Problemas con IP estatica en el cliente OpenVpn
-
Buenas noches,
Ante todo, agradezco de forma anticipada la atención que puedan prestar y la colaboración que me puedan brindar ante mi incidente.
1.- El escenario:- Estoy ubicado en México.
- Servidor instalado: pfSense 1.2.3-RELEASE built on Sun Dec 6 23:21:36 EST 2009
- Hardware: VMware vSphere 4.0 update 1.
- Interfaz WAN: vía PPPoE (conectado a otro enlace ADSL exclusivo para la VPN)
- Interfaz LAN: 10.10.0.0/24
- VPN: OpenVpn (incluida en pfSense)
- Cliente vpn Versión 2.1.1 i686-pc-mingw32: Windows XP Service Pack2, corriendo sobre VirtualBox 3.2.6
- Configuración VPN, la indicada en el tutorial oficial de pfSense (http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN), con lan 192.168.200.0/24
- El certificado del cliente vpn fue creado con el script: build-key-pass, lo que me permite que el cliente vpn de manera forzada introduzca una contraseña para poder conectarse a la vpn (funciona correctamente).
- En la configuración del System Logs he activado: Log packets blocked by the default rule, así como tambien he activado: Show raw filter logs
- En las reglas establecidas en el Firewall (que son las indicadas por omisión en el tutorial: http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN) he activado la opción: Log packets that are handled by this rule de tal forma que me permita obtener mayor información del System Logs, y sin embargo no logro observar donde está el bloqueo.
- Todo funciona bien, si establezco que el cliente obtenga una dirección ip del pool: 192.168.200.0/24
2.- El objetivo:
-
Establecer reglas, que me permitan dar acceso a distintas sub-redes de tal forma que cada cliente vpn, solo pueda acceder a la sub-red a la cual tiene permiso, por ejemplo:
cliente1 –> lan1 y lan2
cliente2 --> lan2 y lan3
cliente3 --> lan1
Inclusive de ser posible, para algunos clientes vpn, solo tengan acceso a un host en particular, en lugar de toda una sub-red. -
Según mi investigación, la forma que he identificado para hacer realidad mi objetivo, es que el cliente vpn, tenga una dirección ip estática y posteriormente por reglas de firewall pueda definir a donde puede tener acceso.
-
Si estoy tomando una elección errada, o existe otro mecanismo que me permita establecer tal criterio de políticas de acceso, por favor indínquenmelo.
3.- El problema:
-
A partir de documentación conseguida por la red, puedo asignar a un cliente vpn según el common name una dirección ip estática en el campo Interface IP, lo cual he logrado satisfactoriamente colocando como valor: 192.168.200.1/30, pero cuando establezco dicho valor, ya no puedo conectarme a los hosts de mi interfaz LAN: 10.10.0.0/24
-
He realizado varias pruebas agregando reglas en el firewall de pfSense, sin lograr el objetivo.
-
He revisado Status –> System Logs --> Firewall, en la búsqueda de la posible regla que me esté impidiendo acceder a los hosts de mi LAN y no ha sido posible, de hecho, si dejo que el cliente VPN, obtenga la dirección ip de forma dinámica en lugar de la configuración estática funciona correctamente, lo cual me hace pensar que no hay ninguna regla que sea necesaria agregar.
-
Inclusive en la configuración específica del cliente he probado con colocar en Custom options push "route 10.10.0.0 255.255.255.0" y no obtengo resultados.
-
Dudo que sea un problema de enrutamiento, puesto que cuando ejecuto del lado del cliente el comando route print, obtengo la ruta agregada de forma satisfactoria.
Agradeciendo nuevamente el apoyo que me puedan brindar, me despido de ustedes.