VPN site-to-site tra pfsense in 4G e asa



  • Ciao,
    è possibile creare una vpn site-to-site tra pfsense in 4G e un asa?
    Non vorrei utilizzare un servizio come DynDns.
    Quindi sull'asa che sta in ufficio ho ip pubblico statico mentre il pfsense lo connetto tramite 4G e vorrei poter fare la vpn con l'ASA.
    Esiste un modo?

    Grazie



  • Ciao,
    si può fare con Ipsec, da qualche parte avevo visto proprio una guida su una config simile.

    Questa è un po' datata ma fondamentalmente fa la stessa cosa ma con un router netgear
    http://www.pfsenseitaly.com/2013/07/vpn-site-to-site-con-router-netgear.html

    Se la trovo ti posto quella per l'ASA
    Ciao



  • scusa, ne approfitto: come fai per collegarti in 4g con pfsense?

    che hardware hai utilizzato?



  • Grazie fabio.vigano per la guida, la provo e ti faccio sapere.

    #Tonysud, ho acquistato direttamente un appliance che monta un modem interno, credo che il modem sia huawei.
    Non credo possa metterti il link dove l'ho acquistato, in caso scrivimi in privato a neo80.trinity83@gmail.com che ti indico il sito.

    Ciao



  • Ciao Fabio,

    sto cercando una guida simile a questa
    http://www.pfsenseitaly.com/2012/08/configurare-openvpn-server-su-pfsense.html#more

    ma invece di far fare al pfsense il server openvpn voglio fargli fare da client.
    Ho un mio server openvpn su una distribuzione ubuntu che funziona egregiamente quindi oltre alla guida
    Vpn Site to Site con router Netgear volevo provare la soluzione openvpn client su pfsense.

    Grazie



  • Ciao,
    basta usare solo la seconda parte di questa guida

    http://www.pfsenseitaly.com/2016/03/openvpn-server-su-pfsense-23.html

    dove viene spiegato come configurare il pfsense che fa da client.

    Ciao fabio



  • Ciao Fabio, grazie ancora per la seconda parte della guida…HA FUNZIONATO.
    Sono riuscito a far funzionare il client openvpn.
    Ora mi resta l'ultimo passaggio, spero tu possa darmi qualche indicazione
    TI allego lo schema così magari ti orienti meglio.
    In pratica dal client che sta dietro pfsense riesco a raggiungere tutta le rete che sta dietro il server openvpn.
    Dal server riesco a raggiungere il pfsense ma SOLO sull'interfaccia openvpn. Quello che devo fare io è raggiungere tutto quello che sta dietro l'interfaccia lan che sta su ip diverso rispetto ad openvpn.
    Secondo te è possibile?

    Grazie ancora




  • Ciao,
    si è possibile. Lato server è presente la rotta per la subnet che sta dall'altra parte?
    Hai creato una regola per dire che tutto il traffico della OpenVPN può andare sulla lan?

    Ciao fabio



  • Ciao Fabio,
    si è presente. Ti allego 4 screenshot, così ti faccio vedere la situazione.
    I 4 file sono
    Le rotte che ho messo sul server.
    Le interfacce presenti sul server (quella lan e quella tun openvpn)
    Le regole impostate sul pfsense
    Il nat impostato su pfsense.
    p.s.
    Appena risolvo il problema pubblico tutto il progettino che sto facendo, in modo che anche altri possano riutilizzarlo/ispirarsi a questo.

    Grazie ancora.










  • Ciao,
    Due note:

    1. la seconda regola di firewall che vedo nello screenshot non serve perchè la prima è più ampia e quindi tutto il traffico verrà processato con quella. Comunque non è la causa del problema.
    2. l'IP utilizzato nella rete "client" non è un ip privato, ti sconsiglierei di utilizzarlo. Le reti private sono 192.168.0.0/16; 172.16.0.0/12; 10.0.0.0/8

    Potresti provare a fare un traceroute dalla rete 10.34.0.0/24 alla rete 1.1.1.0/24 e postare il risultato?
    Se il server openvpn non è anche il gateway della tua rete 10.34.0.0/24, devi anche aggiungere una rotta statica sul tuo ASA inmodo che giri il traffico diretto alla 1.1.1.0/24 verso il server OpenVPN

    Ciao fabio



  • Ciao Fabio,
    ti aggiorno:

    1. si ho tolto quella regola che era un refuso, la prima regola le comprende entrambe
    2. come consigliato da te ho messo una rete con ip privato ora utilizzo 192.168.0.0/16.

    Il traceroute aggiungendo le rotte corrette (che ti allego) e mettendo una rotta statica sull'asa (ti allego anche questo), si ferma al primo hop e cioè al server openvpn e se provo a fare un ping alla lan del firewall (il nuovo ip è 192.168.0.100) mi da "Destionation Host Unreachable".

    Sto sbagliando qualche rotta?

    Aggiornamento:
    Sniffando il traffico sul server openvpn e facendo un ping verso un ip che sta dietro pfsense (collegato in openvpnclient) da una macchina che sta nella stessa rete del server openvpn, ottengo

    "09:06:13.539313 IP 10.34.0.230 > 192.168.0.100: ICMP echo request, id 24886, seq 1, length 64"
    Quindi qualcosa arriva…ma non torna indietro.

    Grazie come sempre





Log in to reply