Problema acceso a la LAN desde un cliente PfSense



  • Saludos y de antemano gracias por sus posibles respuestas.

    Tengo PfSense instalado en una máquina virtual de virtualbox. Éste tiene dos interfaces de red, una interfaz para la WAN y otra para la LAN.
    La interfaz LAN está por medio de un adaptador manhattan ubs/ethernet.

    Configuré una VPN mediante el Wizard de PfSense. Creó las reglas de firewall y todo bien. Pude conectarme desde el cliente y se me asigna una dirección del túnel que configuré.

    La VPN está configurada como acceso remoto.

    El problema es que no puedo hacer ping desde el cliente remoto hacia los equipos de la LAN, ni puedo ver sus archivos compartidos.

    Estuve leyendo algunos post de aquí y no he dado con la solución. Leí que puede ser que tenga que agregar una regla más que permita el paso entre la interfaz OpenVPN y la LAN, pero no estoy seguro como hacerlo.

    Que puede que incluso tenga que agregar una nueva interfaz que sea ovpns1.

    O que deba modificar el TUN por TAP en el server VPN.

    • El gateway de mis equipos en la LAN es la dirección LAN de PfSense. La LAN de PfSense tiene DHCP y asigna correctamente las direcciones
    • Hay un router tplink entre la los equipos de la LAN y PfSense. Pero este router tiene desactivado firewall y DHCP. No sé si tenga que desactivar algo más.
    • Si configuro el server OpenVPN como TAP me da inválido ya que me dice:

    The following input errors were detected:
    Using a tunnel network and server bridge settings together is not allowed.

    En realidad no estoy seguro como resolver el problema, la VPN funciona, pero no me conecto con los equipos internos. Incluso he pensado que debo cambiar la configuración del adaptador 2 (interfaz lan) en virtualbox a "red interna" ya que ambas interfaces están como Puente.

    LAN 192.168.30.10  Gateway 192.168.30.10 DHCP - 192.168.30.10 - 192.168.30.30
    WAN 192.168.1.75  Gateway 192.168.1.65

    Tunel VPN 192.138.40.0

    PC's > Router TPLink > PfSense

    Las reglás de tráfico de firewall y openvpn se crearon automáticamente por el wizard.

    Ojalá me puedan ayudar.



  • http://www.geronet.com.ar/?p=1112

    Recien publique algo parecido, mira ese tutorial, fijate si te falta algo, por ahi te ayuda, la version en la que se escribio es vieja pero aplica en las nuevas versiones de pf



  • Saludos elbocha01, yo segui tu tuto al pie de la letra y todo ok, el punto es que acabo de darme cuenta que no puedo hacer ping ni conectarme desde la red LAN a el equipo móvil (ni a la ip vpn ni la local). sabras de algun paso que falte como algún ruteo o algo?



  • comento, no es mio ese post, y por el tema de la configuracion, postea la tuya y la vemos, pero si tenes 2 pc conectadas a la vpn, de una a la otra vas a poder hacer ping, normalmente no hay problema en eso, lo que si, la instalacion en los clientes windows siempre como administrador, eso hace que deje abrir los sockets, sino instala normal pero no funca



  • Amigos, les agradezco de antemano y les comento.

    El problema es el firewall de windows. Desactivarlo por completo es la solución parcial, si se desactiva se pueden alcanzar los equipos de la lan desde el cliente remoto. Además ya intenté habilitando las reglas de entrada y salida del firewall en los equipos LAN y aún así me impide la conexión del cliente. Agregué una para UDP, otra para TCP, especifiqué el puerto que estoy utilizando y nada. Solo los alcanzo con ping si lo desactivo completamente.

    Sabrán qué podrá ser?

    Ahora con lo que estoy luchando es con cómo ver mi el equipo del cliente remoto en el apartado "Red" de windows. Porque no lo veo como los otros que están dentro de la red local.

    Puedo acceder desde el cliente remoto pero solo a las carpetas públicas, pero solo por medio de "ejecutar" y poniendo la dirección IP del equipo. Pero de otra forma es imposible.

    Tengo carpetas compartidas, pero no me deja acceder a ellas porque dice que no tengo permiso, aunque ya le di permiso a "Todos" y no puedo acceder.

    Y una última duda, existe alguna manera de medir el rendimiento de la VPN por medio de wireshark? Tengo pensado medir la latencia, el ancho de banda y la pérdida de paquetes, pero no tengo muy claro como hacerlo.

    Muchísimas gracias!



  • Aclaro mis reglas:

    Firewall WAN
      IPV4 UDP| * | * |WAN Address| 1194 (openvpn) | * | none |  | OpenVPN clientes wizard
      IPV4 TCP| * | * |        *          | 1194 (openvpn) | * | none |  |

    De estas reglas wan la primera se creó automáticamente. La segunda la agregué yo.

