Problema di raggiungimento varie sedi

miran

Salve e buongiorno a tutti !

ho cercato soluzioni in internet ad un mio problema con il mio pFsense, che però non riesco a risolvere. Forse qualcuno mi da una mono, perché potrebbe essere che non c’è soluzione, e la cosa funziona così oppure mi perdo in un bicchiere d’acqua.

Spiego in breve il problema:

ho 3 pFsense collegati nel seguente modo:

1° sede A , che la chiamo sede principale, è casa mia. ( 192.168.10.0/24 )
2° sede B , che è casa in montagna ( 192.168.200.0/24 )
3° sede C, che è il mio ufficio ( 192.168.100.0/24 )

La sede A e la sede B sono collegati in iPsec
La sede C è collegata in open VPN site to site, verso la sede A, dove la sede A fa da server, e la sede C è client, in quanto in ufficio non ho una linea internet diretta, e quindi non ho un ip statico e ho un firewall a monte dell'ufficio che blocca tutto.
La sede C è inoltre collegata in open VPN site to site, verso la sede B, dove la sede B fa da server, e la sede C è client, in quanto in ufficio non ho una linea internet diretta, e quindi non ho un ip statico e ho un firewall a monte dell'ufficio che blocca tutto. ( questo per poter raggiungere la sede B dalla sede C, in quanto attraverso la sede A non passa il traffico. )

Le tre sedi sono collegate regolarmente e tutto funziona bene.
Se sono a casa ( sede A ) vedo la rete della sede B e C.

Ho configurato sia nella sede A che nella sede B il server OpenVPN per potermi collegare con il cellulare sia verso la casa che verso la casa in montagna dal mio cellulare.
E questo funziona regolarmente, quindi se col mio cellulare mi collego alla sede A vedo la rete della sede A; se col mio cellulare mi collego alla sede B vedo la rete della sede B

Il mio problema è il seguente:

Quello che non funziona e non riesco a far funzionare è poter vedere dalla sede A utilizzando il cellulare la rete della sede B e viceversa attraverso l'IPSec, oppure la sede C attraverso OpenVPN site to site.
Mi farebbe comodo poter far funzionare questa cosa qua, in modo da attivare semplicemente solo una VPN dal cellulare verso la sede A e quindi trovarmi nella condizione di essere a casa e poter controllare e vedere i dispositivi di tutte le altre sedi satelliti.

Mi potete in qualche modo aiutare?
Posso creare un accesso temporaneo al Fw della sede A per eventualmente controllare la programmazione, oppure mi indicate dove potrebbe essere il problema?

Come Rule non ci sono blocchi, tutto aperto sia in IPSec che in OpenVPN, eppure, se collegato in VPN dal cellulare, vedo solo ed esclusivamente la rete sul quale mi collego.

Indirizzo assegnato dal server OpenVPN sede A ( 10.0.211.0/24 )
Indirizzo assegnato dal server OpenVPN sede B ( 10.0.212.0/24 )
Indirizzo assegnato dal server OpenVPN sede C ( 10.0.213.0/24 )

Grazie per l'eventuale aiuto.

Miran

federicop

@miran Non ho capito che indenti con "vedere dalla sede A utilizzando il cellulare la rete della sede...." cioè il cellulare è collegato alla wifi della sede A o viaggia tramite dati cel? perché se fosse cosi non capisco dove sta il problema visto che dici che funziona tutto.

comunque credo che la risposta stia nelle configurazioni di rotte se sei collegato alle reti in wifi con il cel.

altrimenti devi collegarti con VPN dal cel (server pfsense client cell) e accedere alla rete che ti interessa, se poi vuoi che accedendo ad unico punto siano raggiungibili le altre sedi devi configurare delle rotte).

Ti sconsiglio questa ultima soluzione in quanto se va giu il server non raggiungi piu le altre reti. quindi configura un server per ogni punto da raggiungere (parere mio).

spero di aver capito bene il problema.

miran

@federicop Ciao Federico!
Grazie per la risposta.

