[OPENVPN] Problema con rutas.
-
Buenas, este es mi primer post y googleando caí con pfsense.
Lo instale y la verdad muy bueno, yo venia usando brazilfw (coyote) pero pfsense está muy bueno. Ahora se me presenta el siguiente problema:
Tengo un servidor con centos que hace de servidor VPN, actualmente funciona bien (eso creo). Ya tengo los certificados creados.
Ademas tengo otro servidor con centos que entre ellos están conectados punto a punto y funciona bien.
Bueno el problema está en que quiero conectar un pfsense al servidor centos VPN. Lo logro conectar, le otorga IP y todo funciona correctamente; desde el pfsense le pingueo al servidor vpn y responde pero el problema está en la creación de la ruta para los clientes del pfsense.
Yo tengo configurado en el servidor VPN la red 10.8.0.xxx. Al pc con pfsense se le otorga:
IP: 10.8.0.18.
Mascara: 255.255.255.252.pfsense crea una ruta para los paquetes de la red 10.8.xxx.xxx con gateway 10.8.0.17 cuando el gateway tendría que ser 10.8.0.1 que es la ip del servidorvpn y por eso no puedo acceder desde los clientes de pfsense a la red 10.8.0.xxx.
Mi idea es la siguiente para que lo entiendan:
Tres nodos.
1 nodo con servidor VPN (actualmente con centos).
2 nodos clientes VPN con clientes detras de ellos (serian un router). En estos nodos quiero utilizar QOS para darle preferencia a los paquetes de voz y ademas compartir el acceso a aplicaciones (de vez en cuando, rara vez se va a utilizar esto, salvo una urgencia).
Los nodos van a tener su propia conexión a internet, o sea desde el servidor vpn no tengo que compartir internet.
Desde los nodos quiero que se acceda no mas a la red del servidor VPN.Espero que se entienda y que se entienda mi problema. No se que es lo que me está pasando, por que otorga el gateway .17 y no el .1.
Slds.-
-
¡Hola!
Si te fijas en las opciones del servidor OpenVPN verás que mediante el comando push puedes enviar rutas a los clientes, http://www.bellera.cat/josep/pfsense/openvpn_cs.html#server
No me queda claro quién hace de servidor OpenVPN, si tu CentOS o tu pfSense.
En todo caso, consulta la documentación de OpenVPN porque se pueden enviar parámetros específicos con push.
Saludos,
Jospe Pujadas
-
Hacía el Centos.
Pero me convencí que me conviene utilizar pfsense en ambas puntas. Mañana voy a colocar el pfsense que me falta. Ya hice la prueba y funciona perfecto.Tengo dos preguntas:
1- En el pfsense servidor: Que encriptación me conviene utilizar para una VPN punto a punto.
Que encriptación me conviene utilizar para una VPN roadwarrior. Yo voy a tener acceso de varios clientes fueras de las redes que pertenecen a la VPN. Me conviene generar un certificado para cada cliente o uno general? Que configuración me recomiendan?.
Voy a conectar 2 puntos al servidor VPN. O sea, son 3 sucursales conectadas. Tengo que crear 2 configuraciones servidor diferentes? y ademas crear configuraciones roadwarrior?.2- ¿Como priorizo los paquetes VoIP en las VPN? ¿alguna guía?.
Gracias por tu respuesta, slds.-
-
¡Hola de nuevo!
En http://doc.pfsense.org/index.php/Are_cryptographic_accelerators_supported tienes algunos apuntes sobre criptografía. El método a emplear puede depender del hard que tengas…
En cuanto a los road-warrior lo mejo es generar un certificado de cliente para cada uno. De esta forma, si un road-warrior está comprometido puedes revocar su certificado.
Deberías crear una configuración OpenVPN para cada función que tengas. En la red que administro tengo road-warriors distintos. Esto es, dos servidores OpenVPN en mi pfSense, en puertos distintos. Una configuración es para profesorado y la otra para alumnado.
Esto es porque pueden interesarte rutas distintas, reglas de acceso distintas...
Para que la interfase te aparezca en reglas tienes que ir a [Interfaces] [Assign] y añadir tun0, tun1… Después hay que activar la interfase pero sin indicarle dirección IP (none). Esto es importante para poder ajustar el tráfico.
Sobre la priorización de VoIP sólo se me ocurre la solución de poner otro pfSense con Traffic Shaper por delante del que se encarga de las VPNs. Con la versión 1.2.3 no veo otra. Con la 2.0 beta no sé si se puede hacer.
LAN –- pfSense con Traffic Shaper --- pfSense con OpenVPN --- Internet
El problema principal es que Traffic Shaper es para "parejas" de intefases LAN/WAN. Y tu instalación se sale de este concepto. Piensa que estás tunelizando de LAN a LAN, con lo que VPN no es un entorno LAN/WAN.
Si quieres minimizar el hard plantéate virtualizar pfSense. Hay un empaquetado para hacerlo funcionar con vmware, pero las imágenes vmware también pueden emplearse con virtualbox u otros.
Saludos,
Josep Pujadas
-
Hola a todos. estoy probando tambien el OpenVPN y no logro que la pc que se conecta por el cliente del OpenVPN se comunique a otra pc en la lan, pero si se comunican al reves. mi lan es 192.168.1.0/24 y la red para el vpn es 192.168.3.0/24. estaba poniendo algo asi
push "route 192.168.1.0 255.255.255.0";push "route 192.168.3.0 255.255.255.0"
pero no dio resultado. desde ya muchas gracias -
¡Hola!
Tanto en el lado de pfSense como en el lado del cliente tienes logs que te dirán qué problema hay con la configuración.
El comando push sirve para que el servidor OpenVPN envíe órdenes al cliente (rutas, dns…) pero tiene que haberse establecido la conexión.
Sin duda tienes algún detalle que se te ha pasado por alto.
¡Suerte!
Josep Pujadas