    Firewall LAN
            *    |    *    | * |LAN Address |        80            | * |    *    |  | Anti-LockOut Rule
      IPV4      |LAN net| * |        *        |        *              | * | none |  | Default Allow LAN to any rule
      IPV6      |LAN net| * |        *        |        *              | * | none |  | Default Allow LAN IPV6 to any rule

    La primera regla de estas no la hice yo, me parece que se creó automáticamente cuando des habilité bogon networks…
    Las otras dos se crearon por default

    Firewall OpenVPN
      IPV4        |    *    | * |        *        |          *            | *  | none |  | OpenVPN VPN clientes wizard

    Es la única regla de openvpn

    En firewall - NAT está automático y en outbount automatic rules hay dos reglas automáticas. En PortForward no hay nada.

    Puedo alcanzar los equipos de la LAN con un ping desde el cliente externo. Cabe mencionar, el cliente externo es una máquina virtual con dirección IP asignada por el DHCP del ISP normal. No sé si tenga algo que ver esto.

    Lo que quiero es que una vez que haga la conexión del cliente externo por la VPN, pueda ver desde éste, los equipos de la red local y viceversa, ver el cliente externo como un equipo más de la red local. No tengo ningún servidor, solo requiero eso.

    Como mencioné antes, solo alcanzo con ping los equipos desde el cliente externo si desactivo el firewall de las máquinas locales y del cliente externo. Incluso puedo entrar a la carpeta pública, pero de otro no se puede.

    Intenté agregar las reglas de firewall en el cliente (con windows7) y en los equipos de la lan (con windows10). Se agregan, especifiqué el puerto de openvpn 1194, tanto en la regla de entrada como de salida, para TCP y UDP, pero sigue sin funcionar.

    Este es el problema que me arroja el Diagnostico de red de windows en el cliente externo:
      "El equipo remoto no responde a las conexiones en el puerto 445, posiblemente debido a la configuración de la directiva de seguridad o del firewall, o porque no está disponible temporalmente. Windows no pudo encontrar ningún problema con el firewall de su equipo. "

    No tengo idea qué más hacer.

    Muchas gracias!



  • Si el problema es el firewall de windows, entonces quiere decir que lo configurado en el pfSense está bien.  Es mejor que te centres en crear bien las reglas en los equipos windows y también tener presente que algunos antivirus tienen firewall o bloquean puertos por lo que tendría que revisar ahí también.

    Dejar los firewall de los clientes desactivados, no es seguro ni buena práctica.



  • Gracias por tu tiempo y respuesta BrujoNic.

    Definitivamente concuerdo en que desactivar los firewall es mala idea, pero de momento no logro hacer que funcione.

    Anoche revisaba y probé con un tracert a 8.8.8.8 y los dos primeros saltos son al pfsenselocal domain y el segundo a la puerta de enlace del módem ISP. Ambas son direcciones privadas.

    No sé si necesite una regla de NAT para resolver esto.

    De antemano gracias por leerme.

    Saludos



  • No vas a ganar nada el hacer un tracert a la 8.8.8.8 u 8.8.4.4, porque son los DNSs de Google y sería Google quien te respondería. No creo que un tracer te diga o de un dato correcto.
    Lo que debes abrir en el firewall de windows son los puertos que utiliza openVPN ¿Qué puertos debo abrir para un VPN con OpenVPN, L2TP o PPTP?



  • Bien, les agradezco su tiempo y les cuento.

    El firewall de windows bloquea algunas cosas como medida de seguridad. En algunos intentos anteriores traté de abrir los puertos PERO, no funcionó, lo que funcionó es lo siguiente y espero les sirva por en realidad son como dos temas un poco distantes (pfsense y windows).

    Se debe crear primero que nada una regla que permita el ping entre los equipos (entrada y salida), el protocolo es ICMPv4. Esto se debe habilitar en el cliente VPN y en el host al que se quiere llegar. Esto desde el firewall de windows.

    Esto permite la comunicación, PERO! no permite la transferencia de archivos ni el acceso a los recursos públicos del host destino. Para esto en las reglas de entrada y de salida del firewall, en la lista se encuentran 3 reglas de "Compartir archivos e impresoras (SMB)" generalmente hay una deshabilitada, se habilita. Y se modifican estas reglas, principalmente la de perfil público, en "ámbito" se establece en el apartado "Dirección IP remota" CUALQUIER DIRECCIÓN IP.

    Con esto tendrás el firewall habilitado y la conexión completa entre el cliente VPN y el host destino. En este caso ambos tienen W7 y W10.

    Para acceder utilizan "Ejecutar" y la dirección IP del equipo al que quieren acceder. Ya que en el apartado de redes de Windows, de momento no aparece el equipo del cliente, solo hasta que se ejecuta la ruta, lo agrega. Es un detalle que habrá que corregir, supongo yo que es problema de DNS.

    Ahora me toca resolver porqué esto funciona perfecto entre máquinas virtuales y por qué en algunos sitios públicos me rechaza la conexión VPN.

    Les agradezco bastante y espero que a alguien le sirva esto ya que yo no encontré un lugar ni tutorial donde detallaran este proceso.

    Gracias BrujoNic, el tracert solo era curiosidad de por donde estaba saliendo. Y al final no era tanto problema del puerto OpenVPN sino más de Windows y detalles extraños. Un saludo y de nuevo gracias.