Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    VPN (Mikrotik + PFsense) não comunica

    Portuguese
    4
    9
    1173
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      Vidau last edited by

      Boa tarde. Bom, meu cenário atual é o seguinte:

      • Modem (Todas as portas abertas) > Mikrotik (Recebe Internet com ip fixo) > PFsense (Recebe internet com IP fixo)
        Esse cenário está presente em 5 lojas.

      • Em uma das lojas (Denomina-se Matriz) o MK faz a VPN com as demais (Filiais).

      • A VPN entre Matriz e Filial funciona perfeitamente, consigo fazer acesso ou ping entre as lojas sem problemas.

      • Uma das lojas não funciona o acesso Filial > Matriz, funciona somente Matriz > Filial.

      • As demais lojas funcionam esse acesso descrito acima em ambas as direções.

      • A configuração é padrão em todas as lojas, tanto no MK (Salvo o da matriz) quanto o PF, mudando somente as faixas de IP's.

      • Única forma que funciona o acesso é desativando o firewall, mas as demais lojas trabalham com o firewall ativo e sem problemas.

      Então, alguma luz? Já esgotei minhas tentativas, até pelo fato das configurações estarem exatamente iguais em todos os servidores PF. Desde já, obrigado.

      1 Reply Last reply Reply Quote 0
      • P
        pskinfra last edited by

        Verificou em:    Reserved Networks ( LAN )

        Block private networks and loopback addresses

        Block bogon networks

        Verificou também os CIDRs das redes dessa loja que não funciona ?

        Post mais detalhes dessa loja, abraços!

        --
        E-mail: tleite@bsd.com.br
        Whatsapp: (021) 9 6403-5250

        1 Reply Last reply Reply Quote 0
        • V
          Vidau last edited by

          @pskinfra:

          Verificou em:    Reserved Networks ( LAN )

          Block private networks and loopback addresses

          Block bogon networks

          Verificou também os CIDRs das redes dessa loja que não funciona ?

          Post mais detalhes dessa loja, abraços!

          Muito obrigado pela resposta!
          Bom,

          Block private networks and loopback addresses

          Block bogon networks

          Estão desmarcadas.

          Como verifico os CIDRs?

          1 Reply Last reply Reply Quote 0
          • P
            pskinfra last edited by

            CIDRs são as máscaras de subrede caro Vidau.

            Post mais detalhes do problema dessa 'Filial" e 'Matriz'.

            Whatsapp: 021 9 6403-5250.

            Abraços

            --
            E-mail: tleite@bsd.com.br
            Whatsapp: (021) 9 6403-5250

            1 Reply Last reply Reply Quote 0
            • G
              GustavoPru last edited by

              Vidau, pelo seu esquema fiquei com uma dúvida: o pfsense recebe ip do MK ou ambos estão ligados diretamente no modem do seu provedor de acesso?

              Pq se o pfsense estiver ao lado do MK, quer dizer que o tráfego da vpn não passa pelo pfsense. Nesse cenário vc tem que passar aos hosts dessa filial qual a rota para atingir os hosts remotos da VPN. Eu tenho esse cenário no meu local de trabalho e passo a rota via DHCP. Mas também pode ser bug no mk que esteja travando a saída.

              Se o pfsense está atrás do MK, aí o cenário muda um pouco mais. Vc já criou no pfsense alguma regra no firewall para permitir o tráfego de saída para a VPN e para permitir o tráfego de entrada da VPN (essa vc disse que já está funcionando)?

              As filiais utilizam o mesmo padrão de subrede/rede? Ou seja, a matriz é 192.168.0.0/24 e as filiais são 192.168.1.0/24. Se esse for o caso, a rede da filial problema está configurada corretamente?

              Passe adiante todo conhecimento que adquiriu.

              1 Reply Last reply Reply Quote 0
              • V
                Vidau last edited by

                @pskinfra:

                CIDRs são as máscaras de subrede caro Vidau.

                Post mais detalhes do problema dessa 'Filial" e 'Matriz'.

                Whatsapp: 021 9 6403-5250.

                Abraços

                Vou descrever junto com a resposta para o amigo GustavoPru

                @GustavoPru:

                Vidau, pelo seu esquema fiquei com uma dúvida: o pfsense recebe ip do MK ou ambos estão ligados diretamente no modem do seu provedor de acesso?

