Openvpn routing problem



  • Ciao a tutti,
    ho una configurazione di questo tipo:
    Un server OpenVPN in una sede che fa da centro stella e diverse sedi che si collegano in openvpn al centro stella come fossero dei client.
    Tutte le sedi devono potersi vedere tra loro come si si trattasse di un unica rete.
    Nel centro stella gira openvpn su un server linux, nelle sedi ho varie tipologie di firewall con openvpn.
    La configurazione funziona correttamente tranne che per la sede in cui il firewall è pfsense.

    Nella sede che ha problemi ho due macchine pfsense in carp per alta affidabilità e 2 adsl su cui faccio bilanciamento e failover, la sede stabilisce correttamente il tunnel openvpn ma i pacchetti sembrano non ruotare correttamente dai client della sede verso i server delle altre sedi.

    Per entrare un minimo nel dettaglio della configurazione la situazione è la seguente:

    Centrostella = subnet 10.0.0.0/24
    Sede A = subnet 10.0.1.0/24
    Sede B = subnet 10.0.2.0/24
    Sede C = subnet 10.0.3.0/24

    I client della sede C usano i due pfsense in carp come gateway.
    A livello di regole di firewall è consnetito tutto il traffico attraverso la VPN
    Nella sede C dovendo configurare OPENVPN in modalità CLIENT ho selezionato come INTERFACE l'ip virtuale del CARP della LAN.
    Il centrostella fa il PUSH delle rotte per tutte le altre sedi

    Le sedi A e B funzionano correttamente e dai client delle due sedi raggiungo quelli delle altre, mentre i client della sede C non vedono le macchine delle altre sedi.
    La cosa più strana è che la tabella di routing di pfsense è corretta, dalla shell di pfsense sia ping che traceroute funzionano correttamente ma quando lo faccio dai client non funziona più.

    Qualcuno ha idea di quale possa essere il problema? Ci sono degli accorgimenti particolari da seguire se voglio usare una connessione VPN su una configurazione in HA con CARP e multi WAN?
    Grazie



  • @violinipa:

    Ci sono degli accorgimenti particolari da seguire se voglio usare una connessione VPN su una configurazione in HA con CARP e multi WAN?

    Io mi concentrerei su questo. Purtroppo non ho abbastanza esperienza lato MultiWAN e HA per poterti aiutare..



  • Ciao,
    ho scoperto un elemento in più… il ping ed il traceroute dalla shell vengono originati dall'interfaccia OpenVPN mentre dall'interfaccia grafica non funzionano se originati dalla lan. A questo punto credo che il problema sia lato server. E' come se il server non conosca il percorso per rispondere alle richieste di ping.

    Ciao


Log in to reply