NAT para uma rede remota com open vpn.



  • Ola Boa noite,

    Vou tentar ser direto para ficar mais facil o  entendimento acredito eu.

    Preciso acessar um host por um IP fixo mas esse host está uma rede remota que é alcançada por uma VPN. Consigo?

    IP externo –-------> Pfsense NAT ----------> tunel vpn Site to site --------> host na rede remota
    200.200.x.x:10000    WAN - NAT            10.0.1.1/30 ----10.0.1.2/30          192.168.x.x:3389

    Meu pfsense conhece a rede 192.168.x.0/24 que tem outro pfsense na ponta.



  • Oi.

    1. Crie sua regra de nat;
    2. Aplique a rota para chegar até a rede de destino;
    3. Crie regra aceitando a origem até o destino;

    Obs2: Seria mais fácil você criar um redirecionamento no próprio firewall da rede de destino!  😎

    Abraços



  • Bom dia,

    Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.

    Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.



  • @bomsao:

    Bom dia,

    Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.

    Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.

    Verifica logs no servidor de destino, VPN e rede privada.

    O que você quer é o acesso numa porta alta via internet ? Como se fosse uma DMZ ?
    Acho que da forma que você faz o acesso ( via vpn ), é a melhor forma e segura. Mas se for o caso de liberar o redirecionamento, deverá trabalhar com rotas e firewalls.
    Você deve aplicar seus conhecimentos para verifica onde o pacote está sendo “descartado”.
    Uma ferramenta excelente é o tcpdump!

    Abraços



  • Cara estou com o mesmo problema.
    Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
    Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

    minha situação é parecida.

    tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

    tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

    Agradeço a Desde já a Atenção e Ajuda.



  • @TreeDark:

    Cara estou com o mesmo problema.
    Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
    Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

    minha situação é parecida.

    tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

    tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

    Agradeço a Desde já a Atenção e Ajuda.

    Oi TreeDark. Pode melhorar o seu cenário, não entendi!?!?



  • Tenho assim:

    pfsense01 LAN (192.168.1.0/24)–—> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

    O túnel é fechado via WAN.

    Apenas no pfsense01 tenho ip válido na entrada WAN.

    podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

    eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

    em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

    Desde já Agradeço a atenção.



  • @TreeDark:

    Tenho assim:

    pfsense01 LAN (192.168.1.0/24)–—> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

    O túnel é fechado via WAN.

    Apenas no pfsense01 tenho ip válido na entrada WAN.

    podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

    eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

    em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

    Desde já Agradeço a atenção.

    Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

    Abraços



  • Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

    Abraços

    Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.



  • @TreeDark:

    Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

    Abraços

    Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.

    Ah sim.

    Verifique as opções abaixo se estão selecionadas na interface de destino e se há realmente regra para chega no FW.

    Reserved Networks
          Block private networks and loopback addresses



  • Opa essas regras estão desabilitadas mesmo assim não funciona.



  • Me chama que posso ajudar.

    Att



  • Consegui Resolver

    A regra que faltava era em NAT Outbound:

    Troquei de Automático para Hibrido e coloquei a seguinte regra:




  • @TreeDark:

    Cara estou com o mesmo problema.
    Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
    Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

    minha situação é parecida.

    tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

    tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

    Agradeço a Desde já a Atenção e Ajuda.

    Bom dia galera….

    É exatamente isso que eu preciso.

    O senário é o mesmo.



  • @pskinfra:

    @TreeDark:

    Tenho assim:

    pfsense01 LAN (192.168.1.0/24)–—> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

    O túnel é fechado via WAN.

    Apenas no pfsense01 tenho ip válido na entrada WAN.

    podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

    eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

    em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

    Desde já Agradeço a atenção.

    Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

    Abraços

    Pelo que estou vendo o amigo tem o mesmo senário que o meu.

    Eu tenho apenas um ip fixo e queria facilitar minha vida e a vida dos parceiros acessando por esse ip fixo para chegar na outra rede. Eu tenho um sistema que está em uma rede onde não tenho ip fixo e colocar DDNS não ficaria muito bom já que estamos nos restruturando.

    Estranho que quando subo as vpns site to site todas as redes se falam. Não crio rotas estaticas, o open vpn já faz isso quando digo as redes que ele tem que conhecer quando crio as confs. Filtro tudo e vejo que passa.

    O problema é que eu chego na interface wan com o ip, vejo logado mas não tem nada no firewall com relação a blok apenas fechado.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy