OpenVpn Ayuda….!!!!
-
Estimados, necesito imperiosamente de su ayuda con OpenVPN. Paso a comentarles cual es el problema, los pasos que he seguido y cual es la falla:
Necesidad:
Cliente OpenVPN–----pfsense BOX con Openvpn cliente----(ADSL)--->Internet<------Firewall Linux + Openvpn-----(Lan)
La configuracion desde el Firewall Linux en adelante anda perfecto, el problema solo lo tengo con PFSense.
La necesidad es cambiar un equipo con linux en clientes, para que puedan ingresar a la empresa y darles a los administradores el beneficio de una interfaces gráfica.Al dia de hoy, todo funciona perfecto, cuando quiero hacer esto con pfsense, no puedo llegar a la LAN.
Una aclaracion:
WAN (wan) -> bge0 -> 192.168.3.3
LAN (lan) -> rl0 -> 192.168.1.1
DMZ (opt1) -> xl0 -> 10.1.1.1
VPN (opt2) -> ovpnc1 -> 192.168.100.10El tutorial que he seguido es este:
http://forum.pfsense.org/index.php?topic=29944.0El cual desde la caja pfsense, llego a toda la LAN, el problema lo tengo antes de la caja y no doy con el.
Si hago un pin desde pf veo esto con un tcpdump:
[2.0.2-RELEASE][;)]/root(4): tcpdump 'icmp[icmptype] = icmp-echo'
15:41:41.501576 IP 192.168.3.3 > 192.168.3.1: ICMP echo request, id 39460, seq 3328, length 4464 bytes from 192.168.16.250: icmp_seq=154 ttl=62 time=209.689 ms
Perfecto, llega el ping.
Adjunto un ifconfig[2.0.2-RELEASE][;)]/root(5): ifconfig
bge0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=c009b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,vlan_hwtso,linkstate>inet 192.168.3.3 netmask 0xffffff00 broadcast 192.168.3.255
nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
xl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=80009 <rxcsum,vlan_mtu,linkstate>inet 10.1.1.1 netmask 0xffffff00 broadcast 10.1.1.255
nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
pflog0: flags=100 <promisc>metric 0 mtu 33200
enc0: flags=0<> metric 0 mtu 1536
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
options=3 <rxcsum,txcsum>inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
nd6 options=43 <performnud,accept_rtadv>ovpnc1: flags=8051 <up,pointopoint,running,multicast>metric 0 mtu 1500
options=80000 <linkstate>inet 192.168.100.10 –> 192.168.100.9 netmask 0xffffffff
nd6 options=43 <performnud,accept_rtadv>Opened by PID 3006Algo que aqui no entiendo es lo siguiente, mi direccion WAN es 192.168.3.3 es una ip interna de mi ADSL, el ping no deberia salir por el ovpnc1...?
He creado como me indica el tutorial un regla con el gateway de la VPN
ID Proto Source Port Destination Port Gateway Queue Schedule Description
- LAN net * 192.168.16.0/24 * VPN none Lan
* LAN net * * * WANGW none Default allow LAN to any rule
Y he creado el Gateway, segun el tuto.
Desde ya agradezco su ayuda de antemano.</performnud,accept_rtadv></linkstate></up,pointopoint,running,multicast></performnud,accept_rtadv></rxcsum,txcsum></up,loopback,running,multicast></promisc></pointopoint,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,vlan_mtu,linkstate></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,vlan_hwtso,linkstate></up,broadcast,running,simplex,multicast>
- LAN net * 192.168.16.0/24 * VPN none Lan
-
Agrego algo mas, esto es lo que no puedo entender….
[2.0.2-RELEASE][;)]/root(6): pfctl -s nat
no nat proto carp all
nat-anchor "natearly/" all
nat-anchor "natrules/" all
nat on bge0 inet from 192.168.1.0/24 port = isakmp to any port = isakmp -> 192.168.3.3 port 500
nat on bge0 inet from 10.1.1.0/24 port = isakmp to any port = isakmp -> 192.168.3.3 port 500
nat on bge0 inet from 127.0.0.0/8 port = isakmp to any port = isakmp -> 192.168.3.3 port 500
nat on bge0 inet from 192.168.1.0/24 to any -> 192.168.3.3 port 1024:65535
nat on bge0 inet from 10.1.1.0/24 to any -> 192.168.3.3 port 1024:65535
nat on bge0 inet from 127.0.0.0/8 to any -> 192.168.3.3 port 1024:65535
no rdr proto carp all
rdr-anchor "relayd/" all
rdr-anchor "tftp-proxy/" all
rdr-anchor "miniupnpd" allpara llegar al rango 192.168.1.0/24 debería salir por 192.168.100.10, nunca por 192.168.3.3, la 192.168.3.3 es mi interface WAN, no mi interface vpn….
Por favor, pido su ayuda. Gracias.
-
-
Gracias, ya lo miro.
-
Hola, he revisado cuidadosamente tu tutorial y he seguido las instrucciones al pie. Pero sigue sin funcionar….!!!
Con la diferencia que ahora, sin definir una interface y un gateway, no llego desde el server pfsense.Tengo algunas preguntas, si podes ayudarme te lo agradecería.
- porque no has definido una interface...?
- si no tienes una interface, como enmascaro el trafico por el tunel...?
