PFSense - OpenVPN não chega na lan



  • Bom dia,

    Estou configurando uma OpenVPN (tanto pelo wizard quanto manualmente) e estou enfrentando o seguinte problema.
    Toda a configuração parece correta e consigo conectar na vpn pelo openvpn gui.
    Porém não consigo acessar a minha rede lan.
    Possuo no firewall uma placa para wan e outra para lan.
    Tentei fazer o seguinte teste:

    • Dentro do PFSense fui em diagnostics > ping

    • Fiz um ping para um dos servidores com a lan como source address.
      Recebi resposta.

    • Fiz um novo ping para o mesmo servidor com openvpn como source adress.
      Não recebi resposta.

    As regras no firewall foram as que o wizard adicionou e também forcei uma liberação de icmp na lan, wan e openvpn.
    Na lan e openvpn, está liberado tudo para tudo.
    Já reiniciei o pfsense após configurar tudo.

    Já configurei a openvpn como tcp e udp.

    Poderiam me ajudar?
    Muito obrigado!



  • Obs: Já segui vários tutoriais pela internet para montar a vpn, em todos eu paro no mesmo problema.



  • A rede tunel é a sua rede local?



  • @Tomas:

    A rede tunel é a sua rede local?

    Alterei a vpn que eu tinha configurado e começou a dar erro para tudo que era lado.
    Deletei tudo e fiz do zero.
    Consegui me conectar na mesma rede mas não consigo pingar os servidores da rede.
    Testei com 10.10.10.0/24 como tunnel e local. Minha lan está como 10.10.10.200/24

    Um dos servidores que tento fazer ping é 10.10.10.11

    Tentei alterar esta vpn para Tunnel como 10.10.10.170/24 e local como 10.10.10.190/24 e voltou a dar erro para tudo que é lado. Vou refazer tudo já com esta configuração e ver o que acontece.

    Edit: Refiz do zero e continuo com o mesmo erro.
    Adicionei uma imagem.




  • Geralmente ele não sobe por que ja existe uma entrada na tabela de rotas pra um dos endereços que você ta utilizando. Tenta alterar o endereço da rede do túnel.

    Quanto ao acesso de uma rede a outra é necessário colocar a rede remota no campo IPv4 Remote network e liberar o acesso em firewall rules, tanto na aba openvpn quanto na aba LAN, ou onde esteja seus hosts



  • @firetxelo:

    Geralmente ele não sobe por que ja existe uma entrada na tabela de rotas pra um dos endereços que você ta utilizando. Tenta alterar o endereço da rede do túnel.

    Quanto ao acesso de uma rede a outra é necessário colocar a rede remota no campo IPv4 Remote network e liberar o acesso em firewall rules, tanto na aba openvpn quanto na aba LAN, ou onde esteja seus hosts

    Obrigado pelo feedback.
    Não entendi a parte do "é necessário colocar a rede remota no campo IPv4 Remote network".
    Sobre o firewall, deixei ele todo aberto para testar, sem sucesso.
    Se funcionar, vou fechando e testando até chegar na configuração ideal.
    Envio em anexo as minhas regras de firewall e também a configuração de tunnel da vpn.

    Agradeço a todos que puderem ajudar.










  • Eu tinha escrito o nome errado.. Remote Network é quando você faz site-to-site.

    No caso você teria acesso as redes especificadas no campo IPv4 Local networks.

    Confere o arquivo server.conf em /var/etc/openvpn/ se existe uma linha com o cromando push "route e o endereço da sua rede local.

    é essa linha que faz com que você tenha rota na sua máquina para a rede do server.



  • JNETO,
    Boa  Tarde!

    O endereço de rede que vc usou na conf está incorreto. deveria ser 10.10.10.0/24 - o /24 já cobre de 10.10.0.0 até 10.10.0.255 - não há necessidade de vc quebrar a rede na configuração.
    Tire um Print da tabela de roteamento no PC que está conectado via VPN com o comando  route print  (no windows) e cole aqui.
    Precisa verificar qual é a rede LOCAL da maquina que está se conectando via OpenVPN. Voce pode estar com conflito de ranges. Você está testando com uma máquina FORA da sua rede interna, certo?

    Abraço
    Fabricio Guzzy



  • @firetxelo:

    Eu tinha escrito o nome errado.. Remote Network é quando você faz site-to-site.

    No caso você teria acesso as redes especificadas no campo IPv4 Local networks.

    Confere o arquivo server.conf em /var/etc/openvpn/ se existe uma linha com o cromando push "route e o endereço da sua rede local.

