OpenVPN Client no pfSense



  • Olá a todos,

    configurei um cliente OpenVPN no pfsense para acesso a um sistema remoto (a conexão é feita através de um emulador de terminal e usa telnet).

    A configuração do cliente está 100% (conexão, atribuição de IP, rotas), a tabela de roteamento da vpn criada é:

    
    10.3.10.3/32           172.18.240.1           UGS   0   0   1500   ovpnc1    
    10.3.254.1/32           172.18.240.1           UGS   0   380   1500   ovpnc1    
    172.18.240.0/20   172.18.245.213   UGS   0   67   1500   ovpnc1    
    172.18.245.213   link#9                   UH   0   0   1500   ovpnc1    
    
    

    Na aba OpenVPN em Rules eu liberei todo o tráfego

    No servidor eu consigo fazer a conexão sem problemas (telnet 10.3.254.1) porém se eu tentar fazer a conexão através de uma estação dá timeout.

    Rodei o tcpdump no servidor (escutando a interface do openvpn) e tente conectar através da estação:

    
    14:52:43.414247 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5276855 ecr 0,nop,wscale 7], length 0
    14:52:44.414139 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5277105 ecr 0,nop,wscale 7], length 0
    14:52:46.418117 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5277606 ecr 0,nop,wscale 7], length 0
    14:52:50.426206 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5278608 ecr 0,nop,wscale 7], length 0
    14:52:58.442366 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5280612 ecr 0,nop,wscale 7], length 0
    14:53:14.490651 IP 192.168.0.10.56931 > 10.3.254.1.23: Flags [s], seq 3341842482, win 14600, options [mss 1460,sackOK,TS val 5284624 ecr 0,nop,wscale 7], length 0
    
    Pelo que entendi o pacote chegou na interface da vpn. Está certo?
    
    O que falta para completar a conexão? Tenho que fazer NAT?
    
    Estou meio perdido!!
    ![Captura de tela de 2014-04-02 14:44:22.png](/public/_imported_attachments_/1/Captura de tela de 2014-04-02 14:44:22.png)
    ![Captura de tela de 2014-04-02 14:44:22.png_thumb](/public/_imported_attachments_/1/Captura de tela de 2014-04-02 14:44:22.png_thumb)[/s][/s][/s][/s][/s][/s]
    

  • Administrator

    O que deve estar acontecendo é que o 10.3.254.1 não sabe como devolver o pacote para o 192.168.0.10. Para resolver isso você teria que por uma rota nele falando que pra chegar na rede 192.168.0.x ele deveria usar o tunel (172.18.240.2) ou então, fazer um NAT antes de enviar o pacote, pra que a origem seja o 172.18.240.1. Pelo menos é o que imagino baseado no que consegui entender do seu ambiente



  • Renato, obrigado pela sua resposta.

    A 1ª opção é impossível: não tenho acesso ao sistema remoto e já sei de antemão que eles não atenderam qq solicitação desse tipo.

    A segunda opção é Outbond NAT? O IP de origem não teria que ser o que o cliente OpenVPN designou? No caso: 172.18.245.213


  • Administrator

    Exato, eu comi o 13 e deixei apenas 2 la :)


  • Administrator

    @Renato:

    Exato, eu comi o 13 e deixei apenas 2 la :)

    E sim, é no Outbound NAT.



  • Renato, muito obrigado pela sua ajuda.

    Foi só configurar o outbound NAT e funcionou!!!!

    Em anexo estou enviando a tela de configuração do outbound NAT para quem precisar

    ![Captura de tela de 2014-04-09 10:08:06.png](/public/imported_attachments/1/Captura de tela de 2014-04-09 10:08:06.png)
    ![Captura de tela de 2014-04-09 10:08:06.png_thumb](/public/imported_attachments/1/Captura de tela de 2014-04-09 10:08:06.png_thumb)



  • Olá, não intendi muito bem.

    Minha rede interna: 192.168.0.0/24.
    Rede Tunel: 172.16.0.0/24.

    O cliente VPN conecta, pega IP 172.16.0.6 mas sequer pinga para um servidor com ICMP liberado na rede interna.

    Já criei regra no OpenVPN para passar tudo.

    Não intendi sobre a parte do NAT Outbound.

    Poderia me ajudar?

    Obrigado.



  • Vc chegou a entrar no shell e ver se por lá pinga na rede da VPN?



  • @jdgrieco:

    Vc chegou a entrar no shell e ver se por lá pinga na rede da VPN?

    Olá, pinguei e não pinga de nenhum dos lados.

    Source Address: Default, LAN, WAN1, OpenVPN, ambos com mesma falha.

    
    PING 172.16.0.6 (172.16.0.6): 56 data bytes
    
    --- 172.16.0.6 ping statistics ---
    3 packets transmitted, 0 packets received, 100.0% packet loss
    
    

    Att.



  • Desculpa, não fui claro.

    Vc entrou no shell do pfSense?

    No shell do pfSense vc tem que conseguir pingar no endereço 172.16.0.6, senão imagino que tenha alguma coisa errada com a configuração do cliente OpenVPN



  • @jdgrieco:

    Desculpa, não fui claro.

    Vc entrou no shell do pfSense?

    No shell do pfSense vc tem que conseguir pingar no endereço 172.16.0.6, senão imagino que tenha alguma coisa errada com a configuração do cliente OpenVPN

    Sem crise, grato pela ajuda.

    Não pinga, veja no "Status: OpenVPN" que conectado está, mas não conecta.

    Att.



  • Não conheço muito de VPN mas estou achando que pode ser um problema de roteamento.

    Dá uma olhada em Diagnostics -> Routes



  • @jdgrieco:

    Não conheço muito de VPN mas estou achando que pode ser um problema de roteamento.

    Dá uma olhada em Diagnostics -> Routes

    Não aparece nada, como vemos no print abaixo.

    Att.


Log in to reply