Ajuda VPN



  • Pessoal estou precisando de uma ajuda na minha VPN.
    Quando entro no PFSense em status OpenVPN ela aparece como UP ou seja ela está funcionando…

    A rede da Matriz é 192.168.2.0/24 Filial 192.168.1.0/24

    Agora por que quando eu estou na rede exemplo 192.168.2.1 e pingo para a rede 192.168.1.1 ele não pinga.

    Regras Matriz Firewall Rules

    Regras Filial Firewall Rulles

    Status VPN



  • Verifique se o firewall do Windows (de ambas as estações) não está bloqueando o teu "icmp request"!

    Desative o fw do Windows e execute novamente o teste!

    Verifique também se você deixa pacotes ICMP saírem da sua LAN!

    Dica: Não deixe aberto na internet esta conexão UDP na sua WAN. Se tiveres um IP público fixo na filial, limite a conexão à esta origem!

    Abraços!
    Jack



  • Jackl então eu desativei o FW do windows e não funcionou…
    No caso você fala para eu criar uma regra nos dois FW para deixar pacotes ICMP

    Tem como me da uma explicada melhor nessa dica?

    @JackL:

    Verifique se o firewall do Windows (de ambas as estações) não está bloqueando o teu "icmp request"!

    Desative o fw do Windows e execute novamente o teste!

    Verifique também se você deixa pacotes ICMP saírem da sua LAN!

    Dica: Não deixe aberto na internet esta conexão UDP na sua WAN. Se tiveres um IP público fixo na filial, limite a conexão à esta origem!

    Abraços!
    Jack



  • Verifique também se você deixa pacotes ICMP saírem da sua LAN!

    leandro-mattos,

    O Jack se referiu a um a regra de ICMP na LAN.

    O pfsense é um firewall statefull então qualquer regra de acesso deve ser criada na interface onde a comunicação começa.

    Se você quer que uma maquina na LAN faça um ping, a regra fica na LAN.



  • Fala Marcello
    Então eu criei nos dois FW nas portas Lan lo protocolo ICMP olha ai

    Filial

    Matriz

    Não pinga ainda e as vpn's estão UP



  • @leandro-mattos:

    Não pinga ainda e as vpn's estão UP

    Execute um "tracert" da estação que está na rede da filial para o IP Virtual da VPN no pfSense que está na Matriz. Veja quais e quantos são os saltos e se o pacote consegue sair da LAN da sua filial e ir até o pfSense da Matriz!

    Abraços!
    Jack



  • Jackl
    então eu estou na rede da Matriz 192.168.2.0/24
    A rede da filial é 192.168.1.0/24

    conforme abaixo eu dei um tracert -d 192.168.1.1. que é o ip do firewall da filial não foi  :-\

    tracert -d 10.0.48.2 que o ip virtual da vpn no fw filial não foi tb :-\

    Agora da rede da Filial quando eu dou um tracert para o ip virtual 10.0.48.1 que é do fw matriz ele funciona



  • Por acaso você também liberou o tráfego de todas as conexões na guia "Firewall->Rules->OpenVPN" no firewall da filial ???

    Lembre-se que o fluxo de pacotes precisa estar liberado em ambas as pontas, senão a comunicação não ocorre!

    Abraços!
    Jack



  • Então Jackl

    da uma olha a regra foi feita no firewall filial  que estranho isso eu segui todos os passos do video tutoreal o que acho estranho que lincados eles estão pois a VPN está up só não estão se falando



  • @leandro-mattos:

    que acho estranho que lincados eles estão pois a VPN está up só não estão se falando

    Algo está claramente barrando a comunicação (bloqueando os pacotes) ou você está com algum problema de rota!

    Você consegue pingar do pfSense da Matriz no ip virtual do pfSense da Filial?

    Tem certeza que não é um antivírus na estação que está fazendo esta lambança?

    Você não está aplicando VPN sob LoadBalance, né?

    Abraços!
    Jack



  • Jackl acho que não por que seguinte…

    Eu entro no PFSense da Matriz e pingo da porta lan dele para porta lan da filial e não responde.

    Entro no PFSense da Filial e pingo da lan dele para a lan da matriz e não responde...

    ip matriz firewall 192.168.2.101
    ip filia firewall 192.168.1.1

    outra coisa eu nem uso o loading balancer



  • leandro-mattos,

    Pelo que vi você está criando uma rede virtual 10.0.x.x, correto?

    Verifique se a estação da matriz consegue pingar no ip da classe "10" que está no firewall da filial…?

    Use também o tcpdump pra checar se os pacotes estão indo de um lado pra outro. Assim você consegue ver onde foi que o fluxo foi barrado ou perdido?!

    Abraços!
    Jack



  • Correto Jackl
    então o virtual da matriz é 10.0.48.1
    filial 10.0.48.2

    Da lan do fw matriz ele pinga para o seu ip virtual 10.0.48.1

    Agora quando eu dou o ping para o ip do firewall filial ele não pinga..

    Uma coisa eu acho estranho quando eu dou o tracert da filial para matriz ele funciona agora da matriz para filial não

    Uma pequena duvida na filial eu uso dsl liguei o modem dsl no firewall será que pode ser no modem o bloqueio?



  • Uma pequena duvida na filial eu uso dsl liguei o modem dsl no firewall será que pode ser no modem o bloqueio?

    Se o túnel esta estabelecido, o modem não tem como saber o que passa por dentro da vpn.



  • Boa…
    Mais então o que pode ser isso marcello?

    A VPN está UP o que pode estar fazendo ela não funcionar?



  • Pessoal será que teria alguma regra para forçar essa liberação?

    Quer ver uma coisa que é interessante.
    Eu liberei o ssh para o firewall da filial e liberei a porta da http para acessar o webgui.
    mesmo o ip sendo dinamico quando eu pego o ip que foi atribuido a ele ele não me deixar entrar no firewall da como se estive-se desconectado…

    por isso que pensei que o modem pode estar bloqueando alguma coisa.



  • Você já conseguiu ver via tcpdump o que esta acontecendo com os pacotes?



  • Não acontece nada..



  • @leandro-mattos:

    Não acontece nada..

    Se você  não consegue sequer ver o pacote do cliente chegando no firewall, então você está com problemas de roteamento.

    supondo que re0 é usa lan e re1 sua wan e ipsec0 a interface do ipsec.

    monitore o que a estação esta tentando fazer…
    tcpdump -ni re0 host ip_da_estacao_de_teste

    monitore os pacotes criptografados saindo pela wan
    tcpdump -ni re1 host ip_do_servidor_remoto

    monitore o trafego dentro do tunel
    tcpdump -ni ipsec0

    verifique no seu pfsense como é o nome de cada interface antes de testar o tcpdump



  • Marcello vou fazer isso e te retorno…


Locked