Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    NAT para uma rede remota com open vpn.

    Portuguese
    5
    22
    1335
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      Bomsao last edited by

      Ola Boa noite,

      Vou tentar ser direto para ficar mais facil o  entendimento acredito eu.

      Preciso acessar um host por um IP fixo mas esse host está uma rede remota que é alcançada por uma VPN. Consigo?

      IP externo –-------> Pfsense NAT ----------> tunel vpn Site to site --------> host na rede remota
      200.200.x.x:10000    WAN - NAT            10.0.1.1/30 ----10.0.1.2/30          192.168.x.x:3389

      Meu pfsense conhece a rede 192.168.x.0/24 que tem outro pfsense na ponta.

      1 Reply Last reply Reply Quote 0
      • P
        pskinfra last edited by

        Oi.

        1. Crie sua regra de nat;
        2. Aplique a rota para chegar até a rede de destino;
        3. Crie regra aceitando a origem até o destino;

        Obs2: Seria mais fácil você criar um redirecionamento no próprio firewall da rede de destino!  8)

        Abraços

        --
        E-mail: tleite@bsd.com.br
        Whatsapp: (021) 9 6403-5250

        1 Reply Last reply Reply Quote 0
        • B
          Bomsao last edited by

          Bom dia,

          Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.

          Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.

          1 Reply Last reply Reply Quote 0
          • P
            pskinfra last edited by

            @bomsao:

            Bom dia,

            Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.

            Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.

            Verifica logs no servidor de destino, VPN e rede privada.

            O que você quer é o acesso numa porta alta via internet ? Como se fosse uma DMZ ?
            Acho que da forma que você faz o acesso ( via vpn ), é a melhor forma e segura. Mas se for o caso de liberar o redirecionamento, deverá trabalhar com rotas e firewalls.
            Você deve aplicar seus conhecimentos para verifica onde o pacote está sendo "descartado".
            Uma ferramenta excelente é o tcpdump!

            Abraços

            --
            E-mail: tleite@bsd.com.br
            Whatsapp: (021) 9 6403-5250

            1 Reply Last reply Reply Quote 0
            • T
              TreeDark last edited by

              Cara estou com o mesmo problema.
              Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
              Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

              minha situação é parecida.

              tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

              tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

              Agradeço a Desde já a Atenção e Ajuda.

              1 Reply Last reply Reply Quote 1
              • P
                pskinfra last edited by

                @TreeDark:

                Cara estou com o mesmo problema.
                Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
                Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

                minha situação é parecida.

                tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

                tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

                Agradeço a Desde já a Atenção e Ajuda.

                Oi TreeDark. Pode melhorar o seu cenário, não entendi!?!?

                --
                E-mail: tleite@bsd.com.br
                Whatsapp: (021) 9 6403-5250

                1 Reply Last reply Reply Quote 0
                • T
                  TreeDark last edited by

                  Tenho assim:

                  pfsense01 LAN (192.168.1.0/24)–---> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

                  O túnel é fechado via WAN.

                  Apenas no pfsense01 tenho ip válido na entrada WAN.

                  podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

                  eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

                  em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

                  Desde já Agradeço a atenção.

                  B 1 Reply Last reply Reply Quote 0
                  • P
                    pskinfra last edited by

                    @TreeDark:

                    Tenho assim:

                    pfsense01 LAN (192.168.1.0/24)–---> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

                    O túnel é fechado via WAN.

                    Apenas no pfsense01 tenho ip válido na entrada WAN.

                    podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

                    eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

                    em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

                    Desde já Agradeço a atenção.

                    Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

                    Abraços

                    --
                    E-mail: tleite@bsd.com.br
                    Whatsapp: (021) 9 6403-5250

                    1 Reply Last reply Reply Quote 0
                    • T
                      TreeDark last edited by

                      Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

                      Abraços

                      Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.

                      1 Reply Last reply Reply Quote 0
                      • P
                        pskinfra last edited by

                        @TreeDark:

                        Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

                        Abraços

                        Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.

                        Ah sim.

                        Verifique as opções abaixo se estão selecionadas na interface de destino e se há realmente regra para chega no FW.

                        Reserved Networks
                              Block private networks and loopback addresses

                        --
                        E-mail: tleite@bsd.com.br
                        Whatsapp: (021) 9 6403-5250

                        1 Reply Last reply Reply Quote 0
                        • T
                          TreeDark last edited by

                          Opa essas regras estão desabilitadas mesmo assim não funciona.

                          1 Reply Last reply Reply Quote 0
                          • P
                            pskinfra last edited by

                            Me chama que posso ajudar.

                            Att

                            --
                            E-mail: tleite@bsd.com.br
                            Whatsapp: (021) 9 6403-5250

                            1 Reply Last reply Reply Quote 0
                            • T
                              TreeDark last edited by

                              Consegui Resolver

                              A regra que faltava era em NAT Outbound:

                              Troquei de Automático para Hibrido e coloquei a seguinte regra:


                              B 2 Replies Last reply Reply Quote 0
                              • B
                                Bomsao last edited by

                                @TreeDark:

                                Cara estou com o mesmo problema.
                                Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
                                Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

                                minha situação é parecida.

