Problema de comunicação VPN



  • Boa tarde, pessoal. Tenho um conhecimento razoável em redes, porém, sou novo no pfsense. Em um ambiente de teste configurei dois servidores PFsense em redes distintas para teste de VPN. Na empresa que trabalho temos 2 links de internet, um embratel e outro GVT, sendo que o GVT é utilizado um modem/roteador para a devida autenticação (ADSL residencial básica).

    No link da GVT
    Criei uma NAT no modem onde toda requisição na porta 1194 fosse redirecionado para o ip da interface WAN do meu servidor pfsense que é 192.168.100.105.

    No link da Embratel
    Reservei um ip válido de web para o servidor PFSense, criei uma nat no firewall onde este ip válido da web fosse redirecionado para a interface wan do servidor PFSense com ip 10.1.10.241. Liberei todas as portas de qualquer origem para se conectar neste servidor. Liberei também todas as portas para qualquer destino, ou seja, o servidor está totalmente liberado para a web.
    Boa tarde, pessoal. Tenho um conhecimento razoável em redes, porém, sou novo no pfsense. Em um ambiente de teste configurei dois servidores PFsense em redes distintas para teste de VPN. Na empresa que trabalho temos 2 links de internet, um embratel e outro GVT, sendo que o GVT é utilizado um modem/roteador para a devida autenticação (ADSL residencial básica).

    No link da GVT
    Criei uma NAT no modem onde toda requisição na porta 1194 fosse redirecionado para o ip da interface WAN do meu servidor pfsense que é 192.168.100.105.

    No link da Embratel
    Reservei um ip válido de web para o servidor PFSense, criei uma nat no firewall onde este ip válido da web fosse redirecionado para a interface wan do servidor PFSense com ip 10.1.10.241. Liberei todas as portas de qualquer origem para se conectar neste servidor. Liberei também todas as portas para qualquer destino, ou seja, o servidor está totalmente liberado para a web.
    Para saber se a regra estava efetivamente funcionando redirecionei, temporariamente, as requisições para um computador windows XP e testei a conexão de área de trabalho remota, consegui conectar normalmente.

    Segue algumas imagens de minha configuração:

    MATRIZ:
    Status da VPN http://imageshack.us/f/841/linkupservidor.jpg/
    Regra de firewall http://imageshack.us/f/109/firewallservidor2.jpg/
    Regra firewall Wan: http://imageshack.us/f/252/firewallservidor.jpg/
    Configuração VPN: http://imageshack.us/f/109/configuraoservidor.jpg/

    FILIAL:
    Status VPN http://imageshack.us/f/703/linkupcliente.jpg/
    Regra de firewall: http://imageshack.us/f/638/firewallcliente2.jpg/
    Regra de firewall OpenVPN: http://imageshack.us/f/36/firewallcliente.jpg/
    Configuração VPN: http://imageshack.us/f/204/configuraocliente.jpg/

    Pelos status da VPN estou com as duas redes conectadas, porém, não consigo obter nenhuma comunicação entre elas, nem mesmo um ping.

    Desde já agradeço a atenção e presteza de todos.



  • Paulo,

    seja bem vindo a o forum.. não conseguir ver qual é o problema.. tem como explicar melhor.. vc pode modificar o seu post.

    Uma dica, o pfsense  pode autenticar sem problemas na GVT ou em qualquer adsl, deste que o modem esteja em bridge, acho melhor e evita muitos problemas, do que deixar o modem ser o router….



  • @mantunespb:

    Paulo,

    seja bem vindo a o forum.. não conseguir ver qual é o problema.. tem como explicar melhor.. vc pode modificar o seu post.

    Uma dica, o pfsense  pode autenticar sem problemas na GVT ou em qualquer adsl, deste que o modem esteja em bridge, acho melhor e evita muitos problemas, do que deixar o modem ser o router….

    Dei uma modificada, detalhei o cenário e tinha esquecido de informar o problema…rsrsrsr foi mal...

    Com questão do pfsense ser o autenticador, eu não configuro pois é somente um teste temporário, ele será desligado e talvez efetivado apenas no link da embratel mesmo.



  • Para VPN funcionar tem que está em faixa diferentes.

    matriz = 192.168.100.105 / 10.1.10.241
    filial = 192.168.110.105 / 10.1.20.241



  • @mantunespb:

    Para VPN funcionar tem que está em faixa diferentes.

    matriz = 192.168.100.105 / 10.1.10.241
    filial = 192.168.110.105 / 10.1.20.241

    Não posso deixá-las na mesma faixa?

    Matriz:
    LAN: 10.1.14.122/16
    WAN: 10.1.10.241/16 Sendo que aqui tem-se um nat que recebe toda requisição de meu ip público.