Spiego meglio cosa intendo per " vedere dalla sede... utilizzando il cell "

"Vedere dalla sede A - 192.168.10.0/24 -" intendo pingare e raggiungere i dispositivi presenti sulla network della sede B ( 192.168.200.0/24 ) e C( 192.168.100.0/24 )

" utilizzando il cellulare " intendo via VPN ( app su cell per OpenVPN sotto 3G (10.0.211.0/24) quando sono in viaggio a 300km di distanza dalla sede A,B e C )

Sulla sede A e B ( le uniche che posso programmare ) ho programmato un server VPN , così se il server su una sede si ferma , posso arrivare da un'altra. Concordo con te, che serve programmare delle rotte, per raggiungere le altre sedi, ma non capisco dove si inseriscono queste informazioni. Per essere ancora più chiaro, io da qualche parte devo dire al FW, che se " atterro " in VPN sulla sede A con questo indirizzo ( 10.0.211.0/24 ), devo poter raggiungere la network della sede B ( 192.168.200.0/24 ) via IPSec, e la sede C ( 192.168.100.0/24 ) via VPN site to site.

Dove dico questa cosa al FW?

Così è più chiara la mia problematica?

Grazie dell'aiuto.

kiokoman

sulla configurazione di openvpn per il cellulare hai configurato
IPv4 Local network(s)
?

miran

@kiokoman

Si, certo, ho messo tutte e tre le lan.
Ho messo anche l'indirizzo del tunnel che è instaurato via OpenVPN site to sito.
Vedi immagine.
Ma comunque non va, è come se mancasse qualche indicazione nel server OpenVPN.

Grazie per l'aiuto

kiokoman

@miran
questo screenshot da dove e' preso? sede A ?

nel caso, la sede B però non conosce la rotta per 10.0.211.0/24
e neanche sede C

System / Routing / Static Routes

in sede B dovrai dire che per raggiungere 10.0.211.0/24 deve usare il gateway della vpn
lo stesso per sede C

qundi presumibilmente il traffico raggiunge le altre sedi ma ti rispondono usando il default gateway risultante in una assimmetria

miran

@kiokoman
Si corretto. Lo screenshot è preso alla sede A.

Ho aggiunto nella sede C ( sede B oggi off-line per mancanza rete telecom - maltempo in zona ) in SYSTEM->Routnig->Static routes il seguente , che è quello che mi mancava.

Sede C.png

dove 10.0.212.0/24 è il tunnel creato con OperVPN site to site, ma non ho la possibilità di dirgli di usare come gateway la OpenVPN, ma solamente il defult gatway, quindi i pacchetti di ritorno dalla sede C non arrivano a destinazione per i tunnel, ma vanno per la wan principale, che si perdono per strada. Dove creo un gateway composto dalla VPN appositamente da usare per questo caso?
Grazie

kiokoman

@miran
devi assegnare e abilitare l'interfaccia ovpn
interfaces / assignments

miran

@kiokoman said in Problema di raggiungimento varie sedi:

@miran
devi assegnare e abilitare l'interfaccia ovpn
interfaces / assignments

Ho aggiunto come da tua indicazione.

Schermata 2021-04-17 alle 16.09.53.png

Ma ora sono ancora nel buoi. Che faccio ora?
Perché qua in static route il Gw non compare

Schermata 2021-04-17 alle 16.13.02.png

kiokoman

@miran
hai abilitato l'interfaccia oltre ad assegnarla?

miran

@kiokoman said in Problema di raggiungimento varie sedi:

@miran
hai abilitato l'interfaccia oltre ad assegnarla?

No, perchè non capisco che IP gli devo dare?
Schermata 2021-04-17 alle 19.12.15.png
Se parliamo del tunnel creato dalla VPN, io mi trovo i seguenti indirizzi:
10.0.212.1 - Server VPN seda A
10.0.212.2 - client VPN sede B
Quindi al GW sull'interfaccia VPN appena abilitata sul client sede B 10.0.212.254?
é corretto il ragionamento?
Se si, immagino che anche nella sede A devo abilitare un'interfaccia con la VPN del server. E li che indirizzo gli do? 10.0.212.253 ?

Grazie e scusa la mia ignoranza.

kiokoman

@miran
siceramente credo tu abbia sbagliato qualcosa ma non saprei dove, se guardi il mio screenshot ti dice chiaramente che l'interfaccia non supporta la configurazione manuale dell'ip, in sostanza li la schermata dovrebbe essere diversa e non dovrebbe chiederti nessun ip ma dovrei configurare una vpn e vedere, uso ipsec ma da quello che ricodo openvpn funzionava allo stesso modo