Ajuda VPN
-
Pessoal estou precisando de uma ajuda na minha VPN.
Quando entro no PFSense em status OpenVPN ela aparece como UP ou seja ela está funcionando…A rede da Matriz é 192.168.2.0/24 Filial 192.168.1.0/24
Agora por que quando eu estou na rede exemplo 192.168.2.1 e pingo para a rede 192.168.1.1 ele não pinga.
Regras Matriz Firewall Rules
Regras Filial Firewall Rulles
Status VPN
-
Verifique se o firewall do Windows (de ambas as estações) não está bloqueando o teu "icmp request"!
Desative o fw do Windows e execute novamente o teste!
Verifique também se você deixa pacotes ICMP saírem da sua LAN!
Dica: Não deixe aberto na internet esta conexão UDP na sua WAN. Se tiveres um IP público fixo na filial, limite a conexão à esta origem!
Abraços!
Jack -
Jackl então eu desativei o FW do windows e não funcionou…
No caso você fala para eu criar uma regra nos dois FW para deixar pacotes ICMPTem como me da uma explicada melhor nessa dica?
Verifique se o firewall do Windows (de ambas as estações) não está bloqueando o teu "icmp request"!
Desative o fw do Windows e execute novamente o teste!
Verifique também se você deixa pacotes ICMP saírem da sua LAN!
Dica: Não deixe aberto na internet esta conexão UDP na sua WAN. Se tiveres um IP público fixo na filial, limite a conexão à esta origem!
Abraços!
Jack -
Verifique também se você deixa pacotes ICMP saírem da sua LAN!
leandro-mattos,
O Jack se referiu a um a regra de ICMP na LAN.
O pfsense é um firewall statefull então qualquer regra de acesso deve ser criada na interface onde a comunicação começa.
Se você quer que uma maquina na LAN faça um ping, a regra fica na LAN.
-
Fala Marcello
Então eu criei nos dois FW nas portas Lan lo protocolo ICMP olha aiFilial
Matriz
Não pinga ainda e as vpn's estão UP
-
Não pinga ainda e as vpn's estão UP
Execute um "tracert" da estação que está na rede da filial para o IP Virtual da VPN no pfSense que está na Matriz. Veja quais e quantos são os saltos e se o pacote consegue sair da LAN da sua filial e ir até o pfSense da Matriz!
Abraços!
Jack -
Jackl
então eu estou na rede da Matriz 192.168.2.0/24
A rede da filial é 192.168.1.0/24conforme abaixo eu dei um tracert -d 192.168.1.1. que é o ip do firewall da filial não foi :-\
tracert -d 10.0.48.2 que o ip virtual da vpn no fw filial não foi tb :-\
Agora da rede da Filial quando eu dou um tracert para o ip virtual 10.0.48.1 que é do fw matriz ele funciona
-
Por acaso você também liberou o tráfego de todas as conexões na guia "Firewall->Rules->OpenVPN" no firewall da filial ???
Lembre-se que o fluxo de pacotes precisa estar liberado em ambas as pontas, senão a comunicação não ocorre!
Abraços!
Jack -
Então Jackl
da uma olha a regra foi feita no firewall filial que estranho isso eu segui todos os passos do video tutoreal o que acho estranho que lincados eles estão pois a VPN está up só não estão se falando
-
que acho estranho que lincados eles estão pois a VPN está up só não estão se falando
Algo está claramente barrando a comunicação (bloqueando os pacotes) ou você está com algum problema de rota!
Você consegue pingar do pfSense da Matriz no ip virtual do pfSense da Filial?
Tem certeza que não é um antivírus na estação que está fazendo esta lambança?
Você não está aplicando VPN sob LoadBalance, né?
Abraços!
Jack -
Jackl acho que não por que seguinte…
Eu entro no PFSense da Matriz e pingo da porta lan dele para porta lan da filial e não responde.
Entro no PFSense da Filial e pingo da lan dele para a lan da matriz e não responde...
ip matriz firewall 192.168.2.101
ip filia firewall 192.168.1.1outra coisa eu nem uso o loading balancer
-
leandro-mattos,
Pelo que vi você está criando uma rede virtual 10.0.x.x, correto?
Verifique se a estação da matriz consegue pingar no ip da classe "10" que está no firewall da filial…?
Use também o tcpdump pra checar se os pacotes estão indo de um lado pra outro. Assim você consegue ver onde foi que o fluxo foi barrado ou perdido?!
Abraços!
Jack -
Correto Jackl
então o virtual da matriz é 10.0.48.1
filial 10.0.48.2Da lan do fw matriz ele pinga para o seu ip virtual 10.0.48.1
Agora quando eu dou o ping para o ip do firewall filial ele não pinga..
Uma coisa eu acho estranho quando eu dou o tracert da filial para matriz ele funciona agora da matriz para filial não
Uma pequena duvida na filial eu uso dsl liguei o modem dsl no firewall será que pode ser no modem o bloqueio?
-
Uma pequena duvida na filial eu uso dsl liguei o modem dsl no firewall será que pode ser no modem o bloqueio?
Se o túnel esta estabelecido, o modem não tem como saber o que passa por dentro da vpn.
-
Boa…
Mais então o que pode ser isso marcello?A VPN está UP o que pode estar fazendo ela não funcionar?
-
Pessoal será que teria alguma regra para forçar essa liberação?
Quer ver uma coisa que é interessante.
Eu liberei o ssh para o firewall da filial e liberei a porta da http para acessar o webgui.
mesmo o ip sendo dinamico quando eu pego o ip que foi atribuido a ele ele não me deixar entrar no firewall da como se estive-se desconectado…por isso que pensei que o modem pode estar bloqueando alguma coisa.
-
Você já conseguiu ver via tcpdump o que esta acontecendo com os pacotes?
-
Não acontece nada..
-
Não acontece nada..
Se você não consegue sequer ver o pacote do cliente chegando no firewall, então você está com problemas de roteamento.
supondo que re0 é usa lan e re1 sua wan e ipsec0 a interface do ipsec.
monitore o que a estação esta tentando fazer…
tcpdump -ni re0 host ip_da_estacao_de_testemonitore os pacotes criptografados saindo pela wan
tcpdump -ni re1 host ip_do_servidor_remotomonitore o trafego dentro do tunel
tcpdump -ni ipsec0verifique no seu pfsense como é o nome de cada interface antes de testar o tcpdump
-
Marcello vou fazer isso e te retorno…
