utilizzo ip pubblico VPN



  • Ciao, scusate la seplcità del titolo del post ma non avevo idea come sitetizzare ciò che mi occorre.

    In pratica io ho due siti (A e B) dove sono collegati via VPN punto-punto due pfsense.

    necessiterei di far navigare e uscire pubblicamente dei pc della rete LAN A con l'ip pubblico della rete LAN B.

    nello specifico ho dei pc della LAN A che devono accedere ad un ERP di produzione in cloud ma possono farlo solo se hanno l'ip pubblico della LAN B perchè il server cloud è configurato per motivi di sicurezza, ad accettare un solo ip pubblico.

    quindi la domanda è... configuro una VPN "classica" server-client, e faccio collegare i pc con quella al server pfsense B, oppure configuro il gatway dei pc mettendo il pfsense B e magari configurando un VLAN, oppure avete altri suggerimenti?

    grazie


  • LAYER 8

    per vpn punto punto cosa stai usando di preciso openvpn o ipsec?

    se è con openvpn site to site è piuttosto semplice basta inserire su custom option del pfsense sulla LAN A
    route ip-del-server-erp 255.255.255.255;
    e sul pfsense della LAN B impostare su NAT / outbound su hybrid e aggiungere una regola con sorgente network / ip-della-rete-LAN-A/24 mettere la spunta su static port e salvare
    se fosse ipsec in sostanza dovrebbe essere la stessa cosa, una rotta statica nella LAN A per l'ip del server erp con destinazione l'interfaccia ipsec e dall'altra parte sempre NAT / outbound come sopra



  • Ti confermo che uso openvpn, ma mi sfugge qualche cosa.

    sul client LAN A che dovrà "uscire" con ip LAN B devo impostare il gatwai B o A? perchè non capisco come faccia il client LAN A sapere con quele ip uscire.

    mi spiego meglio, nella LAN A ipotizza che ho due Client, uno deve uscire con IP pubblico nomale della sua LAN A e l'altro invece con IP LAN B -

    impostando i vari pfsense come hai scritto te deduco che tutti i client LAN A uscirebbero con IP pubblico LAN B.... o ho capito male?


  • LAYER 8

    tutti i client A che volessero connettersi all'erp userebbero l'ip pubblico della lan B
    tutto il resto del traffico uscirebbe normalmente per l'ip pubblico della lan A
    route ip-del-server-erp 255.255.255.255; <- crea una rotta statica verso il server cloud facendo passare il traffico attraverso la vpn.



  • perdonami... ora ho capito... non avevo focalizzato il contetto ip-del-server-erp.
    tutto chiaro.

    ma se volessi proprio che il traffico del client non uscisse tramite ip pubblico lan A ma volessi che uscisse sempre con quello della lan B è fattibile?

    grazie


  • LAYER 8

    sul pfsense della LAN A in advanced:

    redirect-gateway def1;
    

    se è proprio necessario.. la navigazione risulterà più lenta oltre al fatto che se i client sono tanti dovrai tenere sotto controllo l'utilizzo di cpu e ram per vedere se i pfsense reggono il carico



  • la velocità di navigazione non è importante in quanto non devono "navigare" molto ma si devono solo collegare a vari server (erp-posta-e altre cose) e sono 3-4 pc non di piu... per vari motivi preferisco uscire totalmente con ip pubblico B - per la ram e cpu dei pfsense non problem ho vecchi pc sostiuti che non usavo piu configurati appositamente con processori intel i3 e 16 gb di ram


  • LAYER 8

    se sono solo 3 o 4 non è un problema



  • @kiokoman said in utilizzo ip pubblico VPN:

    zione risulterà più lenta oltre al fatto che se i client sono tanti dovrai tenere sotto controllo l'utilizzo di cpu e ram per vedere se i pfsense reggono il carico

    ma per farli "uscire" li configuro con ip della lan B?