    Filial:
    LAN: 10.1.50.50/16
    WAN: 192.168.100.105/27 Neste ip tem-se um nat que recebe toda requisição do ip público.

    Valeu!



  • VPN para funcionar a sua rede local tem que está em faixa diferentes.

    aqui tem um bom exemplo..

    http://jamsux.wordpress.com/2009/09/15/pfsense-openvpn-site-to-site/



  • @mantunespb:

    VPN para funcionar a sua rede local tem que está em faixa diferentes.

    aqui tem um bom exemplo..

    http://jamsux.wordpress.com/2009/09/15/pfsense-openvpn-site-to-site/

    Alterei e mesmo assim não funcionou.

    Matriz:
    LAN: 10.1.14.122/16
    WAN: 10.1.10.241/16 Sendo que aqui tem-se um nat que recebe toda requisição de meu ip público.

    Filial:
    LAN: 10.2.50.50/16
    WAN: 192.168.100.105/27 Neste ip tem-se um nat que recebe toda requisição do ip público.



  • Acredito que tem que adicionar regras liberando a sua LAN para VPN tambem..

    Faz um teste cria uma regra LAN to any…



  • @mantunespb:

    Acredito que tem que adicionar regras liberando a sua LAN para VPN tambem..

    Faz um teste cria uma regra LAN to any…

    No firewall da matriz e filial criei a regra de any to LAN e LAN to any.
    Criei também a regra para a wan e mesmo assim não funcionou. Sinceramente não tenho mais idéia do que fazer…rs
    Me mandem uma luz ae...srrsrs Valeu!



  • PaulDevil,

    Cole aqui as telas com as regras de firewall e as configurações da VPN que fizestes… Assim fica muito mais fácil te ajudar! ;)

    Abraços!
    Jack



  • @JackL:

    PaulDevil,

    Cole aqui as telas com as regras de firewall e as configurações da VPN que fizestes… Assim fica muito mais fácil te ajudar! ;)

    Abraços!
    Jack

    Nos links do post de abertura do tópico estão todas as telas. Abraço!



  • voce esta usando uma mascara de rede /16 nas duas lans, o que torna 10.1.14 e 10.1.50 parte da mesma rede local.

    uma maquina com ip 10.1.14.5/16 entende que 10.1.50.5/16 esta na mesma rede e sendo assim nao precisa mandar nada para o gateway/vpn

    voce ja corrigiu isso?

    ja colocou o tcpdump para rodar na lan do firewall para ver se os pacotes estao chegando?



  • Alterei e mesmo assim não funcionou.

    Matriz:
    LAN: 10.1.14.122/16
    WAN: 10.1.10.241/16 Sendo que aqui tem-se um nat que recebe toda requisição de meu ip público.

    Filial:
    LAN: 10.2.50.50/16
    WAN: 192.168.100.105/27 Neste ip tem-se um nat que recebe toda requisição do ip público.

    Marcelo,

    a faixa esta ocorreta.. se fosse /8 era que estaria na mesma faixa.. 10.x.x.x/8.

    Estou desconfiado deste NAT nos routeadores para pfsense, apesar do openvpn funcionar, deste que bem configurado. mesmo
    assim sou defensor do proprio pfsense fazer essa conexão.



  • @mantunespb:

    a faixa esta ocorreta.. se fosse /8 era que estaria na mesma faixa.. 10.x.x.x/8.

    A minha dúvida era se a configuração já estava com 10.1 e 10.2 de qualquer forma, /16 é uma rede muito grande. Se existe mesmo esta quantidade de máquinas, é melhor segmentar a rede.



  • @marcelloc:

    @mantunespb:

    a faixa esta ocorreta.. se fosse /8 era que estaria na mesma faixa.. 10.x.x.x/8.

    A minha dúvida era se a configuração já estava com 10.1 e 10.2 de qualquer forma, /16 é uma rede muito grande. Se existe mesmo esta quantidade de máquinas, é melhor segmentar a rede.

    Na verdade a rede é emulada, apenas uma estação está na rede de cada máquina, como falei estou apenas efetuando uns testes. Irei efetuar a configuração do zero novamente, já alterei tantas coisas que talvez já tenha danificado algo…rs Irei efetuar toda a configuração novamente e posto aqui o resultado... Desta vez irei utilizar uma máscara de 27 bits para suprimir a quantidade de hosts e ver no que vai dá. Só vou demorar um pouco para postar o resultado, por conta de algumas mudanças pessoais, mas até 27/04/2012 eu posto aqui e se for o caso trago mais dúvidas...rs

    Abraço!


Log in to reply