Problema con ping (icmp) cuando hay nat.
-
Hola.
Instalación de pfsense:- pfsense 2.8.0
- pfsense como servidor openvpn
- pfsense con 2 adaptadores: lan y wan.
- Configuración NAT para los clientes openvpn. Cuando conectan, hay NAT para que cuando los clientes acceden a la red LAN, conecten (haciendo el NAT), usando la dirección ip del adaptador lan.
El problema es que a veces no funciona el ping desde los clientes openvpn a algún equipo de la lan. Sólo a veces.
Tras muchas pruebas, creo que es este bug:
ICMP echo requests from Windows hosts dropped when NAT'ed
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=283795En probado en Linux y no hay problema. Pero desde Linux sí reproduzco el problema con 2 equipos linux con nping como se describe en el bug de freebsd pasando el --icmp-id
¿Alguien tiene algún workaround?
Gracias por adelantado.
-
@lucasll que tal lucas, cuando dices NAT a los clientes, a que te refieres, puedes detallar mas?. Porque muchos hemos implementado openvpn p-p, m-p, acceso remoto es algo muy ya aprueba de fuego, pero a lo mejor tu caso es algo no muy comun.
Linux es totalmente distinto a pfsense(FreeBSD/Unix), es como comparar manzanas con peras.
Saludos.
-
@periko said in Problema con ping (icmp) cuando hay nat.:
cuando dices NAT a los clientes, a que te refieres, puedes detallar mas?.
Me refiero a que cuando los clientes van a acceder a alguno de las redes protegidas por openvpn, entonces sus conexiones no se realizan desde las direcciones ip que asigna la vpn, sino que hago NAT para que sus conexiones procedan desde la dirección ip del adaptador lan del pfsense. Esto lo hago así porque no hay camino de vuelta desde las redes protegidas por openvpn hacia las direcciones ip que asigna la vpn.
-
@lucasll 1ra vez que escucho esto.
Tu eres es el servidor o el cliente?
Por que requieres que responda la IP de la LAN?Saludos.
-
@periko said in Problema con ping (icmp) cuando hay nat.:
Tu eres es el servidor o el cliente?
Yo soy el servidor vpn.
También me encargo de instalar los clientes a los usuarios.@periko said in Problema con ping (icmp) cuando hay nat.:
Por que requieres que responda la IP de la LAN?
Porque los clientes acceden vía openvpn a unos servidores. Desde el servidor pfsense (que es servidor openvpn) SÍ hay conexión a dichos servidores. Pero desde la red asignada a los clientes openvpn NO hay conexión a dichos servidores. Es decir, los servidores no pueden llegar a la red de los clientes openvpn, porque no hay camino de vuelta. Para resolver esta situación, hago NAT desde la red de los clientes openvpn para que cuando accedan a los servidores usen una ip que SÍ tenga camino de vuelta. Esa ip es la ip LAN del servidor pfsense (servidor openvpn).
-
@lucasll Creo que algo no me hace click.
Veamos este planteamiento:
Usas Pfsense como firewall perimetral, atras tienes una LAN, VLAN's, etc, todas las redes privadas que protege tu firewall, es un decir.
Entonces configuras una VPN de acceso remoto(creo que es lo que tienes?) para que tus usuarios de manera segura accedan desde fuera de la empresa desde cualquier parte del mundo.
A openvpn le indicas cuales de tus redes internas vas a exponer x ese tunel, asi tu cliente openvpn puede llegar a esa red y como pfsense es el gw, entonces tus servidores que estan en la red X pueden responder. Quien desea accesarlos son tus clientes, al menos que en tu caso sean los servidores, que seria algo poco comun(?) en un modelo cliente-servidor.
En un contexto asi, no deberia de ver problemas para que tus usuarios de la VPN accedan a los servidores, al menos que los servidores no estan detras de pfsense(?) y hay un router de por medio, y aun siendo esta la situacion, en ninguno de los 2 casos requieres para nada tocar el NAT, serian agregar rutas estaticas.
Asi es tu red o es totalmente distinta?
Saludos.
-
@periko said in Problema con ping (icmp) cuando hay nat.:
Entonces configuras una VPN de acceso remoto(creo que es lo que tienes?)
Sí
@periko said in Problema con ping (icmp) cuando hay nat.:
pfsense es el gw, entonces tus servidores que estan en la red X pueden responder
No. Pfsense no es el gateway de esos servidores. Este dato es importante. Por eso comenté en anteriores post que no había camino de vuelta desde esos servidores a la red asignada a los clientes openvpn. Es por eso que recurro a hacer NAT para que las conexiones desde los clientes openvpn hacia los servidores lleguen a los servidores con la ip lan del pfsense.