Acceso a cliente OpenVPN
-
Hola tod@s, primero presentarme. Soy nuevo y llevo algunos días trabajando con Pfsense.
Hace un par días que trabajo en una configuración, que ya dudo si es posible. Les cuento…
Tengo un pfsense funcionando como servidor openvpn y varios clientes (con software cliente de windows) conectados. Detrás del pfsense tengo un grupo de servidores. Bien, pues desde cualquier cliente, puedo acceder a los recursos de los servidores sin problema, pero también me gustaria acceder desde la red de servidores a los clientes conectados, y es aquí donde empiazan mis problemas.
He estado googleando para encontrar una configuración que solucione el problema, pero no he tenido suerte. Todas las soluciones que he encontrado se basan en montar otro pfsense trabajando como cliente, pero no es una solución para mi problema, ya que no tengo a los clientes en una misma ubicación.
Por favor, llevo un par de días loco perdido buscando una solución. Gracias a tod@s.
-
Hice pruebas y no encuentro la forma…
http://forum.pfsense.org/index.php/topic,58519.0.html
Es un tema interesante, para mantenimiento remoto de equipos conectados en modo road warrior.
A ver si damos con la solución...
-
O sea que que quieres poder accesar a tus clientes desde la red que tiene detras Pfsense?
El modo road-warrior no funciona? -
Al final resultó ser una tontería y funciona perfectamente… Me explico:
1. Caso de querer acceder a un equipo remoto conectado por OpenVPN lo primero que tenemos que cerciorarnos (especialmente con los Windows) es que el cortafuegos (personal) del equipo no esté cortando el acceso. Para pruebas es aconsejable deshabilitarlo. O estar seguro de que lo hemos afinado bien, pues el equipo estará recibiendo peticiones desde la LAN, que está fuera de su subred. Habrá que autorizar pues el tráfico procedente de la LAN para lo que queramos hacer (ping, RDP, VNC).
2. En la LAN de pfSense debe haber una regla que autorice el tráfico originado en LAN con destino la red empleada para el túnel OpenVPN (Tunnel Network) por la puerta por defecto.
Algo así:
> LAN net * 192.168.XXX.0/22 * * noneEsto es así porque para clientes remotos (road warrior):
-
192.168.XXX.0 -> Subred servidor
*** 192.168.XXX.1 -> Servidor OpenVPN (pfSense) -
192.168.XXX.2 -> Puerta para el servidor OpenVPN (pfSense)**
-
192.168.XXX.3 -> Broadcast servidor
-
192.168.XXX.4 -> Subred primer cliente
*** 192.168.XXX.5 -> Puerta para el primer cliente remoto -
192.168.XXX.6 -> Primer cliente remoto**
-
192.168.XXX.7 -> Broadcast primer cliente
-
192.168.XXX.8 -> Subred segundo cliente
*** 192.168.XXX.9 -> Puerta para el segundo cliente remoto -
192.168.XXX.10 -> Segundo cliente remoto**
-
192.168.XXX.11 -> Broadcast segundo cliente
Etc.
En http://forum.pfsense.org/index.php/topic,58519.msg318284.html#msg318284 está la respuesta en inglés y también se comenta que puede influir cómo se tenga NAT Outbound si se pasó a modo manual.
Saludos,
Josep
-
-
Buenas, que buenas noticias!!!, me pongo a probarlo y os comento.
Muchas gracias
-
Hola de nuevo,
bellera, te funcionó usando el direccionamiento del túnel???, de esta forma a mi también :)
Existe alguna forma de usar la dirección real del cliente????
-
La dirección a emplear es la que toma el equipo en OpenVPN. La de su interfase tun.
En States - OpenVPN puedes saber cual es.
Son road warrior, se supone que no sabes mucho más que su atentificación. En modo site-to-site sí se accede por interfases físicas pues las tun residen en enrutadores a ambos lados.
