Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN + Copel Telecom (CGNAT)

    Scheduled Pinned Locked Moved Portuguese
    3 Posts 3 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      P4ul0R0s4
      last edited by

      Prezados,

      Estamos todos acompanhando a grande complicação que o Coronavírus vem trazendo a população, e para profissionais de T.I no particular, complicou bastante a vida!

      Diversas empresas que atendo estão solicitando liberação de VPN para que funcionários possam trabalhar de casa. Algumas nem se quer sabiam da possibilidade de acessar pastas da rede no computador de casa. Muitas, não possuem Firewall, apenas servidor de dados e com link e internet Ipv4 publico, o que facilita a vida do T.I, configura as portas 1701/1723/4500/500/ 47 etc.. no modem e cria o serviço de VPN no Windows server, pronto, perfeito.

      Mas..

      Um escritório em particular aonde recentemente coloquei o PFsense, possui o bendito link da Copel Telelcom aqui em Curitiba, que assim como todas as outras operadoras, já está em CGNAT, e entrega somente o IPV6 publico, que aliás, é alterado toda vez que o modem reinicia ou após alguns dias, e também é /64, o que é impede de ser roteado no PFsense :/

      Pois bem, quando coloco o servidor conectado direto ao modem, ele recebe um IPV6 bonitinho, configuro na VPN do server e consigo acesso externo tranquilamente. Quando conecto o servidor pelo PFsense, ele recebe um numero Ipv6 porém sem internet, apenas o IPv6 de enfeite mesmo.

      Procurei alguns tutoriais, todos me levaram ao OpenVPN. Fiz todas as configurações, certificado, etc. Exportei o executável para máquina cliente, sem chances, não conecta de forma alguma, devido ao IP estar no CGNAT porta nenhuma é liberada.

      Alguém sabe alguma forma de fechar VPN no Windows server com PFsense, estando em rede com CGNAT?

      Cenário:

      Modem Huawei HG8245Q2 Copel Fibra > PFSense > Windows Server 2016

      S 1 Reply Last reply Reply Quote 0
      • S
        shadowdf @P4ul0R0s4
        last edited by

        @PauloRosa2020 Será que não é o mesmo caso que ocorre com NET, de fazer amarração com o MAC?

        1 Reply Last reply Reply Quote 0
        • L
          LucasQjim
          last edited by

          Meu caro, bom dia!! Sou de BH e o escopo que trabalhamos aqui com OpenVPN existe mto CGNAT! do lado do cliente, basta solicitar a operadora a remoção do nateamento do IP da internet! Porém, do lado do usuário realmente é bem complicado uma vez que cada um possui uma internet com link banda larga domestico! Recentemente esbarrei em um problema que APENAS VPNs cuja origem e destino eram a mesma operadora nao conectavam! Snifando junto com a operadora, identificamos que o IP do CGNAT que ela usava, estava na lista de IPs Bogon que o pfsense se baseia! Por hora, para funcionar, desabilitei essa opção la em INTERFACES > WAN > Block bogon interfaces. Desmarca ai que vai funcionar! Porém, é uma vulnerabilidade na rede. O ideal seria que o pfsense deixasse editar a lista de bogon para remoção do IP que etá sendo barrado ou até mesmo permitir que criassemos uma regra acima da regra padrão de bloqueio de bogon com a faixa de IP utilizada pela operadora que, no meu caso, é 100.64.0.0/10. Mas o PFSENSE não permite nenhuma das duas coisas! lendo a documentação do SO, vi que a ordem de leitura de regras do firewall é: floating rules > interface group rules > interface tab rules! porém, criei uma regra de exceção dessa rede la em floating, voltei a habilitar o bloqueio de bogon e o firewall voltou a barrar minha conexão! sigo tentando achar uma solução (que nao seja apenas desmarcar a opção de bogon em WAN)! caso ache algo comunico aqui ou se souberem de algo deem um toque

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.