Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ajuda VPN

    Scheduled Pinned Locked Moved Portuguese
    20 Posts 3 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      leandro-mattos
      last edited by

      Pessoal estou precisando de uma ajuda na minha VPN.
      Quando entro no PFSense em status OpenVPN ela aparece como UP ou seja ela está funcionando…

      A rede da Matriz é 192.168.2.0/24 Filial 192.168.1.0/24

      Agora por que quando eu estou na rede exemplo 192.168.2.1 e pingo para a rede 192.168.1.1 ele não pinga.

      Regras Matriz Firewall Rules

      Regras Filial Firewall Rulles

      Status VPN

      1 Reply Last reply Reply Quote 0
      • JackLJ
        JackL
        last edited by

        Verifique se o firewall do Windows (de ambas as estações) não está bloqueando o teu "icmp request"!

        Desative o fw do Windows e execute novamente o teste!

        Verifique também se você deixa pacotes ICMP saírem da sua LAN!

        Dica: Não deixe aberto na internet esta conexão UDP na sua WAN. Se tiveres um IP público fixo na filial, limite a conexão à esta origem!

        Abraços!
        Jack

        Treinamentos de Elite: http://sys-squad.com
        Soluções: https://conexti.com.br

        1 Reply Last reply Reply Quote 0
        • L
          leandro-mattos
          last edited by

          Jackl então eu desativei o FW do windows e não funcionou…
          No caso você fala para eu criar uma regra nos dois FW para deixar pacotes ICMP

          Tem como me da uma explicada melhor nessa dica?

          @JackL:

          Verifique se o firewall do Windows (de ambas as estações) não está bloqueando o teu "icmp request"!

          Desative o fw do Windows e execute novamente o teste!

          Verifique também se você deixa pacotes ICMP saírem da sua LAN!

          Dica: Não deixe aberto na internet esta conexão UDP na sua WAN. Se tiveres um IP público fixo na filial, limite a conexão à esta origem!

          Abraços!
          Jack

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Verifique também se você deixa pacotes ICMP saírem da sua LAN!

            leandro-mattos,

            O Jack se referiu a um a regra de ICMP na LAN.

            O pfsense é um firewall statefull então qualquer regra de acesso deve ser criada na interface onde a comunicação começa.

            Se você quer que uma maquina na LAN faça um ping, a regra fica na LAN.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • L
              leandro-mattos
              last edited by

              Fala Marcello
              Então eu criei nos dois FW nas portas Lan lo protocolo ICMP olha ai

              Filial

              Matriz

              Não pinga ainda e as vpn's estão UP

              1 Reply Last reply Reply Quote 0
              • JackLJ
                JackL
                last edited by

                @leandro-mattos:

                Não pinga ainda e as vpn's estão UP

                Execute um "tracert" da estação que está na rede da filial para o IP Virtual da VPN no pfSense que está na Matriz. Veja quais e quantos são os saltos e se o pacote consegue sair da LAN da sua filial e ir até o pfSense da Matriz!

                Abraços!
                Jack

                Treinamentos de Elite: http://sys-squad.com
                Soluções: https://conexti.com.br

                1 Reply Last reply Reply Quote 0
                • L
                  leandro-mattos
                  last edited by

                  Jackl
                  então eu estou na rede da Matriz 192.168.2.0/24
                  A rede da filial é 192.168.1.0/24

                  conforme abaixo eu dei um tracert -d 192.168.1.1. que é o ip do firewall da filial não foi  :-\

                  tracert -d 10.0.48.2 que o ip virtual da vpn no fw filial não foi tb :-\

                  Agora da rede da Filial quando eu dou um tracert para o ip virtual 10.0.48.1 que é do fw matriz ele funciona

                  1 Reply Last reply Reply Quote 0
                  • JackLJ
                    JackL
                    last edited by

                    Por acaso você também liberou o tráfego de todas as conexões na guia "Firewall->Rules->OpenVPN" no firewall da filial ???

                    Lembre-se que o fluxo de pacotes precisa estar liberado em ambas as pontas, senão a comunicação não ocorre!

                    Abraços!
                    Jack

                    Treinamentos de Elite: http://sys-squad.com
                    Soluções: https://conexti.com.br

                    1 Reply Last reply Reply Quote 0
                    • L
                      leandro-mattos
                      last edited by

                      Então Jackl

                      da uma olha a regra foi feita no firewall filial  que estranho isso eu segui todos os passos do video tutoreal o que acho estranho que lincados eles estão pois a VPN está up só não estão se falando

                      1 Reply Last reply Reply Quote 0
                      • JackLJ
                        JackL
                        last edited by

                        @leandro-mattos:

                        que acho estranho que lincados eles estão pois a VPN está up só não estão se falando

                        Algo está claramente barrando a comunicação (bloqueando os pacotes) ou você está com algum problema de rota!

