OpenVPN. clientes no hacen ping a estaciones LAN



  • This post is deleted!


  • @ReneMG
    Hola.
    Si he entendido bien el esquema es:

    (Cliente openvpn) <--> (Internet) <--> (WAN Pfsense LAN) <--> (router) <--> (equipos LAN)

    Yo probaría lo siguiente:

    • Revisar que los equipos lan, al menos durante las pruebas, tengan el firewall local desactivado.
    • Revisar que las reglas en pfsense, al menos durante las pruebas, permiten todo en ambas direcciones.
    • Desde un cliente openvpn, hacer un tracert a un equipo de la lan
    • Desde un equipo LAN, hacer un tracert a un cliente openvpn


  • El esquema es correcto.
    Voy a probar lo que me sugieres y te informo de los resultados...
    Muchas gracias!!



  • Hola @ReneMG

    Ya has revisado que el router no tenga NAT en su configuración ?



  • @lucasll
    He probado lo siguiente:
    Equipo de la red LAN (por cable), firewall off ---> resultado: NO PING desde fuera LAN

    PfSense, reglas de apertura total en el firewall en el orden correcto.

    Resultados: el cliente externo hace ping a la WAN y a la LAN del firewall pero NUNCA a la WAN/LAN del router interno.

    Si el equipo interno conecta por VPN al servidor con su propia ip del rango del tunel VPN, si se hacen ping entre ellos, siempre y cuando el firewall del equipo este desactivado, pero claro, en el rango de ips del tunel.

    En el PfSense, he probado a poner varios DNS, comenzando por la wan del Firewall, LAN del firewall, WAN y LAN del router interno y siempre navega con los DNS del firewall o incluso del router del ISP.
    En el PfSense las reglas creadas son las que creo el Wizard del OpenVPN, una en WAN y otra en OpenVPN.

    En resumen, sigo igual, sospecho que pueden ocurrir 2 cosas, los clientes no resuelven la ruta hacia el router interno cuando llegan al firewall y el router interno rechaza las peticiones por faltarle aluna configuración, aunque esto ultimo me parece mas improbable.



  • @javier2020 El router interno o LAN, SI esta haciendo NAT, pero tiene el puerto 1194 en modo activador o disparador (trigger), cuando alguna aplicación lo necesita, lo activa.



  • @ReneMG el puerto del ping no es el 1194.

    Recuerda que el túnel vpn termina en la LAN del Pfsense

    (Cliente openvpn) <--> (Internet) <--> (WAN Pfsense LAN)

    Lo que sigue
    <--> (router) <--> (equipos LAN)

    Ya no va en el túnel cifrado por el puerto 1194.

    Por lo que tendrías que revisar si es necesario el NAT en el router para alguna comunciación interna porque según entiendo para salir a Internet el NAT lo esta haciendo PFsense.



  • @javier2020 said in OpenVPN. clientes no hacen ping a estaciones LAN:

    @ReneMG

    Si gustas enviame un Inbox para revisar la configuración de tu router?



  • @javier2020 Buena apreciación Javier, no se porque tenia metido en la cabeza que el tunel pasaba hasta las maquinas LAN detras del router interno.
    En cualquier caso, este router esta haciendo NAT pero entiendo que de entrada, ya que desde el router para afuera (en subida), no hay necesidad de NAT, por tanto entiendo que desde la LAN del Firrewall para abajo (hacia el router) podría necesitar abrir algo, aunque no tengo claro el que ni hacia donde, me explico mejor:

    • 1º Por aclarar conceptos, mi tunel VPN esta en una red que no tiene nada que ver con ninguna de las locales

    • 2º En el servidor OpenVPN he especificado que la red alcanzable por los clientes sea (he probado varias alternativas) por un lado la puerta WAN del router interno, y por otro lado tambien he probado con la puerta LAN del router interno, que es realmente el rango donde estarian los equipos que necesito alcanzar.

    • 3º Si suprimo el router interno y conecto los clientes al firewall por un switch, SI alcanzo los equipos.

    • 4º si conecto un cliente de la LAN al servidor VPN con su propia ip del tunel, SI que se ven, se hacen ping entre ellos, pero entiendo que desde los clientes de fuera, puedo alcanzar cualquier equipo en la LAN fuera del rango de ip del tunel y esto es lo que no esta ocurriendo precisamente.