                                tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

                                tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

                                Agradeço a Desde já a Atenção e Ajuda.

                                Bom dia galera….

                                É exatamente isso que eu preciso.

                                O senário é o mesmo.

                                1 Reply Last reply Reply Quote 0
                                • B
                                  Bomsao last edited by

                                  @pskinfra:

                                  @TreeDark:

                                  Tenho assim:

                                  pfsense01 LAN (192.168.1.0/24)–---> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

                                  O túnel é fechado via WAN.

                                  Apenas no pfsense01 tenho ip válido na entrada WAN.

                                  podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

                                  eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

                                  em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

                                  Desde já Agradeço a atenção.

                                  Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).

                                  Abraços

                                  Pelo que estou vendo o amigo tem o mesmo senário que o meu.

                                  Eu tenho apenas um ip fixo e queria facilitar minha vida e a vida dos parceiros acessando por esse ip fixo para chegar na outra rede. Eu tenho um sistema que está em uma rede onde não tenho ip fixo e colocar DDNS não ficaria muito bom já que estamos nos restruturando.

                                  Estranho que quando subo as vpns site to site todas as redes se falam. Não crio rotas estaticas, o open vpn já faz isso quando digo as redes que ele tem que conhecer quando crio as confs. Filtro tudo e vejo que passa.

                                  O problema é que eu chego na interface wan com o ip, vejo logado mas não tem nada no firewall com relação a blok apenas fechado.

                                  1 Reply Last reply Reply Quote 0
                                  • B
                                    Bomsao @TreeDark last edited by

                                    @treedark
                                    Boa noite amigos. desculpe eu estava muito ocupado e fiquei sumido.
                                    Vi que o amigo consegui fazer usando NAT OutBound.
                                    Era exatamente o que queria. qual foi a regra que você colocou?

                                    1 Reply Last reply Reply Quote 0
                                    • B
                                      Bomsao @TreeDark last edited by

                                      @treedark

                                      Oi amigo como vc resolveu ? Pode me ajudar?

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dreivi last edited by

                                        O que eu fiz no meu cenário, por exemplo a minha rede interna é 192.168.100.0/21 e esta dividida em várias vlans, peguei apenas um pedaço dela 192.168.107.224/27 e configurei a rede que preciso ter acesso em rede do tunel IPv4 Rede(s) local(is)

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          Bomsao last edited by Bomsao

                                          Basicamente o que eu presizo é isso na imagem.
                                          Acho que eu não esteja entendendo o conseito de NAT muito bem dentro do pfsense.!0_1537816626977_TESTE.jpg

                                          Entre o modem e o pfsense tenho uma rede 192.168.200.0/30. Não consigo colocar esse modem em modo bridge, nem clonando o MAC da interface dele e setando na wan do pfsense. Eu tenho outro poste aqui no forum perguntando se alguem tem algum bisu sobre o IP fixo de live tim com o TIM empresa. Banda larga mesmo.

                                          Para não ficar criando portforward no modem e no pfsense resolvi dizer que é uma DMZ.
                                          Então, depois que chega no pfsense o resto é tudo ip privado. Acho que é ai o problema.
                                          Com a rede diretamente conectada eu consigo perfeitamente mas com a rede do lado de lá do tunel, eu até vejo o pacote chegando e interface vpn da filial mas não volta e nem mostra se foi dropado.

                                          1 Reply Last reply Reply Quote 0
                                          • B
                                            Bomsao @TreeDark last edited by

                                            @treedark
                                            Meu cenario é o mesmo.
                                            Não consigo nem acessar o pfsense02 pela interface vpn. Pela rede interna eu tenho acesso mas nem um simples portforwarder não chega nem na interface vpn do segundo pfsense.

                                            1 Reply Last reply Reply Quote 0
                                            • B
                                              Bomsao last edited by

                                              Fiz um teste com um modem em bridge, com o pfsense de cara pra rua e mesmo assim não chega.

                                              1 Reply Last reply Reply Quote 0
                                              • J
                                                jcvn last edited by

                                                Fala galera, o que funcionou pra mim foram essas regras, no meu caso eu utilizo uma VPN site to site com Wireguard:

                                                https://docs.netgate.com/pfsense/en/latest/recipes/wireguard-s2s.html

                                                21587f8b-77e0-434c-8c49-c6102c439632-image.png

                                                2f07fd49-4483-4fe9-87f6-22edbafb7fb2-image.png

                                                a172fe0e-63fc-413d-8bfb-4c4f1d064859-image.png

                                                1 Reply Last reply Reply Quote 0
                                                • First post
                                                  Last post