Ajuda! OpenVpn - Pfsense



  • Bom dia,

    Queria pedir ajudar dos amigos sobre um problema que vem apresentando aqui na empresa onde trabalho.

    Vou tentar explicar:

    Tenho um serviço externo em um Data center que roda um sistema da empresa e o aplicativo cliente  é usado em maquinas windows 7 dentro da rede.

    Esse aplicativo se comunica com o Data center por uma conexão OpenVpn instalada em cada host com interface TAP e rede /30.

    A conexão inicia do OpenVpn com destino x.x.x.x:1197 UDP.

    Acho que até aqui normal.

    Agora que vem a situação chata. Tenho 4 sites com pfsense como gateway cada um.

    Em cada site tenho em média 7 hosts com as conexões descrito acima. Todas apontando para o data center x.x.x.x:1197 UDP cada um com redes /30 diferentes.

    O problema é: nos 4 sites essas conexões ficam falhando dentro dos seus tuneis e o aplicativo cliente, lógico trava ou da time out.

    O outro suporte fala que lá no data center não problema e que a interface tap do servidor windows 2012 lá está recebendo bem o fluxo de dados dos meus ip externos.

    Analisando o fluxo contrario do "data center" no dump a saida é

    12:54:31.598431 IP (tos 0x0, ttl 119, id 30845, offset 0, flags [DF], proto UDP (17), length 110, bad cksum 0 (->f6aa)!)
        179.x.x.x.1197 > 192.168.3.66.62491: [udp sum ok] UDP, length 82

    De tanto travamento constante eu comecei a achar que é algum problema de blok por ter o pfsense de cara pra rua.

    Alguma sugestão do que pode ser?
    Essa saida do dump da flag [DF] é normal para o protocolo UDP?

    Quando eu pingo de dentro de um host da interface TAP do Windows no data center da falhas e as vezes os 1660 ou 2540 milesegundos no ttl.

    Sei que o pfsense não trata o datagrama do tunel openvpn e sim o datagrama que sai para o ip da rua. mas mesmo assim pode ser que o pfsense esteja retardando o retorno dos datagramas?

    Ele trabalha como statefull então não deveria retardar ou negar nada do ip do data center ja que o fluxo parte de dentro da rede certo?

    Alguem pode me ajudar a entender?



  • Olá BOMSAO,

    Não creio que seu problema seja nada disso que vc citou, mas está com cara de roteamento assimétrico. (dados os clientes fazendo Openvpn localmente + 4 Gatewayes externos)
    Para responder, precisaria entender melhor a topologia de rede entre os peers.
    Se quiser, crie uma topologia com endereços fictícios (para não comprometer sua rede) e poste aqui. Ficaria bem mais fácil entender do que se trata.

    Abraço
    Fabricio Guzzy.



  • Obrigado pela resposta e entendi o que vc quiz dizer até verifiquei isso mas acredito que também não seja, pois eu só tenho um link em cada site e esse link eu uso para navegação e saída dos tuneis Open Vpn para o data center.

    O que queria saber de algum muito experiente é se o pfsense aplanas como um router, mesmo em maquinas robustas como as que eu tenho, pode está "atrasando" as conexões de entrada vindo do "data center" me da esse impressão entende?

    OU pode ser má configuração do Open vpn la no data center. Isso está me chateando.



  • Só pra informar, a aplicação usa o SQL como banco no "data center". Uma plicação padão de uso.


Log in to reply