  • LAYER 8

    @kiokoman said in utilizzo ip pubblico VPN:

    redirect-gateway def1;

    non ho capito la domanda
    ?
    se mi stai chiedendo se devi cambiare la rete in LAN A per farla uguale a LAN B allora la risposta è assolutamente no
    su LAN B impostare su NAT / outbound su hybrid e aggiungere una regola con sorgente network / ip-della-rete-LAN-A/24 mettere la spunta su static port e salvare



  • @kiokoman si ho capito come "impostare" il pfsense e la NAT.
    ma in questa maniera tutti i pc della LAN A escono con ip pubblico LAN B (se non erro).
    mentre io voglio ottenere questo riusltato (provo a rendere meglio l'idea)

    lan A pc 1 (esce con ip pubblico lan A)
    lan A pc 2 (esce con ip pubblico lan B)
    lan A pc 3 (esce con ip pubblico lan B)

    quindi per diversificare le uscite (devo configurare il singolo pc) o mettere un una regola sul pfsense A che instradi il singolo PC?


  • LAYER 8

    si puo' fare anche quello, ma la procedura è un po diversa.
    Sul pfsense LAN A devi assegnare e abilitare una interfaccia alla connessione vpn
    Immagine.jpg

    occhio che appena assegni l'interfaccia la connessione openvpn smette di funzionare e va riavviato il servizio openvpn, quindi non puoi farlo da remoto sfruttando la vpn

    una volta fatto questo ti ritroverai con un nuovo gateway

    Immagine.jpg

    a questo punto crei una regola firewall sulla nuova interfaccia appena creata che ti ritroverai con allow any any (nel mio caso OPT4)

    Immagine.jpg

    crei un alias, puoi dargli il nome che vuoi, con gli ip del pc 2 e pc 3

    Immagine.jpg

    poi crei una regola sulla interfaccia LAN con
    protocollo any
    source single host or alias -> nome-alias-che-hai-creato-per-pc2-e-pc3 seguendo il mio precedente esempio sarà "test"
    destination any

    la parte importante avviene qui,
    premi su advanced option
    scendi giù fino a "Gateway"
    nel menu a tendina selezioni il nuovo gateway della vpn, nel mio caso OPT4
    Immagine.jpg
    salva.
    la regola va posizionata in alto

    sul pfsense nella LAN B va comunque impostato hybrid e creato il NAT per la rete LAN A



  • ok grazie mi sembra tutto abbastanza chiaro.
    tra l'altro i primi passaggi erano gia impostati per me, per altri motivi.... solo che non avendo mai usato il concetto del Gatewys non ero mai entrato nella relativa pagina per vdere.

    ora che ci sono entrato mi trovo questa schermata dove il Gatewys della VPN è quello giallo..... ora che significa quella scritta? non la traduzione ma per sapere se c'è qualche problema.

    Immagine1.png


  • LAYER 8

    che per qualche motivo la tua vpn non è stabile e ha perdita di pacchetti



  • a ok..... si tutto chiaro e nomale allora....



  • scusa ma "sul pfsense nella LAN B va comunque impostato hybrid e creato il NAT per la rete LAN A"

    la NAT la configuro cosi?:
    Interfaccia: WAN
    protocoll: any
    destinazione: Network iplanA/24
    portrange: any - any



  • confermo che funziona tutto.. GRAZIE come sempre... ultima domanda... avendo il proxy sulla LAN A, mi sembre di vedere che uscendo pubblicamente con LAN B, il proxy viene baypassato - quindi o configuro il server B con il proxy oppure c'è un modo per dire al proxy di funzionare?

    ovviamente mi riferisco a Squid


  • LAYER 8

    non lo so, non uso squid 🤷



  • @kiokoman ok grazie lo stesso ma ho verificato che il problema era solo che squid non era aggiornato!



  • @kiokoman scusa ma se utilizzassi questa regola sulla VLAN devo impostare una route o no? perchè l'ho impostata ma no va..... ovvero non naviga


  • LAYER 8

    dopo 14 giorni.. non mi ricordo neanche cosa o mangiato ieri
    quale regola?



