OpenVPN Peer to Peer

miran

miran about an hour ago

Salve,
ho un problema.
Ho configurato due firewall pFsens con VPN peer to peer.
Sede A Server 192.168.10.0/24
Sede B Client 192.168.200.0724
Tunel 10.0.212.0/24

La VPN funziona, le due reti si vedono. Raggiungo i dispositivi dalla Sede A alla Sede B e viceversa. ( dalla sede A vedo le telecamere e quindi le immagini della sede B )
L'unica cosa che non funziona sono i ping dai dispositivi sulla rete nella Sede A verso i dispositivi sulla rete della Sede B.

Se il ping lo faccio direttamente nella funzione del Firewall, arrivano a destinazione, da tutti e due i firewall.

Dove sta il problema?

Grazie se qualcuno mi aiuta.

MI serve la funzione PING, in quanto cosi' posso controllare a distanza i dispositivi.

MIran

senseiluke

@miran Firewall?

miran

Scusa ho dimenticato.
FW pFsense

kiokoman

solitamente è windows firewall che blocca i ping provenienti dalle vpn

miran

@kiokoman

Grazie per la risposta. Non ho windows, ma OSX. Dal Mac se pingo un dispositivo ( telecamera per esempio ) questa non mi risponde.Se il ping lo faccio direttamente dal FW funziona.
Non ne vengo fuori!

senseiluke

@kiokoman said in OpenVPN Peer to Peer:

solitamente è windows firewall che blocca i ping provenienti dalle vpn

infatti intendevo questo, visto che anche a me windows firewall da di questi problemi quando sono in VPN.

kiokoman

forse non hai messo icmp nelle regole del firewall di pfsense?

miran

@kiokoman said in OpenVPN Peer to Peer:

forse non hai messo icmp nelle regole del firewall di pfsense?

Ma la regola la devo mettere su LAN o su OpenVPN? e inoltre come deve essere fatta?
Grazie

kiokoman

io sul tab openvpn (ho 2 pfsense collegati in vpn per collegare casa / ufficio) ho tutto aperto

la regola che permette il ping l'ho messa sul tab LAN

miran

una l'ho fatta,dove la destination e la lan della sede remota, ma comunque non va

kiokoman

e sul tab openvpn?
tra l'altro è facile rilevare dove vanno a finire quei pacchetti usando packet capture e mettendolo in ascolto nelle varie interfacce vedi se arriva fino all'altro capo della vpn o si fermano prima

miran

E' tutto aperto....
Controllo con il Capture

kiokoman

controlla anche nell'altro firewall

miran

Trovato l'inghippo. Mancava la regola sul FW remoto in OpenVPN .
Grazie per l'aiut-

kiokoman

ottimo

miran

@kiokoman Vista la tua altissima competenza sul pFsense, non è che mi daresti una mano ancora su una piccola problematica.

La mia configurazione è la seguente:

Sede A pFsense 192.168.10.0/24
2 Server OpenVPN: uno fa da Peer to Peer verso sede B e l'altro fa da Server per client ( per collegarmi via iPhone o Mac quando sono fuori ufficio sede A )

Sede B pFsense 192.168.200.0/24
1 Server OpenVPN: per collegarmi via iPhone o Mac quando sono fuori ufficio sede B; e un Client che collega in Peer to peer da Sede B ad A.

La domanda è semplice.
Dove devo indicare la regola, che se sono collegato alla sede A via client con il Mac, posso vedere via collegamento Peer to Peer la sede B? Ora devo ogni volta spegnere la VPN verso la sede A e avviare verso la sede B.

Non so se mi sono spiegato bene?
Grazie per l'aiuto.

kiokoman

credo che basti aggiungere la rete nelle opzioni di openvpn
IPv4 Remote network(s)

miran

Però nella configurazione del server non ho la voce Remote network

Gabri.91

Su OpenVPN Server di A (non quello P2P ma quello client) in custom options metti:

push "route 192.168.200.0 255.255.255.0";

miran

Ho messo cosi' sul server sulla Sede A, dove mi collego con l'iphone, per capirci.

Ma non funziona....
Con capture packet si vede che i pachetti partono ma dall'altra parte non arriva niente.
10.0.211.2 il mio iPhone e 192.168.200.240 e' l'NVR nella sede B

Gabri.91

Nelle impostazioni di entrambe le Peer to Peer (da un lato come local e dall'altro come remote) oltre a 192.168.10.0/24 aggiungi anche 10.0.211.0/24 (mi sembra di ricordare ci vada la virgola)

miran

@Gabri-91

Grazie per la risposta. Ho provato a inserire.
Se la logica è questa:

1° quando arrivo sulla sede A in client mi viene assegnato un 10.0.211.x e su questo server gli devo aggiungere la regola che deve vedere anche il tunnel 10.0.212.x ( la peer to peer ) e anche la rete remota 192.168.200.x

2° sul server sede A peer to peer gli devo dire che deve vedere il tunnel del client 10.0.211.x

3° sul client della sede B peer to peer gli devo dire che deve vedere il tunnel del client della sede A 10.0.211.x perché la locale 192.168.200.0 le vede già

Cosi, il pacchetto che parte dal client 10.0.211.x va sul tunnel 10.0.212.x, arriva nella sede B, raggiunge il Device, e torna indietro per la stessa strada.

