OpenVPN. clientes no hacen ping a estaciones LAN
-
@javier2020 said in OpenVPN. clientes no hacen ping a estaciones LAN:
Si gustas enviame un Inbox para revisar la configuración de tu router?
-
@javier2020 Buena apreciación Javier, no se porque tenia metido en la cabeza que el tunel pasaba hasta las maquinas LAN detras del router interno.
En cualquier caso, este router esta haciendo NAT pero entiendo que de entrada, ya que desde el router para afuera (en subida), no hay necesidad de NAT, por tanto entiendo que desde la LAN del Firrewall para abajo (hacia el router) podría necesitar abrir algo, aunque no tengo claro el que ni hacia donde, me explico mejor:-
1º Por aclarar conceptos, mi tunel VPN esta en una red que no tiene nada que ver con ninguna de las locales
-
2º En el servidor OpenVPN he especificado que la red alcanzable por los clientes sea (he probado varias alternativas) por un lado la puerta WAN del router interno, y por otro lado tambien he probado con la puerta LAN del router interno, que es realmente el rango donde estarian los equipos que necesito alcanzar.
-
3º Si suprimo el router interno y conecto los clientes al firewall por un switch, SI alcanzo los equipos.
-
4º si conecto un cliente de la LAN al servidor VPN con su propia ip del tunel, SI que se ven, se hacen ping entre ellos, pero entiendo que desde los clientes de fuera, puedo alcanzar cualquier equipo en la LAN fuera del rango de ip del tunel y esto es lo que no esta ocurriendo precisamente.
Conclusion entre el firewall y el router interno esta el problema, he pensado en las tablas de rutas estaticas, pero esta parte no la domino especialmente y por tanto no la he probado, ademas tendria que establecer rutas estaticas en cada punto a alcanzar, es decir firewall a router y de router a firewall, y no se si incluso en los clientes, lo cual ya seria una faena.
Respecto a la configuración del router interno, el NAT que esta haciendo solo es para puertos de aplicaciones de los equipos locales, me falta probar a desconectar el firewall de este router, ya que en las pruebas olvide desactivarlo, pero me cuesta creer que esa pudiera ser la causa.
Finalmente, perdón por el tostón!. se que debe ser una chorrada lo que me falta y estoy (estamos) a un paso de que funcione.
-
-
¿Has probado las pruebas de tracert que te comenté para ver si se encaminan los paquetes a través del router? Es por ir descartando problemas.
-
@lucasll pues aun no porque el ping lo estaba probando desde un iphone a traves de la app NetAnalyzer y con la Ip Tools y no tienen tracert, pero dare conexión a un equipo desde fuera para hacer las pruebas y ver donde se corta o que muestra el pfsense.
-
@ReneMG
Desde pfsense también puedes hacer tracert. Aunque lo bueno sería desde un pc, pero desde el pfsense también te da información. Está en menú DIAGNOSTICS - TRACEROUTE -
@lucasll said in OpenVPN. clientes no hacen ping a estaciones LAN:
@ReneMG
Desde pfsense también puedes hacer tracert. Aunque lo bueno sería desde un pc, pero desde el pfsense también te da información. Está en menú DIAGNOSTICS - TRACEROUTEvoy a probarlo...
[EDITO] Probado, desde el Pfsense el tracert (traceroute) hacia la puerta WAN del router interno, no muestra nada, pero lo mas curioso, es que desde el Pfsense tampoco hace ping hacia esa puerta, es decir para el PfSense no hay bajada hacia la red o entrada, solo salida desde. -
Me parece que nos ayudaría mucho si nos compartieras un diagrama de red ( le puedes cambiar los octectos de las direcciones IPs para guardar la confidencialidad de los datos de tu red) , el modelo de tu router, detalles de la configuración de tu router y algunas capturas de pantalla de tus pruebas.
-
El router de la red LAN esta actuando como servidor dhcp y dns para los clientes de la red local y su puerta de enlace es la misma del router LAN,
El router por la parte WAN tiene como puerta de enlace la ip LAN del firewall y como servidor DNS la misma ip LAN del firewall, además tiene NAT habilitado, el firewall esta activado y en modo no responder pings de la WAN. (es decir la que viene de la LAN del firewall)
Respecto a las pruebas, pondría capturas, pero los tracert solo muestran asteriscos, sin dar absolutamente ninguna info.
He podido comprobar también que los clientes VPN son capaces de conectar desde fuera de la red del router del ISP a la ip LAN del firewall para administrarlo, sin embargo no conectan a la ip WAN o LAN del router de la red local.
Y hasta ahi puedo leer...
No se si ahora se entiende un poco mejor.
Muchas gracias por echarme un cable! -
@ReneMG A mi ya me queda claro que para que los clientes Openvpn alcancen a los equipos que están en la LAN del router debes desactivar el NAT y Firewall del router.
Otra opción es quitar definitivamente el router, dejar todo el trabajo a PfSense.
-
@javier2020
Tras varias pruebas, finalmente he descubierto que el router interno (tras el pfsense) esta bloqueando la entrada.
En este momento un cliente conectado desde fuera por VPN llega a hacer ping hasta la puerta WAN del router interno, es decir, atraviesa el firewall sin problema.
La pregunta ahora es ,poque no pasa de la WAN a la LAN del router interno? no se supone que este paso de encaminado es transparente y deberia hacerlo el router automaticamente? o tengo que aplicar alguna regla o ruta estatica? He probado con diferentes rutas estaticas pero sin exito.
Ademas tal y como comentabamos mas atras, al llegar al firewall el tunel vpn se termina, por lo tanto a partir de ese punto que ip tomaria el cliente que accede? una ip de un servidor dhcp en el firewall o en el router interno?
Y es en este punto donde estoy atascado.
El router ha sido reseteado, firewall off en router y clientes, solo esta configurada LAN y WAN sin ningun otro servicio.
Alguna idea?