  • quella di far usare il gateway "secondario" della VPN

    1602241968876-immagine.jpg

    fino ad ora era tutto in LAN ora ho i pc i VLAN


  • LAYER 8

    no non devi impostare niente, dovrebbe uscire per di là e basta
    assicurati di aver aggiunto la sottorete della vlan sulla configurazione openvpn



  • la sottore della vlan sulla configurazione openvpn lato serer a o server b (server a è quello che ha la vlan)

    e suppongo vada inserita nel tunnel setting IPv4

    cmq ti confermo che con rule * (tutto) naviga ed esco ma con ip pubblico locale, appena metto rule

    Pass
    protocol: ipv4
    surce: vlan net
    port: *
    destination:*
    gatway: "vpn openvpn"

    non va


  • LAYER 8

    va inserito in IPv4 Remote network(s) sull 'altro openvpn, non sul tunnel
    e sempre sull'altro openvpn devi configurare il NAT outbound
    Hybrid Outbound NAT
    e aggiungere una regola per la sottorete che hai in vlan



  • si mi ero espresso male....intendevo sotto la sezione tunnel setting di openvpn, inserisco in ipv4 remote networks.....

    comunque configurato il NAT funziona
    grazie come sepre



  • come sempre parlo presto... ovvero:
    naviga con il nat ma esco con ip server 1 e non 2

    SERVER2 (OPENVPN "altro") non tunnel

    regola nat:
    interface: WAN
    protocolo: *
    Source: INDIRIZZOIPVLAN/24
    destination: *


  • LAYER 8

    Immagine.jpg
    nel server 2 -> sostituisci 172.16.0.0/24 con la rete che hai impostato nella vlan

    ma se vedi l'ip del server 1 significa che non sta passando attraverso la vpn
    controlla di nuovo le regole del firewall del server 1
    fai screenshot non tagliati eventualmente



  • la regola nat è come la tua e la regola firewall è identica a quella che avevo creato in lan quando funzionava. ho cambiato solo il fatto dell source anziché degli ip specifici ho messo VLAN net

    Schermata 2020-10-26 alle 21.15.09.png

    rules serve 1 dove sta la VLAN
    Schermata 2020-10-26 alle 21.16.33.png


  • LAYER 8

    nella regola NAT hai dimenticato la spunta su "static port"
    avevo detto screenshot non tagliati..
    hai altre regole firewall prima ?



  • scusa lo accorciato ma esiste solo quella regola (ovvero è la prima)

    Schermata 2020-10-26 alle 21.39.59.png


  • LAYER 8

    qual'e' l'interfaccia ovpnc1 ?
    hai messo la regola sull'interfaccia sbagliata?



  • @kiokoman questa è l'interfaccia della VLAN


  • LAYER 8

    uhm si ok adesso ho visto, sembrerebbe tutto giusto, se non funziona riavvia pfsense



  • ho dovuto eliminare la regola firewall e ricrearla ed è partito



  • @kiokoman ti confermo che non va...... avevo visto male ieri sera.....

    in sostanza, se metto la regola con il gateway che vedi nell'immagine non mi navica nemmeno tra VLAN e LAN, come modifico la regola mettendo tutto * funziona, ma se se metto * con gateway diverso da * eccon che si "riblocca".

    non è che devo configurare il gateway come dns?

    tra l'altro altra anomalia - ho creato una VLAN per le stampanti, le collego, il dhcp assegna gli ip, metto come porta l'ip della stampante ma non stampa, ma se accedo al webinterface della stampante la raggiungo (ho come regola *) 😠 😠


  • LAYER 8

    non capisco come mai con te si risolve un problema e ne saltano fuori 2 😂 😂



  • perche sono fortunato!!!!! 😵 😵 😵 😵 😵


  • LAYER 8

    per i dns prova intanto a mettere quelli di google direttamente sul pc e vedi se naviga attraverso la vpn



  • @kiokoman ok.
    comunque qualche cosa di strano c'è..... esempio la stampante.

    riesco ad accederci via web, lo scanner va e crea i file sulla cartella che sta sulla lan, ma la porta stampante 192.168.x.x (VLANstampanti) mi dice che la stampante multifuzione è offline.... 😲


Log in to reply