Open Vpn, Pf Sense E Zywall Usg 110
-
Buonasera
Ho un Pf Sense 2.4 Collegato Tramite Protocollo Ipsec Ad uno Zywall Usg100
Ho configurato una Open Vpn sul PfSense e i client accedono al PfSense e alle varie risorse.
Ho bisogno di accedere con Open anche alle risorse dietro lo Zywall, ho impostato rotte, seconda fase aggiuntiva, ma non funziona.
In pratica questa è la configurazioneSede A PfSense
192.168.0.0/24
Sede Zywall
192.168.1.0/24
Rete Open Vpn
192.168.32.0/24
E' tutto impostato correttamente OPENVPN,SECONDA FASE IN IPSEC, ma non funziona.
Posso fornire screen di configurazione.
Grazie per il vostro aiuto.
-
non c'e' niente sul log del firewall?
hai provato a fare un tracciamento e/o packet capture per vedere se il traffico segue la rotta giusta?
posta screenshot se puoi -
Sede A PfSense
Lan: 192.168.0.0/24
Sede Zywall
Lan: 192.168.1.0/24
Rete Open Vpn
192.168.32.0/24
Configurazione Open Vpn
IPSEC TUNNELS
REGOLE FIREWALL
Dai client con openvpn non riesco a pingare lo Zyxel sul 192.168.1.1, nè i suoi server collegati sul 192.168.1.6
-
https://forum.netgate.com/topic/74351/routing-openvpn-traffic-through-specific-ipsec-tunnels
la logica dovrebbe essere la stessa
"push route 192.168.1.0 255.255.255.0" to your openVPN server config advanced settings -
Dallo Zyxel riesco a pingare la rete dell'Open Vpn sul 192.168.32.X
Ma dalla open vpn se faccio un ping verso la rete Zyxel non funziona.
Che cosa manca?
Ho seguito quella guida ma non funziona. -
@kiokoman said in Open Vpn, Pf Sense E Zywall Usg 110:
"push route 192.168.1.0 255.255.255.0"
se dalla openvpn non riesci a pingare lo zyxel significa che gli manca la rotta o il firewall lo blocca, le regole sul tab ipsec sono permissive uguali a openvpn?
-
Si. Dovrebbe essere tutto ok.
Che cosa devo controllare?Ecco il comando tracert
-
Ciao,
il modo con cui comunichi ai cient le sottoreti non è propriamente corretto.
Dovresti utilizzare il comando push in custom options con questa sintassipush "route 192.168.1.0 255.255.255.0";
Considera che le rotte complete le devono conoscere anche gli host lato zywall altrimenti tu arrivi fino alla rete dietro lo zywall, ma lo zywall non sa come risponderti e il pacchetto si perde nel ritorno.
Ciao Fabio
-
ho provato a configurare allo stesso modo nel mio lab ma non mi è riuscito di far passare il traffico tra openvpn e ipsec, prova a chiedere nel forum inglese se qualcuno riesce a darti maggiori indicazioni, cercando su google ho trovato altre persone con lo stesso problema ma di fatto nessuna chiara soluzione
-
Che rotte devo configurare sullo Zywall?
Il tunnel della vpn?
Altra stranezza
Se pingo un server (collegato allo Zywall) da Pfsense non risponde.
Se lo pingo dal lato lan Pfsense risponde (ho un server sul lato lan del pfsense)
-
Puoi provare a verificare nella Phase1 di avere abilitata l'opzione "Split connections" in quanto puo' essere che lo Zyxel non gestica due Phase2 sulla stessa Phase1.
Anche se in questo caso generalmente non funziona tutta la VPN, non solo una parte.
EDIT: Do per scontato che la seconda Phase2 sia stata creata anche sullo Zyxel, ma direi di si' da quello che sembra -
Split Connection non lo trovi in Phase 1.
Opzione che hanno tolto con il nuovo PFsense?
Grazie per il supporto.
Sullo Zyxel non è possibile creare una seconda fase. Anche perchè pare non sia possibile. -
Sembra l'opzione sia disponibile soltanto se la fase 1 è in IkeV2, mentre tu l'hai impostata in auto (che in realtà prende come default IkeV2), dovresti provare a settala forzata IkeV2 (se lo Zyxel la supporta) e quindi impostare split connections. Se altrimenti sei già in IkeV1 per via dello Zyxel, probabilmente non serve.
Quindi scusa, lato Zyxel la rete OpenVPN tramite IPSEC come è settata? Con un'altra Fase 1 uguale? Perché le Fasi 2 devono essere uguali da entrambi i lati, se lo Zyxel non ha la Fase 2 OpenVPN è normale non funzioni.
