VPN en modo local.

setepeich

Estoy haciendo pruebas con 2 pfsense en modo local. El sistema que tengo establecido es un peer (172.26.0.100) por dhcp conectado a un pfsense (172.26.0.1).

Esta pfsense se conecta a otra a traves de un cable cruzado, por el puerto wan cuya direccion de ip es 10.10.0.1/24
El segundo pfsense posee la direccion 10.10.0.2/24

La direccion lan del segundo pfsense es 172.26.1.1, conectado a un peer cuya direccion es 172.26.1.100, tambien por dhcp.

He establecido un tunel IPSEC, funciona perfectamente el enlace y no me da error ninguno… Pero cuando hago la prueba de hacer un ping, desde 172.26.0.100 a 172.26.1.100, este no responde. Si hago la prueba al revez (ping desde 172.26.1.100 a 172.26.0.100) esta tampoco responde.
(he probado con ping -S, y ni con esas)

Luego he probado con OpenVPN, el enlace se ha establecido satisfactoriamente, y he podido hacer ping, pero solamente en una direccion (desde 172.26.1.100 a 172.26.0.100), en el otro sentido no.

Me gustaria saber si podriais darme algun tipo de ayuda sobre donde puede estar el fallo. He visto ya muchisimas guias y manuales y creo que en el tema de configuracion lo tengo todo mas o menos controlado, ya que el tunel se levanta perfectamente... pero todas las guias han sido con VPN a traves de internet, y mi sistema esta en modo local, no se si podria estar ahi el fallo, en cuanto a algun tipo de configuracion especial a considerar en el puerto wan para conexion directa.

Estoy haciendo esto en modo local porque tengo que hacer pruebas con un tunel VPN para trabajar con VoIP sobre el, y antes de lanzarme sobre internet y conexiones remotas me gustaria probar conectando los equipos VoIP sin tener que requerir de una segunda persona en el punto remoto para hacer las pruebas.

os agradezco toda ayuda que me brindeis!

bellera

¡Hola!

Seguramente tienes un problema con las reglas en LAN. Tienes que autorizar el tráfico entrante desde la otra red. Piensa que tienes un túnel de LAN a LAN y las reglas tienen que estar en consonancia.

También hay que tener en cuenta que si estás con máquinas que tienen un cortafuegos propio a veces tienen ciertas operaciones restringidas al ámbito de su subred. No suele ser el caso de ping pero sí de otros servicios como la compartición de archivos e impresoras.

Saludos,

Josep Pujadas

setepeich

Gracias por tu respuesta, Josep.

Las "maquinas", una esta con windows 7 y la otra con XP, ambos cortafuegos desactivados.
Si con reglas lan te refieres a "firewall–> rules", tengo tanto en LAN, WAN e IPSEC reglas de paso total establecidas, sin ningun tipo de restriccion (salen todas las casillas con *).
En cuanto a los servicios, lo unico que me interesa es el VoIP, será la finalidad absoluta del tunel (si logro hacer que funcione, claro está, jaja) y se utilizarán equipos propietarios (telefonos IP, antenas dectIP y centralitas telefonicas IP).

Agrego la configuracion de mi interfáz wan, por si un caso haya metido la pata en cuanto a la configuración de modo local:

General Configuration:
Type: static
IP Address: 10.10.0.2/24
Gateway: 10.10.0.1
FTP Helper: Disable the userland FTP-Proxy application (tick)

en el otro pfsense la configuracion es a la inversa, ip 10.10.0.1/24 y gateway 10.10.0.2.
el resto de los parametros o estan desactivados o vacios.

setepeich

Actualizo:

He hecho un par de pruebas más, con unos resultados bastante curiosos:

Si en 172.26.1.1(pfsense1) desactivo el tunel, pero en 172.26.0.1(pfsense2) lo dejo activo, desde 172.26.1.100 puedo hacer ping perfectamente a 172.26.0.100 y a 172.26.0.1

Si en 172.26.0.1. desactivo el tunel, pero en 172.26.1.1 lo dejo activo, desde 172.26.0.100 no puedo hacer ping a 172.26.1.100, pero sí a 172.26.1.1

creo que algo raro se cuece aquí….

bellera

Para que la simulación te funcione correctamente entiendo que las WAN de los pfSense tienen que estar conectadas a un tramo de IPs públicas. Creo que por lo que dices estás con un rango privado:

http://es.wikipedia.org/wiki/Red_privada

Define las WAN como si estuvieran en un ámbito público y prueba…

setepeich

gracias por todo josep, he hecho como me has indicado, establecer el enlace wan con direcciones de ip de rango publico y ahora funciona perfectamente el tunel con OpenVPN. Con IPSEC aun no he probado, pero si el OpenVPN me vale para VoIP me quedare con este mismo. Ya os comentaré más en cuanto vaya avanzando el tema.

setepeich

He ampliado mi configuracion:

He cambiado la subred 172.26.1.0/24 por 192.168.0.0/24 , siendo ahora el PFSENSE de direccion 192.168.0.69 en vez de 172.26.0.1
Esta subred nueva es ya existente, y posee una GW en sus equipos que es 192.168.0.1
Sigo teniendo problemas de conectividad, y es que algunos host de 192.168.0.0 (incluida la central telefonica) no responden a ping, pero todos los host de 172.26.0.0 si contestan efectivamente. Se puede deber esto a que los equipos de 192.168.0.0 poseen como GW por defecto 192.168.0.1? si es asi tengo un problema y tendre que buscar otras opciones para probar, ya que no puedo cambiar la puerta de enlace de la centralita telefonica (esta dando servicio y no puedo cambiar su configuracion para hacer las pruebas).