                        Você consegue pingar do pfSense da Matriz no ip virtual do pfSense da Filial?

                        Tem certeza que não é um antivírus na estação que está fazendo esta lambança?

                        Você não está aplicando VPN sob LoadBalance, né?

                        Abraços!
                        Jack

                        Treinamentos de Elite: http://sys-squad.com
                        Soluções: https://conexti.com.br

                        1 Reply Last reply Reply Quote 0
                        • L
                          leandro-mattos
                          last edited by

                          Jackl acho que não por que seguinte…

                          Eu entro no PFSense da Matriz e pingo da porta lan dele para porta lan da filial e não responde.

                          Entro no PFSense da Filial e pingo da lan dele para a lan da matriz e não responde...

                          ip matriz firewall 192.168.2.101
                          ip filia firewall 192.168.1.1

                          outra coisa eu nem uso o loading balancer

                          1 Reply Last reply Reply Quote 0
                          • JackLJ
                            JackL
                            last edited by

                            leandro-mattos,

                            Pelo que vi você está criando uma rede virtual 10.0.x.x, correto?

                            Verifique se a estação da matriz consegue pingar no ip da classe "10" que está no firewall da filial…?

                            Use também o tcpdump pra checar se os pacotes estão indo de um lado pra outro. Assim você consegue ver onde foi que o fluxo foi barrado ou perdido?!

                            Abraços!
                            Jack

                            Treinamentos de Elite: http://sys-squad.com
                            Soluções: https://conexti.com.br

                            1 Reply Last reply Reply Quote 0
                            • L
                              leandro-mattos
                              last edited by

                              Correto Jackl
                              então o virtual da matriz é 10.0.48.1
                              filial 10.0.48.2

                              Da lan do fw matriz ele pinga para o seu ip virtual 10.0.48.1

                              Agora quando eu dou o ping para o ip do firewall filial ele não pinga..

                              Uma coisa eu acho estranho quando eu dou o tracert da filial para matriz ele funciona agora da matriz para filial não

                              Uma pequena duvida na filial eu uso dsl liguei o modem dsl no firewall será que pode ser no modem o bloqueio?

                              1 Reply Last reply Reply Quote 0
                              • marcellocM
                                marcelloc
                                last edited by

                                Uma pequena duvida na filial eu uso dsl liguei o modem dsl no firewall será que pode ser no modem o bloqueio?

                                Se o túnel esta estabelecido, o modem não tem como saber o que passa por dentro da vpn.

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • L
                                  leandro-mattos
                                  last edited by

                                  Boa…
                                  Mais então o que pode ser isso marcello?

                                  A VPN está UP o que pode estar fazendo ela não funcionar?

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    leandro-mattos
                                    last edited by

                                    Pessoal será que teria alguma regra para forçar essa liberação?

                                    Quer ver uma coisa que é interessante.
                                    Eu liberei o ssh para o firewall da filial e liberei a porta da http para acessar o webgui.
                                    mesmo o ip sendo dinamico quando eu pego o ip que foi atribuido a ele ele não me deixar entrar no firewall da como se estive-se desconectado…

                                    por isso que pensei que o modem pode estar bloqueando alguma coisa.

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      Você já conseguiu ver via tcpdump o que esta acontecendo com os pacotes?

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • L
                                        leandro-mattos
                                        last edited by

                                        Não acontece nada..

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          @leandro-mattos:

                                          Não acontece nada..

                                          Se você  não consegue sequer ver o pacote do cliente chegando no firewall, então você está com problemas de roteamento.

                                          supondo que re0 é usa lan e re1 sua wan e ipsec0 a interface do ipsec.

                                          monitore o que a estação esta tentando fazer…
                                          tcpdump -ni re0 host ip_da_estacao_de_teste

                                          monitore os pacotes criptografados saindo pela wan
                                          tcpdump -ni re1 host ip_do_servidor_remoto

                                          monitore o trafego dentro do tunel
                                          tcpdump -ni ipsec0

                                          verifique no seu pfsense como é o nome de cada interface antes de testar o tcpdump

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • L
                                            leandro-mattos
                                            last edited by

                                            Marcello vou fazer isso e te retorno…

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.