Openvpn com Roteamento
-
Boa tarde.
Talvez alguem possa me dar uma sugestão onde esta o problema.
Estou com um tunel openvpn comunicado entre a filial e matriz.
Ambiente esta assim:
IP TUNEL:
MATRIZ FILIAL
10.10.10.1 10.10.10.2
LAN MATRIZ LAN FILIAL
192.168.1.0/24 192.168.10.0/24Desta forma acima tanto a filial comunica com a matriz como a matriz comunica coma filial.
Na matriz eu tenho uma rede 192.168.50.0 cujo o gw dela é 192.168.1.1 (roteador satelite)
Então para o pfsense cujo o ip (192.168.1.251) consegui chegar na rede 192.168.50.5 com o gw 192.168.1.1 tive que adicionar a rota no pfsense.
Pois bem o pfsense (192.168.1.251) chega normalmente a rede 192.168.50.0/24.
O problema que estou tendo e que tenho que fazer a filial também chegar na rede 192.168.50.0/24 pois a mesma só esta chegando na rede 192.168.1.0/24 (lan da matriz)Na filial utilizo iptables + openvpn e adiciono a rota da seguinte forma.
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.10.1 # Rede da Matriz
route add -net 192.168.50.0 netmask 255.255.255.0 gw 10.10.10.1 # Rede Satelite Matriz.Ele adiciona a rota mas se eu rodar o tracert ele para o resultado no 10.10.10.1.
Penso que deve ser algo no pfsense da matriz mas não sei o que pode ser.
Caso alguem tiver alguma ideia agradeço -
Se não estiver enganado, na custom options do openvpn você consegue especificar rotas adicionais.
-
Boa noite.
Encontrei a opção na openvpn
Advanced configurationMas penso que não seria problema de rota na vpn da matriz, pois o server pfsense consegue acessar a rede do satelite.
-
E as regras na interface da VPN, já conferiu?
-
Obrigado mais uma vez.
Sim para você ter uma ideia testei a mesma configuração porem no lugar o pfsense utilizei debian + iptables + openvpn no lugar o pfsense e a filial chega na rede 192.168.50.0 normalmente.
Por este teste concluir que o problema esta no pfsene da matriz, pois as configurações são as mesmas na filial so alterando o servidor pfsense.
O interessante que o pfsense chega normalmenete na rede 192.168.50.0, então a rota que adicionei nele esta funcionando.
Agora na filial a rota para esta mesma rede esta adicionada porem ele não consegue.
Esta parecendo para mim que o pfense não esta sabendo pegar a solicitação vinda pela vpn e direcionar para a rede 192.168.50.0.
Agradeço novamente. -
Se as regras de firewall para quem vem da VPN estao criadas, esta na hora de usar o bom e velho tcpdump para monitorar a chegada e a saída dos pacotes.
-
Bom dia.
Marcelloc estou enviando o resultado do tcpdump da filial e da matriz.Resultado do tcpdump mandando um ping no ip 192.168.50.5
10:30:50.899962 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 26558, length 60
10:30:50.899996 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 26558, length 60
10:30:50.900747 IP 10.10.10.2.51922 > 192.168.1.33.domain: 57845+ PTR? 2.10.10.10.in-addr.arpa. (41)
10:30:51.919986 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 26814, length 60
10:30:51.920021 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 26814, length 60
10:30:52.678404 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 1, length 64
10:30:52.842965 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 27070, length 60
10:30:52.842998 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 27070, length 60
10:30:53.687147 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 2, length 64Resultado do tcpdump analizando a interface que recebe conexão da filial.
10:31:14.188039 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 101, length 64
10:31:14.534060 IP 10.10.10.1 > 10.10.10.2: ICMP echo request, id 42410, seq 52926, length 60
10:31:14.589189 IP 10.10.10.2 > 10.10.10.1: ICMP echo reply, id 42410, seq 52926, length 60
10:31:15.194425 IP 10.10.10.2 > 192.168.50.5: ICMP echo request, id 24258, seq 102, length 64
10:31:15.234984 IP 192.168.10.21.1163 > munguba.agrovale.com.br.55000: Flags ~~, seq 4214702093, win 65535, options [mss 1349,nop,nop,sackOK], length 0Pelo que entendi ele esta saindo da filial chegando na matriz mas não esta passando para a rede 192.168.50.5~~
-
O pacote está chegando IP 10.10.10.2 > 192.168.50.5: ICMP echo request
Veja nas outras interfaces(LAN,WAN,etc…) se o pacote vai até a estação ou se ele morre na interface do openvpn.
Nas regras de firewall que você liberou na interface do openvpn você lembrou de criar uma para icmp?
-
Marcellc lhe enviei como esta os rules.
-
Parece a lista de regras da LAN. Que regras você definiu na aba openvpn em firewall -> rules?
-
boa tarde.
Marcelo separei as interfaces da openvpn por filiais.
Segue em anexo.
-
Estou lhe enviando como defeni as rules.
-
Segue em anexo
-
Boa noite.
O problema que a filial esta saindo conexão para o ip 192.168.50.5 porem não esta retornando.
Para funcionar em ambiente debian tive que aplicar esta regra abaixo no firewall da matriz.
$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADEAgora a duvida, como seria esta mesma regra aplicada no pfsense?
Agradeço novamente ajuda. -
Agora a duvida, como seria esta mesma regra aplicada no pfsense?
firewall-> nat -> outbound
-
Boa noite.
Analisando o problema realmente no retorno.
A filial chega na rede 192.168.50.5 porem não tem o retorno.
Isso se deve pois o GW da rede 192.168.50.0/25 é 192.168.1.1 este GW (ROTEADOR) não tenho acesso para mexer em configurações então a solução e mascarar a interface eth1 que assim ele ira repassar tudo.
Tentei da forama que o marcellc informou ai mas mesmo assim não rolou.