Rota no Openvpn

garona

Boa tarde a todos, estou com um problema em uma vpn configurada no open vpn, essa vpn precisa acessar os hosts de uma rede que está conectada em meu pfsense via tunel ipsec, fiz alguns testes forçando a rota adicionando o comando push no server do openvpn, porém não tive sucesso, criei uma rota estática forçando a saída pelo gateway da rede virtual que está fechando e não consegui também.
Meu unico problema está em fazer com que a rede do openvpn enxergue os hosts da rede que estão no tunel ipsec, alguém sabe como fazer isso?
Obrigado.

dreivi

Tem dois pontos importantes:
1- A Rede de Túnel IPv4 que você configurou dentro da Open vpn esta abrangida na configuração da fase 2 da configuração de vpn ip/sec que você precisa acessar?
Caso positivo parta para o ponto 2, caso negativo você precisa estudar uma forma de alterar a rede do túnel para que um range que seja compatível, mas deve ser feito com cuidado.
por exemplo: se você configurou oi tunel ipv4 da open vpn 192.168.48.0/27 mas na configuração da vpn ip/sec vc colocou 192.168.100.0/21 não vai funcionar.

2- Caso a resposta do ponto 1 foi sim, você deve configurar as redes que você quer que o client open vpn tenha acesso em: IPv4 Rede(s) local(is) dentro da open vpn

garona

@dreivi ou seja, a rede do openvpn precisa estar no mesmo range que a do tunel ipsec?

garona

@garona said in Rota no Openvpn:

@dreivi ou seja, a rede do openvpn precisa estar no mesmo range que a do tunel ipsec?

pois configurei o ip do openvpn com o range 172.72.77.0/24 e o range do tunel ipsec é 172.72.70.0/24

dreivi

Pelo menos até onde eu sei precisa, aqui na empresa não estava na mesma rede e não funcionava por isso, ao colocar dentro da mesma rede ai funcionou

dreivi

@garona said in Rota no Openvpn:

range 172.72.77.0/24 e o range do tunel ipsec é 172.72.70.0/24

Mas essa ipsec é da sua filial? você consegue alterar sem muitas dificuldades? o que você pode fazer adicionar mais uma segunda fase na configuração da vpn o tunel ipsec é 172.72.70.0/24 você adiciona também o 172.72.77.0/24 mas precisa fazer isso dos dois lados da vpn

garona

@dreivi fiz o teste de deixar a rede 172.72.69.0/24 como rede do openvpn, porém o resultado foi o mesmo, vc conseguiria postar aqui as configurações do seu openvpn server para que eu consiga comparar?
Obrigado

garona

@dreivi o ipsec 172.72.70.0 é da filial.Então, em relação a esse tunel não pois a outra ponta é administrada por uma equipe de TI diferente.