    é essa linha que faz com que você tenha rota na sua máquina para a rede do server.

    Obrigado pelo feedback.
    Vou testar agora e te retorno.



  • @fabricioguzzy:

    JNETO,
    Boa  Tarde!

    O endereço de rede que vc usou na conf está incorreto. deveria ser 10.10.10.0/24 - o /24 já cobre de 10.10.0.0 até 10.10.0.255 - não há necessidade de vc quebrar a rede na configuração.
    Tire um Print da tabela de roteamento no PC que está conectado via VPN com o comando  route print  (no windows) e cole aqui.
    Precisa verificar qual é a rede LOCAL da maquina que está se conectando via OpenVPN. Voce pode estar com conflito de ranges. Você está testando com uma máquina FORA da sua rede interna, certo?

    Abraço
    Fabricio Guzzy

    Obrigado pela Resposta Fabrício.

    Eu coloquei 190/24 na esperança de controlar o ip do firewall na rede 10.10.10.xxx
    Mas já tentei também com a configuração .0/24

    O ping eu não consigo fazer nem através do próprio pfsense (Diagnostics > Ping).
    No pc eu sei que a rota está correta, pois quando eu faço um tracert, eu recebo resposta do pfsense, porém a rota não continua.

    Reforço que quando faço ping pelo pfsense via lan, recebo a resposta, mas se alterar para o openvpn, deixo de receber a resposta.



  • @firetxelo:

    Eu tinha escrito o nome errado.. Remote Network é quando você faz site-to-site.

    No caso você teria acesso as redes especificadas no campo IPv4 Local networks.

    Confere o arquivo server.conf em /var/etc/openvpn/ se existe uma linha com o cromando push "route e o endereço da sua rede local.

    é essa linha que faz com que você tenha rota na sua máquina para a rede do server.

    Eu tenho o comando:
    push "route 10.10.10.190 255.255.255.0"

    Preciso adicionar ou alterar algo?



  • Boa tarde a todos, comecei a mexer no pfsense recentemente(1 semana) após mudar de emprego, surgiu uma demanda para configurar uma nova VPN, utilizei o pfSense e configurei o openVPN, mas me encontro com o mesmo problema de não acessar a LAN. A rede do meu openvpn é 172.16.35.0/24 e minha LAN é 192.168.0.0/24. Abaixo segue o route print da máquina windows com o cliente openvpn já conectado. Na aba openvpn criei uma regra liberando o acesso quando a origem for minha rede vpn, destino LAN. Criei a mesma regra na interface de LAN mas não deu certo.

    IPv4 Route Table

    Active Routes:
    Network Destination        Netmask          Gateway      Interface  Metric
              0.0.0.0          0.0.0.0    191.201.92.58    191.201.92.57    281
            127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
            127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
      127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
          172.16.35.0    255.255.255.0        On-link      172.16.35.2    276
          172.16.35.2  255.255.255.255        On-link      172.16.35.2    276
        172.16.35.255  255.255.255.255        On-link      172.16.35.2    276
        191.201.92.56  255.255.255.252        On-link    191.201.92.57    281
        191.201.92.57  255.255.255.255        On-link    191.201.92.57    281
        191.201.92.59  255.255.255.255        On-link    191.201.92.57    281
          192.168.0.0    255.255.255.0      172.16.35.1      172.16.35.2    20
        192.168.56.0    255.255.255.0        On-link      192.168.56.1    266
        192.168.56.1  255.255.255.255        On-link      192.168.56.1    266
      192.168.56.255  255.255.255.255        On-link      192.168.56.1    266
            224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
            224.0.0.0        240.0.0.0        On-link      192.168.56.1    266
            224.0.0.0        240.0.0.0        On-link      172.16.35.2    276
            224.0.0.0        240.0.0.0        On-link    191.201.92.57    281
      255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      255.255.255.255  255.255.255.255        On-link      192.168.56.1    266
      255.255.255.255  255.255.255.255        On-link      172.16.35.2    276
      255.255.255.255  255.255.255.255        On-link    191.201.92.57    281

    Persistent Routes:
      None

    Desde já agradeço.



  • Senhores, consegui resolver meu problema.
    Após fazer o desenho de minha estrutura, atentei que meu pfSense hoje não é meu gtw, com isso configurei um NAT no pfSense e o problema foi resolvido.



  • Aos que ainda estão com problemas de rota, ja configuraram o endereço do Gateway da LAN dentro da interface LAN do pfSense?