le reti private sono 192.168.0.0/16; 172.16.0.0/12; 10.0.0.0/8

Potresti provare a fare un traceroute dalla rete 10.34.0.0/24 alla rete 1.1.1.0/24 e postare il risultato?
Se il server openvpn non è anche il gateway della tua rete 10.34.0.0/24, devi anche aggiungere una rotta statica sul tuo ASA inmodo che giri il traffico diretto alla 1.1.1.0/24 verso il server OpenVPN

Ciao fabio

neo09

Ciao Fabio,
ti aggiorno:

si ho tolto quella regola che era un refuso, la prima regola le comprende entrambe
come consigliato da te ho messo una rete con ip privato ora utilizzo 192.168.0.0/16.

Il traceroute aggiungendo le rotte corrette (che ti allego) e mettendo una rotta statica sull'asa (ti allego anche questo), si ferma al primo hop e cioè al server openvpn e se provo a fare un ping alla lan del firewall (il nuovo ip è 192.168.0.100) mi da "Destionation Host Unreachable".

Sto sbagliando qualche rotta?

Aggiornamento:
Sniffando il traffico sul server openvpn e facendo un ping verso un ip che sta dietro pfsense (collegato in openvpnclient) da una macchina che sta nella stessa rete del server openvpn, ottengo

"09:06:13.539313 IP 10.34.0.230 > 192.168.0.100: ICMP echo request, id 24886, seq 1, length 64"
Quindi qualcosa arriva…ma non torna indietro.

Grazie come sempre

NuoveRotte.png_thumb

RotteAsa.png_thumb