VPN (Mikrotik + PFsense) não comunica
-
Boa tarde. Bom, meu cenário atual é o seguinte:
-
Modem (Todas as portas abertas) > Mikrotik (Recebe Internet com ip fixo) > PFsense (Recebe internet com IP fixo)
Esse cenário está presente em 5 lojas. -
Em uma das lojas (Denomina-se Matriz) o MK faz a VPN com as demais (Filiais).
-
A VPN entre Matriz e Filial funciona perfeitamente, consigo fazer acesso ou ping entre as lojas sem problemas.
-
Uma das lojas não funciona o acesso Filial > Matriz, funciona somente Matriz > Filial.
-
As demais lojas funcionam esse acesso descrito acima em ambas as direções.
-
A configuração é padrão em todas as lojas, tanto no MK (Salvo o da matriz) quanto o PF, mudando somente as faixas de IP's.
-
Única forma que funciona o acesso é desativando o firewall, mas as demais lojas trabalham com o firewall ativo e sem problemas.
Então, alguma luz? Já esgotei minhas tentativas, até pelo fato das configurações estarem exatamente iguais em todos os servidores PF. Desde já, obrigado.
-
-
Verificou em: Reserved Networks ( LAN )
Block private networks and loopback addresses
Block bogon networks
Verificou também os CIDRs das redes dessa loja que não funciona ?
Post mais detalhes dessa loja, abraços!
-
Verificou em: Reserved Networks ( LAN )
Block private networks and loopback addresses
Block bogon networks
Verificou também os CIDRs das redes dessa loja que não funciona ?
Post mais detalhes dessa loja, abraços!
Muito obrigado pela resposta!
Bom,Block private networks and loopback addresses
Block bogon networks
Estão desmarcadas.
Como verifico os CIDRs?
-
CIDRs são as máscaras de subrede caro Vidau.
Post mais detalhes do problema dessa 'Filial" e 'Matriz'.
Whatsapp: 021 9 6403-5250.
Abraços
-
Vidau, pelo seu esquema fiquei com uma dúvida: o pfsense recebe ip do MK ou ambos estão ligados diretamente no modem do seu provedor de acesso?
Pq se o pfsense estiver ao lado do MK, quer dizer que o tráfego da vpn não passa pelo pfsense. Nesse cenário vc tem que passar aos hosts dessa filial qual a rota para atingir os hosts remotos da VPN. Eu tenho esse cenário no meu local de trabalho e passo a rota via DHCP. Mas também pode ser bug no mk que esteja travando a saída.
Se o pfsense está atrás do MK, aí o cenário muda um pouco mais. Vc já criou no pfsense alguma regra no firewall para permitir o tráfego de saída para a VPN e para permitir o tráfego de entrada da VPN (essa vc disse que já está funcionando)?
As filiais utilizam o mesmo padrão de subrede/rede? Ou seja, a matriz é 192.168.0.0/24 e as filiais são 192.168.1.0/24. Se esse for o caso, a rede da filial problema está configurada corretamente?
-
CIDRs são as máscaras de subrede caro Vidau.
Post mais detalhes do problema dessa 'Filial" e 'Matriz'.
Whatsapp: 021 9 6403-5250.
Abraços
Vou descrever junto com a resposta para o amigo GustavoPru
Vidau, pelo seu esquema fiquei com uma dúvida: o pfsense recebe ip do MK ou ambos estão ligados diretamente no modem do seu provedor de acesso?
Pq se o pfsense estiver ao lado do MK, quer dizer que o tráfego da vpn não passa pelo pfsense. Nesse cenário vc tem que passar aos hosts dessa filial qual a rota para atingir os hosts remotos da VPN. Eu tenho esse cenário no meu local de trabalho e passo a rota via DHCP. Mas também pode ser bug no mk que esteja travando a saída.
Se o pfsense está atrás do MK, aí o cenário muda um pouco mais. Vc já criou no pfsense alguma regra no firewall para permitir o tráfego de saída para a VPN e para permitir o tráfego de entrada da VPN (essa vc disse que já está funcionando)?
As filiais utilizam o mesmo padrão de subrede/rede? Ou seja, a matriz é 192.168.0.0/24 e as filiais são 192.168.1.0/24. Se esse for o caso, a rede da filial problema está configurada corretamente?
A rede funciona da seguinte forma.
Modem >
Mikrotik (recebe internet do modem, faz a VPN com o outro Mikrotik e repassa a internet para o PFSense (IP: 14.0.0.1/30)) >
PFSense (repassa a internet as estações e servidores (IP: 192.168.4.1/24)).Se eu tento acessar a filial pela matriz, tenho acesso normal.
Se eu tento acessar a matriz pela filial não tem comunicação. Mas se desativar o firewall do PF comunica normalmente.Existe alguma regra que possa ser feita para liberar esse tráfego?
Tendo em vista que a única coisa que muda nos PF's instalados nas lojas é o IP que entra a internet e o que é repassado para as estações. As demais regras são padrões. Tanto no MK quanto no PF. -
Mikrotik (recebe internet do modem, faz a VPN com o outro Mikrotik e repassa a internet para o PFSense (IP: 14.0.0.1/30)) >
WAN pfsense: 14.0.0.1/30
LAN pfsense: 192.168.4.1/24Com boas práticas, usando o modelo OSI, vamos lá:
1) Camada física - ok
2) Camada enlace - ok
3) Camada de rede ?- realize a verificação de rotas e veja onde os saltos estão parando…
- ainda na camada de rede, verifique se há bloqueio;
- realize ping para ver os "replys" - teste de um cliente da rede 192.168.4.x até a ponta do Gw LAN do Pfsense.
- teste de um cliente da rede 192.168.4.x até a ponta do Gw WAN do Pfsense.
- teste a rota e ping até o próximo salto (gw) após a WAN do pfsense.
att,
abraços!
- realize a verificação de rotas e veja onde os saltos estão parando…
-
A rede funciona da seguinte forma.
Modem >
Mikrotik (recebe internet do modem, faz a VPN com o outro Mikrotik e repassa a internet para o PFSense (IP: 14.0.0.1/30)) >
PFSense (repassa a internet as estações e servidores (IP: 192.168.4.1/24)).Se eu tento acessar a filial pela matriz, tenho acesso normal.
Se eu tento acessar a matriz pela filial não tem comunicação. Mas se desativar o firewall do PF comunica normalmente.Vidau, por sua resposta eu acho que, então, há um problema de roteamento no pfsense. Ele não está sabendo lidar com as requisições internar que precisam ser enviados para os hosts vpn.
Existe alguma regra que possa ser feita para liberar esse tráfego?
Você pode tentar criar um mapeamento no pfsense para a rede vpn, em NAT > Outbound, de forma que você direcione o tráfego da LAN, que é destinado a vpn para o gateway do pfsense, que é o ip-lan do MK.
-
Sure thing, to get things done it's better to have VPN on your side macthemes.net to be secure.