OpenVPN e IPSEC



  • Hola!.
    Tengo un tunel IPSEc entre un sonicwall y un pfsense.
    Tambien he configurado un servidor OpenVPN en el pfsense y los clientes conectan perfectamente.
    la red del lado de sonicwall es 192.168.0.x/22 y la del pfsense 10.0.7.x/24 . Necesito que al conectar con OpenVPN los clientes puedan acceder a la red 192.168.0.x/22 ( la que está detras del sonicwall ), ya que ahora mismo no accedo.

    Gracias!!



  • @atreyumu Asi como al Pfsense (cliente-servidor) le dices que redes va a conectar.

    En el Sonicwall debes crear una ruta estática para que conozca la red de los clientes vpn 10.0.7.x/24



  • @j-sejo1 sonicwall por el tuner IPSEc ve perfectamente la red 10.0.7.0/24 . el problema lo tengo desde el cliente que conecta por openvpn al pfsense, que no ve la red 192.168.0.0/22 .



  • Por lo mismo.

    Tienes la red pfsense por lado A y tienes la Red Soniwall por el Lado B.

    En ese punto ellos se ven mediante IPSEC.

    Bien, adicional creaste una red VPN (cliente-servidor) en el Pfsense para efecto de los usuarios, esa red es 10.0.7.x/24 pero no llegan a la red 192.168.0.x/22

    En la configuración de OpenVPN en el apartado """IPv4 Local network(s)"" agregas la red tanto del lado A como la del Lado B.

    Y en el LADO B el enrutador o firewall de ese lado debe decir que todo lo que vaya a 10.0.7.x/24 se lo de al Soniwall.

    Saludos.



  • @j-sejo1
    "En la configuración de OpenVPN en el apartado """IPv4 Local network(s)"" agregas la red tanto del lado A como la del Lado B." Esto ya está realizado. Gracias!

    "Y en el LADO B el enrutador o firewall de ese lado debe decir que todo lo que vaya a 10.0.7.x/24 se lo de al Soniwall. " No se exactamente a que te refiere, el lado B ya conoce esa red, ya que está conectada por IPSEc. Perdoname pero no llego a entenderlo.



  • @atreyumu asi lo tengo el pfsense d6b18bed-6eee-4c25-ba7e-464813f90d2c-image.png



  • @atreyumu

    1. Tienes 2 redes A y B conectadas por IPSEC.
    2. Adicional Tienes en la red A (pfsense) la instancias server-cliente para que los usuarios se conecten.
    3. Los usuarios que se conectan (vpnclient) no ven la red del lado B.

    Solución: Tu lado B, osea el Soniwall. no conoce la Red 10.0.7.0/24

    haz esta prueba. Cuando te conectes via VPN, vas a recibir una IP 10.0.7.X

    Entra en un PC o servidor del Lado de la Red del Soniwall y hazle ping a esa IP que recibiste (10.0.7.X) o un tracert.

    En el soniwall debes tener una ruta que todo lo que vaya a 10.0.7.0/24 se lo pase al peer pfsense.



  • @j-sejo1 Cuando me conecto via OpenVPN recibo una ip virtual ( 10.0.1.0/24 ) .
    He creado una ruta en sonicwall , pero sigue sin funcionar.
    Cloud net : red A ( 10.0.7.0/24 )
    Interface X0 : Interface LAN ( 192.168.0.0/22)
    gateway: IP pfsense ( 10.0.7.201/24)
    d5f16edf-4af5-4f7d-8f76-d702b0141f3a-image.png



  • @atreyumu

    Te pongo mi caso real, la diferencia que ambos son pfsense y con Openvpn.

    Tengo mi sede Principal en la Capital. 10.51.210.0/24 LAN

    Y la ciudad remota: 10.51.211.0/24

    se creo una VPN site-to-site entre las 2 Sedes (peer 172.16.1.0/30)

    hasta aqui todo bien. cuando se estaba en la capital puedes ver los equipos de la ciudad remota y viceversa.

    Problema que tuve (tu caso actual): En la Sede principal, se creo una instancia Cliente-Servidor 10.20.2.0/24 (para efectos de los usuarios remotos fuera de oficina). ellos se conectaban sin problema y podían llegar a los recursos de la sede principal. Pero no podían llegar a la sede remota.

    Solución en mi escenario: En el pfsense remoto, en la configuración cliente del site-to-site existe un bloque de conf que se llama: Custom options en "Advanced Configuration" y alli agregue el siguiente parámetro:

    route 10.20.2.0 255.255.255.0;

    Es decir desde la misma instancia peer-to-peer del la sede remota, le digo que también por allí va a buscar la red 10.20.2.0/24

    De esta forma al conectarme remoto con OpenvpnCliente desde un Linux o Windows, empece a llegar a la Sede B.

    Saludos.