Ancora non funziona.
Mi viene il dubbio come deve essere scritta la regola: devo scrivere PUSH, senza PUSH, con la parola ROUTE, o senza, devo scrivere 10.0.211.0/24 oppure 10.0.211.0 255.255.255.0 ?

Grazie per l'aiuto

Gabri.91

Due precisazioni:

• Il "push route" e' un comando server, quindi sul client non ha effetto
• Il push della tunnel network non dovrebbe servire in quanto i due pfSense "conoscono" gia' quella rete

Detto questo, io farei cosi:

1. VPN Remote Access
   IPV4 Local network => 192.168.10.0/24
   Custom options => push "route 192.168.200.0 255.255.255.0";

2. VPN Server A
   IPV4 Local network => 192.168.10.0/24, 10.0.211.0/24
   IPV4 Remote network => 192.168.10.0/24

3. VPN Client B
   IPV4 Local network => 192.168.10.0/24
   IPV4 Remote network => 192.168.10.0/24, 10.0.211.0/24

Premesso che non e' una configurazione abituale (di solito per una Site2Site si usa IPSEC, non OpenVPN), se non funziona nemmeno cosi l'ultima carta rimane provare ad assegnare su firewall B ad OpenVPN Client un'interfaccia e relativa regola di NAT Outbound.

miran

Funzionaaaaaaa!

Grazie per l'aiuto.

Comunque funziona cosi' impostando.

Nel server Remote acces solo questo

Nel Server A Peer to Peer cosi' perche' la voce Local nework non c'e' ed ho messo nella voce Remote network

Nel Client B Peer to Peer cosi' perche' la voce Local nework non c'e' ed ho messo nella voce Remote network

Ora funziona alla grande!!

Grazie nuovamente

Gabri.91

Ottimo!

Non ricordavo come fosse esattamente la Peer2Peer OpenVPN per il motivo di cui sopra, se e' cosi secondo me puoi rimuovere 10.0.211.0/24 da remote networks di Server A.

miran

No, se tolgo non funziona più.

Ho rimesso.

kiokoman

non vorrei sbagliare ma quella versione di pfsense nell'ultimo screenshot mi pare molto vecchia
che versione è?

miran

si, hai visto bene....
Sede A 2.4.4-RELEASE-p3 (amd64)
Sede B 2.1-RELEASE (i386) ma da quanto ho capito non aggiornabile per probema HW.

kiokoman

si la sede b non puoi più aggiornarla senza cambiare hw, ma la sede A adesso potresti aggiornarla alla 2.4.5-p1

miran

Visto che sei giunto a questo argomento, cosa c’è di nuovo nella nuova versione?

kiokoman

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-new-features-and-changes.html

con la p1 hanno corretto diversi bug iniziali, alcuni anche importanti (Addressed an issue with large pf tables causing system instability and high CPU usage during filter reload events on some multi-CPU platforms (e.g. Hyper-V, Proxmox, some bare metal systems)) ma c'era da aspettarselo, io per primo ho aspettato ad aggiornare il pfsense che avevo in produzione dalla 2.4.4-p3 ho aspettato la 2.4.5-p1

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1-new-features-and-changes.html

nel complesso parecchie vulnerabilità risolte

miran

Benissimo, allora aggiornerò nelle ore notturne per non dare troppo disservizio.

Ancora una domanda, poi basta:
I numeretti accerchiati vuol dire il traffico che è passato per questa regola?

Quindi se ha 0, vuoi dire che non passa traffico, quindi la posso eliminare? non ha senso che esista?

Grazie

kiokoman

se ha senso non lo so, ma comunque sì, indica che fino a quel momento non è mai stata applicata quella regola del firewall

senseiluke

@kiokoman said in OpenVPN Peer to Peer:

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-new-features-and-changes.html

con la p1 hanno corretto diversi bug iniziali, alcuni anche importanti (Addressed an issue with large pf tables causing system instability and high CPU usage during filter reload events on some multi-CPU platforms (e.g. Hyper-V, Proxmox, some bare metal systems)) ma c'era da aspettarselo, io per primo ho aspettato ad aggiornare il pfsense che avevo in produzione dalla 2.4.4-p3 ho aspettato la 2.4.5-p1

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1-new-features-and-changes.html

nel complesso parecchie vulnerabilità risolte

E per chi come me ha già installato la 2.4.5 e non vuole rischiare di far saltare tutto con un aggiornamento? Consigli?

kiokoman

si aggiorna che non salta niente.. fai un backup per sicurezza

senseiluke

@kiokoman said in OpenVPN Peer to Peer:

si aggiorna che non salta niente.. fai un backup per sicurezza

Ok, speriamo bene, Grazie