NAT para uma rede remota com open vpn.
-
Ola Boa noite,
Vou tentar ser direto para ficar mais facil o entendimento acredito eu.
Preciso acessar um host por um IP fixo mas esse host está uma rede remota que é alcançada por uma VPN. Consigo?
IP externo –-------> Pfsense NAT ----------> tunel vpn Site to site --------> host na rede remota
200.200.x.x:10000 WAN - NAT 10.0.1.1/30 ----10.0.1.2/30 192.168.x.x:3389Meu pfsense conhece a rede 192.168.x.0/24 que tem outro pfsense na ponta.
-
Oi.
- Crie sua regra de nat;
- Aplique a rota para chegar até a rede de destino;
- Crie regra aceitando a origem até o destino;
Obs2: Seria mais fácil você criar um redirecionamento no próprio firewall da rede de destino! 8)
Abraços
-
Bom dia,
Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.
Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.
-
Bom dia,
Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.
Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.
Verifica logs no servidor de destino, VPN e rede privada.
O que você quer é o acesso numa porta alta via internet ? Como se fosse uma DMZ ?
Acho que da forma que você faz o acesso ( via vpn ), é a melhor forma e segura. Mas se for o caso de liberar o redirecionamento, deverá trabalhar com rotas e firewalls.
Você deve aplicar seus conhecimentos para verifica onde o pacote está sendo "descartado".
Uma ferramenta excelente é o tcpdump!Abraços
-
Cara estou com o mesmo problema.
Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?minha situação é parecida.
tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.
tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.
Agradeço a Desde já a Atenção e Ajuda.
-
Cara estou com o mesmo problema.
Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?minha situação é parecida.
tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.
tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.
Agradeço a Desde já a Atenção e Ajuda.
Oi TreeDark. Pode melhorar o seu cenário, não entendi!?!?
-
Tenho assim:
pfsense01 LAN (192.168.1.0/24)–---> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)
O túnel é fechado via WAN.
Apenas no pfsense01 tenho ip válido na entrada WAN.
podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).
eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.
em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.
Desde já Agradeço a atenção.
-
Tenho assim:
pfsense01 LAN (192.168.1.0/24)–---> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)
O túnel é fechado via WAN.
Apenas no pfsense01 tenho ip válido na entrada WAN.
podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).
eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.
em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.
Desde já Agradeço a atenção.
Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).
Abraços
-
Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).
Abraços
Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.
-
Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).
Abraços
Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.
Ah sim.
Verifique as opções abaixo se estão selecionadas na interface de destino e se há realmente regra para chega no FW.
Reserved Networks
Block private networks and loopback addresses -
Opa essas regras estão desabilitadas mesmo assim não funciona.
-
Me chama que posso ajudar.
Att
-
Consegui Resolver
A regra que faltava era em NAT Outbound:
Troquei de Automático para Hibrido e coloquei a seguinte regra:
-
Cara estou com o mesmo problema.
Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?minha situação é parecida.
tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.
tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.
Agradeço a Desde já a Atenção e Ajuda.
Bom dia galera….
É exatamente isso que eu preciso.
O senário é o mesmo.
-
Tenho assim:
pfsense01 LAN (192.168.1.0/24)–---> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)
O túnel é fechado via WAN.
Apenas no pfsense01 tenho ip válido na entrada WAN.
podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).
eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.
em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.
Desde já Agradeço a atenção.
Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).
Abraços
Pelo que estou vendo o amigo tem o mesmo senário que o meu.
Eu tenho apenas um ip fixo e queria facilitar minha vida e a vida dos parceiros acessando por esse ip fixo para chegar na outra rede. Eu tenho um sistema que está em uma rede onde não tenho ip fixo e colocar DDNS não ficaria muito bom já que estamos nos restruturando.
Estranho que quando subo as vpns site to site todas as redes se falam. Não crio rotas estaticas, o open vpn já faz isso quando digo as redes que ele tem que conhecer quando crio as confs. Filtro tudo e vejo que passa.
O problema é que eu chego na interface wan com o ip, vejo logado mas não tem nada no firewall com relação a blok apenas fechado.
-
@treedark
Boa noite amigos. desculpe eu estava muito ocupado e fiquei sumido.
Vi que o amigo consegui fazer usando NAT OutBound.
Era exatamente o que queria. qual foi a regra que você colocou? -
Oi amigo como vc resolveu ? Pode me ajudar?
-
O que eu fiz no meu cenário, por exemplo a minha rede interna é 192.168.100.0/21 e esta dividida em várias vlans, peguei apenas um pedaço dela 192.168.107.224/27 e configurei a rede que preciso ter acesso em rede do tunel IPv4 Rede(s) local(is)
-
Basicamente o que eu presizo é isso na imagem.
Acho que eu não esteja entendendo o conseito de NAT muito bem dentro do pfsense.!
Entre o modem e o pfsense tenho uma rede 192.168.200.0/30. Não consigo colocar esse modem em modo bridge, nem clonando o MAC da interface dele e setando na wan do pfsense. Eu tenho outro poste aqui no forum perguntando se alguem tem algum bisu sobre o IP fixo de live tim com o TIM empresa. Banda larga mesmo.
Para não ficar criando portforward no modem e no pfsense resolvi dizer que é uma DMZ.
Então, depois que chega no pfsense o resto é tudo ip privado. Acho que é ai o problema.
Com a rede diretamente conectada eu consigo perfeitamente mas com a rede do lado de lá do tunel, eu até vejo o pacote chegando e interface vpn da filial mas não volta e nem mostra se foi dropado. -
@treedark
Meu cenario é o mesmo.
Não consigo nem acessar o pfsense02 pela interface vpn. Pela rede interna eu tenho acesso mas nem um simples portforwarder não chega nem na interface vpn do segundo pfsense. -
Fiz um teste com um modem em bridge, com o pfsense de cara pra rua e mesmo assim não chega.
-
Fala galera, o que funcionou pra mim foram essas regras, no meu caso eu utilizo uma VPN site to site com Wireguard:
https://docs.netgate.com/pfsense/en/latest/recipes/wireguard-s2s.html