Esta es mi lista de rutas, las cuales se definen cuando el tunel se crea.
[2.0.2-RELEASE][;)]/root(16): netstat -anr
Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.3.1 UGS 0 17086 bge0
127.0.0.1 link#8 UH 0 723 lo0
192.168.1.0/24 link#2 U 0 24489 rl0
192.168.1.1 link#2 UHS 0 0 lo0
192.168.3.0/24 link#1 U 0 5682 bge0
192.168.3.3 link#1 UHS 0 0 lo0
192.168.16.0/24 192.168.100.9 UGS 0 333 ovpnc1
192.168.17.0/24 192.168.100.9 UGS 0 0 ovpnc1
192.168.100.0/24 192.168.100.9 UGS 0 0 ovpnc1
192.168.100.9 link#9 UH 0 0 ovpnc1
192.168.100.10 link#9 UHS 0 0 lo0este es un tcpdump de un ping desde la caja pfsense hacia una ip del tunel, como veras desde pfsense, tengo las rutas, pero no puedo hacer ping al destino.
Desde los clientes, tampoco funciona. -
- porque no has definido una interface…?
Pfsense por default toma la wan como interface para openvpn.
Oyes una pregunta, si tienes abierta las reglas para permitir el trafico entre pfsense y tu otra red? pfsense te abre una interface donde se colocan las reglas que permiten trafico entre las redes que deseas comunicar, por default estan cerradas, nada va a cruzar y del otro lado que dices es un linux igual.
Quien viene siendo el server openvpn, pfsense o tu linux?
Mira veo que estas en linea, si gustas mandame un mensaje privado, tengo mi gtalk abierto y podemos entablar una comunicacion y a lo mejor sacamos la bronca mas facil.
Como vez?
-
perfecto, te he enviado un post personal.
Mil gracias por tu ayuda, prometo hacer un tuto de esto.
Abz -
periko, te cuento por aqui un poco mas…
Mi server VPN en un linux con shorewall, este atiende a varios clientes OpenVPN y anda perfecto.
De hecho, la configuracion y los certificados los saco de mi maquina, la cual tiene permisos full, obvio para pruebas.
Pero con mis certificados, te da una ip que no tiene restricciones del lado Servidor.Ahora desde el cliente nuevo, la caja pfsense con los mismos certificados, puedo hacer ping a toda la red, donde esta el linux. Pero detras de la caja pfsense co puedo llegar a ningun lado....
intentare ilustrar este problema.
Lan_Cliente----Caja PFsense--------------------------------------------------DSL------------------------(Internet)-----Linux, el cual tiene shorewall + Openvpn------Lan
192.168.1.x/24 192.168.1.1/24 IP LAN PF
192.168.3.3/24 IP WAN PF 192.168.3.1/24 IP DSL, Gateway PF 192.168.16.0/24 IP LANdesde la 192.168.1.1 a cualquier ip de la red 192.168.16.0/24 perfecto. desde la ip 192.168.1.X/24 a la 192.168.16.X/24 no puedo llegar.
-
Bueno, ya terminado el diagrama y con un poco mas de tiempo, dejo el mismo por las dudas…
Sigo sin que esto funcione, si alguien me puede dar una mano, seria de mucha ayuda.
-
¿Qué tienes en Firewall - Rules - OpenVPN?
¿Qué dicen los logs en Status - System logs - OpenVPN?
¿Qué hay en Status - OpenVPN?
-
Me gustaria actualizar la info de Juan.lobonia, ya que trate de hecharle la mano en esto y no logramosa hacer esto operar.
Su red la tiene con Linux usando lo se llama enmascarado(masquerade), toda su comunicacion es atraves de OpenVPN, entonces pfsense tiene las reglas abiertas.
La VPN se establece, pfsense muestra en las rutas como llegar a las otras redes, todo parece estar bien.
Pfsense le pega a el linux-fw-router que es el que se encarga de controlar los acceso a la red 16.x/24,17x24.
linux-fw-router envia el trafico de OpenVPN a su OpenVPN server el cual esta en 192.168.17.10.
Se establece la comunicacion y ya linux-fw-router dice si pueden o no llegar a la red 16.x/24.Hasta aqui todo bien, ya de lado de pfsense, ningun paquete que este en la red 1.x/24 llega a la red 16.x, el unico que puede pegarle es el mismo pfsense 192.168.1.1, nadie mas.
El tiene otra red en el rango 88.x/24 que es tambien un Linux y todo opera sin problemas.
Entonces esta es la historia, espero haya aclarado un poco mas el problema, saludos!!!
-
Estimados, aqui les dejo un enlace, este contiene un doc con todas las capturas.
https://docs.google.com/leaf?id=1gmnCektctiz08RquiYPr0C7gNv_i64tgu0gVOoaI_Go
Espero podamos encontrar el error.
Gracias.
-
No veo bien las imágenes…
¡Lo siento!
-
Si eres tan amable de abrirlo con word desde windows este te permitira hacer un redimencionamiento de las imagenes.
Gracias.NOTA: descarga el archivo…
-
No está relacionado directamente al tema, pero, Juan, creo que es mejor que utilices la opción de adjuntar las imagenes al foro, es mejor y mucho mas simple que el uso de enlaces externos.
Abajo, "Additional Options" –> "Attach"
-
Gracias ptt, no queria subir tantas imagenes juntas.