OpenVPN - Conectado más não pinga host interno



  • Bom dia pessoal,

    Venho aqui pedir a ajuda de vocês com o seguinte cenário:

    Possuo dois PFsense trabalhando apenas com o captive portal, bem simples e hoje precisei fazer a topologia do tipo Matriz e Filial, criei o servidor Radius na Matriz e configurei na Filial, fechei a VPN com o OpenVPN e as autenticações estão sendo feitas perfeitamente.

    Agora vem o problema, da filial eu não consigo acessar um Access Point, por exemplo, não responde a ping nada, tracert para no segundo salto com o IP do Túnel.

    Minha configuração está dessa forma:

    Matriz
    WAN: 200.49.XX.XXX
    LAN: 192.168.1.1
    TUN: 172.16.1.1

    Filal
    WAN: 200.49.XX.XXX
    LAN: 192.168.10.1
    TUN: 172.16.1.2

    Consigo pingar ambas as interfaces LAN, más não consigo pingar hosts internos (Access Point, Servidor Zabbix, são exemplos do que eu quero acessar da rede da filial)

    Alguem poderia dar uma luz?

    Obrigado desde já pessoal!



  • eu nunca configurei open vpn de matriz com filiais para isso eu uso ip/sec mas na sua configuração esta estranha o tun: das redes é a mesma 172.16.1. na matriz e na filial, até onde eu sei tem que ser diferente tipo 172.16.10. outra coisa pelo menos dentro do client open vpn tem a opção de você colocar as redes que serão acessíveis IPv4 Rede(s) local(is) ali você coloca todas as redes que devem ter acesso.



  • @dreivi Obrigado pela resposta! Então, para eu entender...

    O IP no Túnel tem que ter o .10 igual a rede local da filial?
    Alterar de 172.16.1.2 para 172.16.10.2?

    Nas redes acessíveis eu coloquei o range 192.168.1.0/24 que corresponde a rede local da matriz está correto não está?

    0_1539190800070_e83f9377-fb4c-45b8-a185-ac98e7a01b66-image.png



  • Mas você vai ligar uma filial na matriz por open vpn? não compensa usar ip sec? dentro de firewall regras em open vpn adicione as redes que vão se comunicar em lan também é legal adicionar a rede da filial



  • @dreivi Estou configurando agora o IPSec, assim que terminar eu te informo se deu certo amigo.

    IPSec é melhor, desculpe minha falta de conhecimento na ferramenta, más estou iniciando no FreeBSD e estou vendo agora essa questão de VPN.



  • ip/sec é mais pratico, depois crie as regras liberando as redes em Firewall regras ipsec e na lan libere a rede tambe´m



  • @dreivi fiz o IPSec e está conectado, mas ainda assim não consigo pingar o host interno, não sei se estou pecando nas regras de firewall ou em alguma outra coisa.

    Regra na interface IPSec Matriz e Filial está desta maneira, liberando tudo:
    0_1539201031498_ffb18d66-0e7c-451f-9d8c-d2452995d945-image.png



  • Você precisa ter uma outra regra na Rede Lan da matriz e da filial liberando também a conexão.



  • @dreivi minha dúvida nessa questão é, tenho que criar a regra na interface LAN da Matriz liberando o acesso para o ip da WAN ou da LAN da filial?

    ... e vice e versa



  • Na lan da matriz vc libera para a rede interna da filial, na lan da filial vc libera para a a rede interna da matriz.
    no ipsec era legal fazer uma regra mais especifica exemplo na matriz em ipsec vc coloca origem: redeinternadafilial destino ipinternodamatriz e vice versa na regra ipsec dafilial.



  • @dreivi Veja se está correto meu amigo:

    0_1539203091514_10726da1-c302-42d9-9c93-1218b128ac19-image.png



  • isso, tem que fazer dos dois lados, matriz e filial, você esta pingando para ip? se for uma maquina Windows o firewall local dela também tem que liberar o icmp.



  • @dreivi Não é máquina windows, estou tentando pingar dentro do próprio pfsense mesmo e tambem pelo cmd da minha máquina.

    Ambos os sistemas estão em máquinas físicas, nenhum está trabalhando em ambiente virtualizado.

    Criei essa regra dentro da LAN da Matriz e tambem da Filial e nada acontece, consigo pingar ambas as interfaces LAN do pfsense, más não consigo pingar algum host interno.



  • Muito estranho, você tem snort? da um ping em uma maquina vai no firewall em status log de sistema firewall e veja se aparece o ip que você pingou com bloqueio, por ali você consegue ter uma ideia de onde esta partindo o bloqueio.



  • @dreivi Não tenho o snort. Vou dar uma estudada mais aprofundada no assunto, não sei onde estou errando ou o que estou deixando de fazer para funcionar.

    Por este motivo havia feito com o OpenVPN, ainda assim não funcionava o ping a rede interna, más a autenticação via FreeRadius estava funcionando, com o IPSec não funciona nem um nem outro hahaha

    Más muito obrigado mesmo pela sua atenção @dreivi, foi de suma importância e muito claras as suas explicações.

    Amanhã tentarei novamente, caso consiga eu posto aqui o que pode estar acontecendo!!

    Grande Abraço