Problemas con rutas OpenVPN
-
Buenas tardes a todos estimados, aca estoy una vez mas buscando un poco de ayuda.
Escenario:
Un equipo con pfsense en la locacion A. Toma ip dinamica de nuestro isp y tiene configurado un host de no-ip.
Lan: 192.168.0.0/24
Tiene configurado un balanceo de carga pero no lo estamos usando dado que de momento tenemos una sola salida a internet.
Servidor de opwnvpn configurado en el pfsense segun guia de bellera y howto de la pag oficial (howto site-to-site open vpn).Un equipo con pfsense en la locacion B. Tambien toma una ip dinamica de nuestro proveedor pero esta casi nunca cambia.
Lan: 192.168.1.0/24
Tiene configurado el cliente openvpn en el pfsense tambien siguiendo las guias anteriores.La autenticacion del tunel se establece con shred-key. El rango de ip utilizado es 192.168.2.0/30 (/30 es recomendado en el howto mencionado).
Problema:
El tunel se establece sin problemas. No da errores en los logs de la vpn en ambos extremos. El poblema es que desde la lan cliente no llego a la lan
servidor, a ningun equipo ni tampoco la LAN del pfsense (gestion).Tener en cuenta que a modo se prueba tambien probe con incluir una regla en la lan y la wan de ambos pfsense permitiendo todo el trafico TCP/UDP
desde cualquier ip/puerto a cualquier ip/puerto (prueba recomendada por bellera en uno de los tantos hilos que lei).Intento adjuntor capturas de las configuraciones de ambos etremos tanto de la vpn como de las rutas pero no me deja, permite un espacio reducido.
Si necesitan alguna me notifican y la subo.Les agradezco si saben ue es lo que peude estar pasando. Cualquier prueba que se les ocurra me lo indican y a l brevedad lo pruebo. Si necesitan
mas informacion de las configuraciones tambien me avisan.Muchas gracias y saludos!!
-
¡Hola!
Ahí no sirven reglas en WAN. Puesto que el túnel va de LAN a LAN…
Una conexión OpenVPN llega a la LAN de cada lado.
Asegúrate de tener rangos distintos a cada lado.
Supongo que ya tuviste en cuenta que un lado es server y el otro client.
Pon en primer lugar una regla en cada LAN que sea permitir todo, no sólo TCP/UDP y prueba. Es decir, que se vea la regla con todo asteriscos.
-
Buenas noches desde Montevideo Josep.
Como siempre muchas gracias por la ayuda.
Probé crear las reglas que me indicaste y logre llegar por ping desde el server al cliente pero no del cliente
al server. Luego de revisar absolutamente toda la configuracion encontre algun checkbox que no debia ir marcado, ademas
que mi lan estaba en bridge con mi wan. Luego de cambiar estas cosas reinicie el firewall y todo funciono ok.Para descartar problemas de filtrado deshabilite las reglas creadas hace instantes y todo continuo funcionando ok.
Agradezco la repsuesta.
Ahora que tengo mi VPN voy a probar establecer comunicaciones VoIP. En lan ya lo he probado y funciona ok con un servidor trixbox pero por internet directamente no ya que en mi pais los proovedores de internet tienen el monopolio de la telefonia fija y por
esto bloquean los paqeutes de voip.
Mi idea ahora es probar si mi paquete puede pasar de un extremo a otro de mi tunel sin ser interceptado y bloqueado :DMuchas gracias a todos y espero poder hacer mis aportes a la comunidad.
Saludos!! -
¡Felicidades!
Por cierto, existe un truco para tener reglas en el tráfico OpenVPN.
Consiste en añadir las interfases tun creadas y activarlas, sin configurarles nada. De hecho aparece la palabra none en la configuración de la IP.
A partir de esto, aparece una pestaña en rules que permite ajustar los permisos de la VPN.
-
Excelente josep! lo voy a probar y luego les cuento como me fue!
Saludos y muchas gracias nuevamente!
