Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Openvpn com Roteamento

    Scheduled Pinned Locked Moved Portuguese
    16 Posts 2 Posters 5.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gilmarcabral
      last edited by

      Boa tarde.
      Talvez alguem possa me dar uma sugestão onde esta o problema.
      Estou com um tunel openvpn comunicado entre a filial e matriz.
      Ambiente esta assim:
      IP TUNEL:
      MATRIZ                      FILIAL
      10.10.10.1              10.10.10.2
      LAN MATRIZ            LAN FILIAL
      192.168.1.0/24    192.168.10.0/24

      Desta forma acima tanto a filial comunica com a matriz como a  matriz comunica coma filial.

      Na matriz eu tenho uma rede 192.168.50.0 cujo o gw dela é 192.168.1.1 (roteador satelite)
      Então para o pfsense cujo o ip (192.168.1.251) consegui chegar na rede 192.168.50.5 com o gw 192.168.1.1 tive que adicionar a rota no pfsense.
      Pois bem o pfsense (192.168.1.251) chega normalmente a rede 192.168.50.0/24.
      O problema que estou tendo e que tenho que fazer a filial também chegar na rede 192.168.50.0/24 pois a mesma só esta chegando na rede 192.168.1.0/24 (lan da matriz)

      Na filial utilizo iptables + openvpn e adiciono a rota da seguinte forma.
      route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.10.1 # Rede da Matriz
      route add -net 192.168.50.0 netmask 255.255.255.0 gw 10.10.10.1 # Rede Satelite Matriz.

      Ele adiciona a rota mas se eu rodar o tracert ele para o resultado no 10.10.10.1.
      Penso que deve ser algo no pfsense da matriz mas não sei o que pode ser.
      Caso alguem tiver alguma ideia agradeço

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Se não estiver enganado, na custom options do openvpn você consegue especificar rotas adicionais.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • G
          gilmarcabral
          last edited by

          Boa noite.
          Encontrei a opção na openvpn
          Advanced configuration

          Mas penso que não seria problema de rota na vpn da matriz, pois o server pfsense consegue acessar a rede do satelite.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            E as regras na interface da VPN, já conferiu?

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              gilmarcabral
              last edited by

              Obrigado mais uma vez.
              Sim para você ter uma ideia testei a mesma configuração porem no lugar o pfsense utilizei debian + iptables + openvpn no lugar o pfsense e a filial chega na rede 192.168.50.0 normalmente.
              Por este teste concluir que o problema esta no pfsene da matriz, pois as configurações são as mesmas na filial so alterando o servidor pfsense.
              O interessante que o pfsense chega normalmenete na rede 192.168.50.0, então a rota que adicionei nele esta funcionando.
              Agora na filial a rota para esta mesma rede esta adicionada porem ele não consegue.
              Esta parecendo para mim que o pfense não esta sabendo pegar a solicitação vinda pela vpn e direcionar para a rede 192.168.50.0.
              Agradeço novamente.

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                Se as regras de firewall para quem vem da VPN estao criadas, esta na hora de usar o bom e velho tcpdump para monitorar a chegada e a saída dos pacotes.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • G
                  gilmarcabral
                  last edited by

                  Bom dia.
                  Marcelloc estou enviando o resultado do tcpdump da filial e da matriz.

                  Resultado do tcpdump mandando um ping no ip 192.168.50.5
                  10:30:50.899962 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 26558, length 60
                  10:30:50.899996 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 26558, length 60
                  10:30:50.900747 IP 10.10.10.2.51922 > 192.168.1.33.domain: 57845+ PTR? 2.10.10.10.in-addr.arpa. (41)
                  10:30:51.919986 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 26814, length 60
                  10:30:51.920021 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 26814, length 60
                  10:30:52.678404 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 1, length 64
                  10:30:52.842965 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 27070, length 60
                  10:30:52.842998 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 27070, length 60
                  10:30:53.687147 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 2, length 64

                  Resultado do tcpdump analizando a interface que recebe conexão da filial.
                  10:31:14.188039 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 101, length 64
                  10:31:14.534060 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 52926, length 60
                  10:31:14.589189 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 52926, length 60
                  10:31:15.194425 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 102, length 64
                  10:31:15.234984 IP 192.168.10.21.1163 > munguba.agrovale.com.br.55000: Flags ~~, seq 4214702093, win 65535, options [mss 1349,nop,nop,sackOK], length 0

                  Pelo que entendi ele esta saindo da filial chegando na matriz mas não esta passando para a rede 192.168.50.5~~

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    O pacote está chegando IP 10.10.10.2 > 192.168.50.5: ICMP echo request

                    Veja nas outras interfaces(LAN,WAN,etc…) se o pacote vai até a estação ou se ele morre na interface do openvpn.

                    Nas regras de firewall que você liberou na interface do openvpn você lembrou de criar uma para icmp?

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • G
                      gilmarcabral
                      last edited by

                      Marcellc lhe enviei como esta os rules.

                      pf_rules.png
                      pf_rules.png_thumb

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        Parece a lista de regras da LAN. Que regras você definiu na aba openvpn em firewall -> rules?

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • G
                          gilmarcabral
                          last edited by

                          boa tarde.
                          Marcelo separei as interfaces da openvpn por filiais.
                          Segue em anexo.

                          pf_routes23.png
                          pf_routes23.png_thumb

                          1 Reply Last reply Reply Quote 0
                          • G
                            gilmarcabral
                            last edited by

                            Estou lhe enviando como defeni as rules.

                            rules22.png
                            rules22.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • G
                              gilmarcabral
                              last edited by

                              Segue em anexo

                              rules11.png
                              rules11.png_thumb

                              1 Reply Last reply Reply Quote 0
                              • G
                                gilmarcabral
                                last edited by

                                Boa noite.
                                O problema que a filial esta saindo conexão para o ip 192.168.50.5 porem não esta retornando.
                                Para funcionar em ambiente debian tive que aplicar esta regra abaixo no firewall da matriz.
                                $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE

                                Agora a duvida, como seria esta mesma regra aplicada no pfsense?
                                Agradeço novamente ajuda.

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  @gilmarcabral:

                                  Agora a duvida, como seria esta mesma regra aplicada no pfsense?

                                  firewall-> nat -> outbound

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gilmarcabral
                                    last edited by

                                    Boa noite.
                                    Analisando o problema realmente no retorno.
                                    A filial chega na rede 192.168.50.5 porem não tem o retorno.
                                    Isso se deve pois o GW da rede 192.168.50.0/25 é 192.168.1.1 este GW (ROTEADOR) não tenho acesso para mexer em configurações então a solução e mascarar a interface eth1 que assim ele ira repassar tudo.
                                    Tentei da forama que o marcellc informou ai mas mesmo assim não rolou.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.