                Pq se o pfsense estiver ao lado do MK, quer dizer que o tráfego da vpn não passa pelo pfsense. Nesse cenário vc tem que passar aos hosts dessa filial qual a rota para atingir os hosts remotos da VPN. Eu tenho esse cenário no meu local de trabalho e passo a rota via DHCP. Mas também pode ser bug no mk que esteja travando a saída.

                Se o pfsense está atrás do MK, aí o cenário muda um pouco mais. Vc já criou no pfsense alguma regra no firewall para permitir o tráfego de saída para a VPN e para permitir o tráfego de entrada da VPN (essa vc disse que já está funcionando)?

                As filiais utilizam o mesmo padrão de subrede/rede? Ou seja, a matriz é 192.168.0.0/24 e as filiais são 192.168.1.0/24. Se esse for o caso, a rede da filial problema está configurada corretamente?

                A rede funciona da seguinte forma.

                Modem >
                Mikrotik (recebe internet do modem, faz a VPN com o outro Mikrotik e repassa a internet para o PFSense (IP: 14.0.0.1/30)) >
                PFSense (repassa a internet as estações e servidores (IP: 192.168.4.1/24)).

                Se eu tento acessar a filial pela matriz, tenho acesso normal.
                Se eu tento acessar a matriz pela filial não tem comunicação. Mas se desativar o firewall do PF comunica normalmente.

                Existe alguma regra que possa ser feita para liberar esse tráfego?
                Tendo em vista que a única coisa que muda nos PF's instalados nas lojas é o IP que entra a internet e o que é repassado para as estações. As demais regras são padrões. Tanto no MK quanto no PF.

                1 Reply Last reply Reply Quote 0
                • P
                  pskinfra last edited by

                  Mikrotik (recebe internet do modem, faz a VPN com o outro Mikrotik e repassa a internet para o PFSense (IP: 14.0.0.1/30)) >

                  WAN pfsense: 14.0.0.1/30
                  LAN pfsense: 192.168.4.1/24

                  Com boas práticas, usando o modelo OSI, vamos lá:

                  1)  Camada física - ok
                  2)  Camada enlace - ok
                  3)  Camada de rede ?

                  • realize a verificação de rotas e veja onde os saltos estão parando…
                    -  ainda na camada de rede, verifique se há bloqueio;
                    -  realize ping para ver os "replys"
                  • teste de um cliente da rede 192.168.4.x até a ponta do Gw LAN  do Pfsense.
                  • teste de um cliente da rede 192.168.4.x até a ponta do Gw WAN do Pfsense.
                  • teste a rota e ping até o próximo salto (gw) após a WAN do pfsense.

                  att,

                  abraços!

                  --
                  E-mail: tleite@bsd.com.br
                  Whatsapp: (021) 9 6403-5250

                  1 Reply Last reply Reply Quote 0
                  • G
                    GustavoPru last edited by

                    A rede funciona da seguinte forma.

                    Modem >
                    Mikrotik (recebe internet do modem, faz a VPN com o outro Mikrotik e repassa a internet para o PFSense (IP: 14.0.0.1/30)) >
                    PFSense (repassa a internet as estações e servidores (IP: 192.168.4.1/24)).

                    Se eu tento acessar a filial pela matriz, tenho acesso normal.
                    Se eu tento acessar a matriz pela filial não tem comunicação. Mas se desativar o firewall do PF comunica normalmente.

                    Vidau, por sua resposta eu acho que, então, há um problema de roteamento no pfsense. Ele não está sabendo lidar com as requisições internar que precisam ser enviados para os hosts vpn.

                    Existe alguma regra que possa ser feita para liberar esse tráfego?

                    Você pode tentar criar um mapeamento no pfsense para a rede vpn, em NAT > Outbound, de forma que você direcione o tráfego da LAN, que é destinado a vpn para o gateway do pfsense, que é o ip-lan do MK.

                    Passe adiante todo conhecimento que adquiriu.

                    1 Reply Last reply Reply Quote 0
                    • T
                      thugsforlife last edited by

                      Sure thing, to get things done it's better to have VPN on your side macthemes.net to be secure.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post