    Conclusion entre el firewall y el router interno esta el problema, he pensado en las tablas de rutas estaticas, pero esta parte no la domino especialmente y por tanto no la he probado, ademas tendria que establecer rutas estaticas en cada punto a alcanzar, es decir firewall a router y de router a firewall, y no se si incluso en los clientes, lo cual ya seria una faena.

    Respecto a la configuración del router interno, el NAT que esta haciendo solo es para puertos de aplicaciones de los equipos locales, me falta probar a desconectar el firewall de este router, ya que en las pruebas olvide desactivarlo, pero me cuesta creer que esa pudiera ser la causa.

    Finalmente, perdón por el tostón!. se que debe ser una chorrada lo que me falta y estoy (estamos) a un paso de que funcione.



  • @ReneMG

    ¿Has probado las pruebas de tracert que te comenté para ver si se encaminan los paquetes a través del router? Es por ir descartando problemas.



  • @lucasll pues aun no porque el ping lo estaba probando desde un iphone a traves de la app NetAnalyzer y con la Ip Tools y no tienen tracert, pero dare conexión a un equipo desde fuera para hacer las pruebas y ver donde se corta o que muestra el pfsense.



  • @ReneMG
    Desde pfsense también puedes hacer tracert. Aunque lo bueno sería desde un pc, pero desde el pfsense también te da información. Está en menú DIAGNOSTICS - TRACEROUTE



  • @lucasll said in OpenVPN. clientes no hacen ping a estaciones LAN:

    @ReneMG
    Desde pfsense también puedes hacer tracert. Aunque lo bueno sería desde un pc, pero desde el pfsense también te da información. Está en menú DIAGNOSTICS - TRACEROUTE

    voy a probarlo...
    [EDITO] Probado, desde el Pfsense el tracert (traceroute) hacia la puerta WAN del router interno, no muestra nada, pero lo mas curioso, es que desde el Pfsense tampoco hace ping hacia esa puerta, es decir para el PfSense no hay bajada hacia la red o entrada, solo salida desde.



  • Me parece que nos ayudaría mucho si nos compartieras un diagrama de red ( le puedes cambiar los octectos de las direcciones IPs para guardar la confidencialidad de los datos de tu red) , el modelo de tu router, detalles de la configuración de tu router y algunas capturas de pantalla de tus pruebas.



  • @javier2020

    Esquema red
    El router de la red LAN esta actuando como servidor dhcp y dns para los clientes de la red local y su puerta de enlace es la misma del router LAN,
    El router por la parte WAN tiene como puerta de enlace la ip LAN del firewall y como servidor DNS la misma ip LAN del firewall, además tiene NAT habilitado, el firewall esta activado y en modo no responder pings de la WAN. (es decir la que viene de la LAN del firewall)
    Respecto a las pruebas, pondría capturas, pero los tracert solo muestran asteriscos, sin dar absolutamente ninguna info.
    He podido comprobar también que los clientes VPN son capaces de conectar desde fuera de la red del router del ISP a la ip LAN del firewall para administrarlo, sin embargo no conectan a la ip WAN o LAN del router de la red local.
    Y hasta ahi puedo leer...
    No se si ahora se entiende un poco mejor.
    Muchas gracias por echarme un cable!



  • @ReneMG A mi ya me queda claro que para que los clientes Openvpn alcancen a los equipos que están en la LAN del router debes desactivar el NAT y Firewall del router.

    Otra opción es quitar definitivamente el router, dejar todo el trabajo a PfSense.



  • @javier2020
    Tras varias pruebas, finalmente he descubierto que el router interno (tras el pfsense) esta bloqueando la entrada.
    En este momento un cliente conectado desde fuera por VPN llega a hacer ping hasta la puerta WAN del router interno, es decir, atraviesa el firewall sin problema.
    La pregunta ahora es ,poque no pasa de la WAN a la LAN del router interno? no se supone que este paso de encaminado es transparente y deberia hacerlo el router automaticamente? o tengo que aplicar alguna regla o ruta estatica? He probado con diferentes rutas estaticas pero sin exito.
    Ademas tal y como comentabamos mas atras, al llegar al firewall el tunel vpn se termina, por lo tanto a partir de ese punto que ip tomaria el cliente que accede? una ip de un servidor dhcp en el firewall o en el router interno?
    Y es en este punto donde estoy atascado.
    El router ha sido reseteado, firewall off en router y clientes, solo esta configurada LAN y WAN sin ningun otro servicio.
    Alguna idea?


Log in to reply