  • @j-sejo1 Gracias por la respuesta. Esa opcion ya la tengo configurada. Está "publicando" la red de remota y la red virtual de conexion del OpenVPN. Pero no llego.
    17600256-fc10-48f1-800f-ff16091a0e5b-image.png





  • @lfoerster Gracias . Pero no me va. Y la verdad estoy frustrado. Me ofrecí a ayudar a una empresa, gratis claro, para que sus trabajadores pudiesen irse a casa. Pero me falta este pasito... :-(



  • @atreyumu
    Hola.
    Cuando un pc está conectado por openvpn, ¿funciona el tracert o un ping a una ip de 192.168.0.x? ¿Puedes mostrar el resultado del tracert?



  • @atreyumu
    Es posible que necesites un nat en el pfsense y/o poner una ruta estática en el Sonicwall hacia el pfsense para que conozca la red openvpn. Cuando los clientes Openvpn conectan, obtienen una dirección de un rango x.y.z.v que habrás definido en el servidor Openvpn. Es decir, hay que tener en cuenta 3 redes:

    • lan de Pfense.
    • lan de Sonicwall.
    • red asignada a los clientes Openvpn cuando conectan.


  • @lucasll
    Esta es la configuracion del sonicwall. la primera linea es la red lan del pfsense y la segunda la red virtual que se crea con OpenVPN
    46bdca6c-8f79-43c6-b4a4-e807dcfbf350-image.png
    Esta es la configuracion del pfsense, de la parte de OpenVPN
    b08c11b1-68aa-4cc6-81b8-717983ec7dc7-image.png



  • @lucasll Entiendo que llega al pfsense 10.0.1.1 y despues se va por la wan.... Debería salir por el tunel. ¿como se crearia esa ruta o ese NAT?
    b8396c0b-24af-4a5e-9f92-9dab3ca06677-image.png



  • @atreyumu
    Viendo el tracert se va por internet, opino lo mismo que tú.

    La opción más fácil de probar es intentar (no sé si funcionará porque no tengo el mismo entorno que tú al 100%) hacer un nat, para que todo lo que vaya a la red Sonicwall procedente de la vpn, llegue a la red de Sonicwall con la ip del pfsense. O sea, todas las conexiones compartirían la misma ip de salida cuando lleguen a la red de Sonicwall. Esto normalmente no es un problema en la mayoría de los escenarios.
    Desde el pfsense en sí mismo sí tienes conexión la red de Sonicwall. Lo puedes comprobar por desde DIAGNOSTICS - PING (nota: si ves que no funciona a la primera, prueba a cambiar SOURCE ADDRESS).

    Para el NAT, puedes probar:

    • FIREWALL - NAT - OUTBOUND - Outbound NAT Mode --> Manual Outbound NAT rule generation. (AON - Advanced Outbound NAT)
    • FIREWALL - NAT - OUTBOUND - Mappings --> crea un mapping que tenga:
      • INTERFACE: IPSEC
      • SOURCE: la red openvpn
      • DESTINATION: la red Sonidwall
      • TRANSLATION - ADDRESS: interface address


  • @lucasll Así es como lo tengo puesto. Siguiendo tus indicaciones.
    643c0bdf-b4f5-4681-8c3d-a0f300eebaeb-image.png
    Pero continua igual.
    [edito]
    haciendo ping desde la interface LAN de pfsense si llega.
    287d71ff-5832-4012-9a7c-7aca375cfc94-image.png



  • @atreyumu
    En el mapping NAT, cambia INTERFACE. Cambia de IPSEC a LAN.



  • @lucasll Sigue igual. ☹



  • @atreyumu
    Por favor, muéstrame el resultado del tracert de nuevo desde una conexión openvpn. Si la tienes conectada, desconecta y conecta de nuevo.



  • @lucasll Sigue saliendo por la wan, no?
    7af17f69-cdaa-4cff-90c7-ddac09decbae-image.png



  • @atreyumu
    Sí, sale por la wan.

    Prueba a quitar la red de openvpn de la configuración ipsec entre pfsense y sonicwall. Una vez quitada, prueba de nuevo y compruebas el tracert también de nuevo.



  • @lucasll red quitada y sigue igual. El tracert es el mismo...



  • @atreyumu
    Por favor, muéstrame de nuevo una captura del NAT, pero completo, con la parte superior que no se aprecia en tu primera captura.



  • @lucasll Aqui está
    c6c83cfa-908d-495e-903f-142252ba8352-image.png



  • @atreyumu

    En el mapping NAT, cambia INTERFACE. Cambia de IPSEC a LAN.

    En FIREWALL - RULES - OPENVPN --> revisa que tengas permisos suficientes para permitir ping, tracert y cualquier otra conexión desde red openvpn a red Sonicwall.

    Además, cuando hagas el tracert y ping de prueba, revisa en STATUS - SYSTEM LOGS - FIREWALL que no se está rechazando ningún paquete. Por si acaso.





