Openvpn com Roteamento



  • Boa tarde.
    Talvez alguem possa me dar uma sugestão onde esta o problema.
    Estou com um tunel openvpn comunicado entre a filial e matriz.
    Ambiente esta assim:
    IP TUNEL:
    MATRIZ                      FILIAL
    10.10.10.1              10.10.10.2
    LAN MATRIZ            LAN FILIAL
    192.168.1.0/24    192.168.10.0/24

    Desta forma acima tanto a filial comunica com a matriz como a  matriz comunica coma filial.

    Na matriz eu tenho uma rede 192.168.50.0 cujo o gw dela é 192.168.1.1 (roteador satelite)
    Então para o pfsense cujo o ip (192.168.1.251) consegui chegar na rede 192.168.50.5 com o gw 192.168.1.1 tive que adicionar a rota no pfsense.
    Pois bem o pfsense (192.168.1.251) chega normalmente a rede 192.168.50.0/24.
    O problema que estou tendo e que tenho que fazer a filial também chegar na rede 192.168.50.0/24 pois a mesma só esta chegando na rede 192.168.1.0/24 (lan da matriz)

    Na filial utilizo iptables + openvpn e adiciono a rota da seguinte forma.
    route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.10.1 # Rede da Matriz
    route add -net 192.168.50.0 netmask 255.255.255.0 gw 10.10.10.1 # Rede Satelite Matriz.

    Ele adiciona a rota mas se eu rodar o tracert ele para o resultado no 10.10.10.1.
    Penso que deve ser algo no pfsense da matriz mas não sei o que pode ser.
    Caso alguem tiver alguma ideia agradeço



  • Se não estiver enganado, na custom options do openvpn você consegue especificar rotas adicionais.



  • Boa noite.
    Encontrei a opção na openvpn
    Advanced configuration

    Mas penso que não seria problema de rota na vpn da matriz, pois o server pfsense consegue acessar a rede do satelite.



  • E as regras na interface da VPN, já conferiu?



  • Obrigado mais uma vez.
    Sim para você ter uma ideia testei a mesma configuração porem no lugar o pfsense utilizei debian + iptables + openvpn no lugar o pfsense e a filial chega na rede 192.168.50.0 normalmente.
    Por este teste concluir que o problema esta no pfsene da matriz, pois as configurações são as mesmas na filial so alterando o servidor pfsense.
    O interessante que o pfsense chega normalmenete na rede 192.168.50.0, então a rota que adicionei nele esta funcionando.
    Agora na filial a rota para esta mesma rede esta adicionada porem ele não consegue.
    Esta parecendo para mim que o pfense não esta sabendo pegar a solicitação vinda pela vpn e direcionar para a rede 192.168.50.0.
    Agradeço novamente.



  • Se as regras de firewall para quem vem da VPN estao criadas, esta na hora de usar o bom e velho tcpdump para monitorar a chegada e a saída dos pacotes.



  • Bom dia.
    Marcelloc estou enviando o resultado do tcpdump da filial e da matriz.

    Resultado do tcpdump mandando um ping no ip 192.168.50.5
    10:30:50.899962 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 26558, length 60
    10:30:50.899996 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 26558, length 60
    10:30:50.900747 IP 10.10.10.2.51922 > 192.168.1.33.domain: 57845+ PTR? 2.10.10.10.in-addr.arpa. (41)
    10:30:51.919986 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 26814, length 60
    10:30:51.920021 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 26814, length 60
    10:30:52.678404 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 1, length 64
    10:30:52.842965 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 27070, length 60
    10:30:52.842998 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 27070, length 60
    10:30:53.687147 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 2, length 64

    Resultado do tcpdump analizando a interface que recebe conexão da filial.
    10:31:14.188039 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 101, length 64
    10:31:14.534060 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 52926, length 60
    10:31:14.589189 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 52926, length 60
    10:31:15.194425 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 102, length 64
    10:31:15.234984 IP 192.168.10.21.1163 > munguba.agrovale.com.br.55000: Flags ~~, seq 4214702093, win 65535, options [mss 1349,nop,nop,sackOK], length 0

    Pelo que entendi ele esta saindo da filial chegando na matriz mas não esta passando para a rede 192.168.50.5~~



  • O pacote está chegando IP 10.10.10.2 > 192.168.50.5: ICMP echo request

    Veja nas outras interfaces(LAN,WAN,etc…) se o pacote vai até a estação ou se ele morre na interface do openvpn.

    Nas regras de firewall que você liberou na interface do openvpn você lembrou de criar uma para icmp?



  • Marcellc lhe enviei como esta os rules.




  • Parece a lista de regras da LAN. Que regras você definiu na aba openvpn em firewall -> rules?



  • boa tarde.
    Marcelo separei as interfaces da openvpn por filiais.
    Segue em anexo.




  • Estou lhe enviando como defeni as rules.




  • Segue em anexo




  • Boa noite.
    O problema que a filial esta saindo conexão para o ip 192.168.50.5 porem não esta retornando.
    Para funcionar em ambiente debian tive que aplicar esta regra abaixo no firewall da matriz.
    $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    Agora a duvida, como seria esta mesma regra aplicada no pfsense?
    Agradeço novamente ajuda.



  • @gilmarcabral:

    Agora a duvida, como seria esta mesma regra aplicada no pfsense?

    firewall-> nat -> outbound



  • Boa noite.
    Analisando o problema realmente no retorno.
    A filial chega na rede 192.168.50.5 porem não tem o retorno.
    Isso se deve pois o GW da rede 192.168.50.0/25 é 192.168.1.1 este GW (ROTEADOR) não tenho acesso para mexer em configurações então a solução e mascarar a interface eth1 que assim ele ira repassar tudo.
    Tentei da forama que o marcellc informou ai mas mesmo assim não rolou.


Log in to reply