  • @atreyumu
    El problema, para el que no encuentro solución, es que encaminar las peticiones a la red de sonicwall por el tunel ipsec. Salen por la wan.

    En FIREWALL - VIRTUAL IPS --> agregar una ip de tipo IP ALIAS al interface LAN. Una que no tengas ocupada en la LAN.

    En el mapping NAT, cambia INTERFACE. Pon valor WAN.
    En el mapping NAT, cambia TRANSATION - ADDRESS --> Pone el valor de la nueva ip (IP ALIAS) puesta anteriormente.



  • @lucasll
    ff1b797d-0bb5-4b84-a071-15fd691007ee-image.png

    2f591c7f-37eb-4d17-839a-f39931c578db-image.png

    Pues estamos igual... y no entiendo el motivo.



  • @atreyumu
    Elimina el NAT que he comentado en posts anterior.
    Eliminar ip virtual de posts anteriores.
    Vuelve a configurar ipsec con 2 redes. Ahora sólo tienes 1 (red lan sonicwall - red lan pfsense). Añade al tunel otra red: red lan sonicwall - red openvpn).

    Cuando estén añadidas, muéstrame captura de STATUS - IPSEC - SPDS



  • @lucasll
    7eef9ba9-5407-48c3-a89a-1bc99c4b1cce-image.png

    abbe1adb-f860-4838-9aec-3c5e435c4789-image.png

    hecho. seguimos igual



  • @atreyumu

    • En VPN - OPENVPN - SERVER --> editar las propiedades:
      • Quitar la red lan Sonicwall de IPv4 Local network(s). Deja solo la lan de Pfsense.
      • En Advanced Configuration - Custom options --> pon:

    push "route 192.168.0.0 255.255.252.0"

    (por favor, revisa que es la máscara de red correcta que usas en lan sonicwall)

    Reconecta tu conexión openvpn.

    Muéstrame tracert desde equipo con conexión openvpn a:

    • una ip de lan sonicwall
    • una ip de lan pfsense

    En pc con conexión vpn, resultado de estos comandos:

    route print | find /I "10.0.7"
    route print | find /I "192.168."
    


  • @lucasll said in OpenVPN e IPSEC:

    @atreyumu

    • En VPN - OPENVPN - SERVER --> editar las propiedades:
      • Quitar la red lan Sonicwall de IPv4 Local network(s). Deja solo la lan de Pfsense.
      • En Advanced Configuration - Custom options --> pon:

    push "route 192.168.0.0 255.255.252.0"

    (por favor, revisa que es la máscara de red correcta que usas en lan sonicwall)

    Reconecta tu conexión openvpn.

    Muéstrame tracert desde equipo con conexión openvpn a:

    • una ip de lan sonicwall
    • una ip de lan pfsense

    En pc con conexión vpn, resultado de estos comandos:

    route print | find /I "10.0.7"
    route print | find /I "192.168."
    

    el route print te refieres a un pc conexion vpn por Ipsec o por openvpn?



  • @atreyumu said in OpenVPN e IPSEC:

    el route print te refieres a un pc conexion vpn por Ipsec o por openvpn?

    A la conexión desde un pc en Internet que realiza la conexión openvpn al pfsense.



  • Además, en el pfsense, tras los cambios, reinicia (desde STATUS - SERVICES) el servicio ipsec
    (Obtenido de https://serverfault.com/questions/991919/pfsense-route-openvpn-roadwarrior-over-ipsec-to-secondary-office)

    Además, desde un equipo de la lan de Sonicwall, haz un tracert a una ip cualquiera de la red openvpn para ver que se encaminan bien los paquetes. Ejemplo:

    tracert -d 10.0.1.1



  • @atreyumu Desde equipo OpenVPN a red pfsense
    a3427248-6e6e-46d2-bb3e-a6db28e88761-image.png

    Asi hasta 30
    b2772518-7d5e-4eff-a4a6-7abcb954001b-image.png

    el route desde un equipo conectado a openvpn ( mi equipo )
    22fa559a-dad2-486c-a6ec-b7c174f7822a-image.png



  • @atreyumu
    Además del tracert solicitado antes desde un equipo de la red Sonicwall y de reiniciar el túnel ipsec en pfsense, por favor, revisa que en Sonicwall se está permitiendo pasar paquetes de ping y tracert que tengan como origen la red openvpn.



  • @lucasll con lo que hemos hecho accedo a parte de la red. Te explico. Tienen dos servidores.
    Si escribo \IPserver1 accede a los datos.
    Si escribo \IPserver2 no accede a datos.
    El server no tiene firewall activo ni nada.

    Ufff, algo de luz!!!! por fin!!!era mucha oscuridad...



  • @atreyumu
    Estoy intentando abrir un chat contigo desde el perfile del usuario, pero no lo he usado nunca. Intenta abrir uno tú conmigo. Así iremos más rápido,


Log in to reply