OPENVPN Site to Site Bridge mais Client to Site



  • Olá galera!

    Acabei de configurar uma rede com openvpn Site to Site com bridge que está funcionando perfeitamente, até parece que é uma rede local, se não colocar uma regra de firewall para bloquear passa até DHCP de uma rede para outra, até os hosts que não estão no DHCP e por sua vez sem registro de DNS eu consigo pingar pelo nome, pois o broadcast está passando total.

    Maaass, bom sempre tem um mas, rsrsrs, é que preciso configurar em um dos lados ou nos dois se for necessário, um servidor Client to Site. Mas por que?
    Porque caso um dos diretores precise viajar ou queira através de uma rede WifFi qualquer conectar o iPhone no SIP da central telefônica ou usar o laptop para buscar um arquivo no servidor, então eu vou precisar de um Client to Site e de preferência BRIDGE tbm. A questão é que antes de configurar o site to site, o cliente to site funcionava bem, aí eu tive que zerar tudo e o client to site parou de pingar, tanto em tun como em tap com ou sem bridge, ele conecta mas não navega na rede. Já olhei e alterei todas as configurações possíveis, DNS, DHCP, FIrewall, tanto do firewall do pfsense como dentro do openvpn.

    Perguntas:

    1. dá pra fazer as duas juntas?
    2. caso sim, dá pra fazer o client que está fora do site, ao se conectar pelo client enxergar a rede do outro lado da vpn site to site?
    3. como consigo fazer o cliente se conectar neste mesmo servidor, qual método usar, tun simplesmente sem bridge nem nada, tap com ou sem bridge( acho que tap só é útil com bridge)?
    4. com IPSEC ou outro método, dá pra fazer este site to site bem transparente como está o meu agora, pois aí eu usaria o openvpn só para o cliente to site, ou vice versa?

    PFV AJUDEM, JÁ PERDI VÁRIAS NOITES DE BUSCA NA WEB, AQUI NO FÓRUM EM VÁRIOS OUTROS E NADA!

    Já está tarde preciso ir pra casa, caso precisem do cenário é só pedirem que amanhã eu passo!!!

    Muito grato!



  • tenho funcionando site to site e client to site, vc precisa criar um server para cada situacao, site to site na porta 1194 e client to site na porta 1195 por exemplo.. o resto é regra de firewall



  • Olá meu caro.

    É exatamente assim que estou fazendo! mas não tá rolando!

    Vou tentar colocar um diagrama do como está configurada atualmente a minha rede para deixar mais claro!




  • a conexao é estabelecida? vc criou as regras de firewall liberando entre redes? o que diz o log do openvpn?



  • Além da porta distinta você precisa mudar a faixa de IP's entre as redes ok ?

    abraço



  • Olá Pessoal!!!

    Agora consegui um tempo para voltar a mexer na Vpn, e como um passe de mágica me veio uma ideia, absolutamente sem querer!

    O meu cenário é assim: Para os serviços que preciso rodar tenho que ter uma rede transparente, tanto para Site to Site quanto para Cliente to Site!
    Então criei uma Bridge para o Site to Site, tudo funcionando 100%, ficou tão bom que tive que bloquear o DHCP tanto do lado do RJ quanto de SP, se não bloquear uma rede pega IP da outra! Apesar de estarem na mesma rede:

    192.168.0.0/16

    Configurei um DHCP de cada lado e um outro para o Client to Site

    RJ = 192.168.3.xxx
    SP= 192.168.5.xxx
    VPN Client = 192.168.4.xxx

    O meu erro é que estava configurando uma bridge separa para a Client to Site!
    Na verdade era só incluir a interface assinada ovpns2 na mesma bridge criada para a rede site to site e, eureca tenho uma rede completamente transparente, entre RJ x SP e mais o cliente que se conectar na Client to Site, este cliente se conecta na rede do RJ e ele consegue enxergar todas as redes. É totalmente transparente.

    Viva ao OpenVPN

    Vou tentar passar as telas da minha configuração OpenVPN,mas não estou conseguindo anexar as imagens!




  • interessante… nunca tinha pensado em bridge... fica a dica..rrsrsrs



  • Pessoal, não é nenhum dos tutoriais elaborados que temos no fórum, mas acho que pode ajudar a alguns dos colegas!
    Seguem as telas do meu pfsense com penvpn configurado tanto como Client to Site como Site to Site!

    Não consegui enviar para o fórum porque excedeu o tamanho, então postei no google drive.

    https://drive.google.com/folderview?id=0B3AsyfgvDLiWTEJyeV8zVHZYRzA&usp=sharing

    algumas siglas usadas para identificar as interfaces:
    STS = Site To Site
    CLTS = Cliente To Site
    BR0 = Bridge0

    Espero que seja útil, assim que puder posto um tutorial seja escrito ou em vídeo!




  • Fico no aguardo desse tuto,

    Valeu !!



  • Alguém tem algum material para colocar em prática esse cenário descrito aqui ??



  • Só tira uma dúvida,

    O cliente externo (diretores) conseguiu acesso a todas as redes, ou somente a rede da matriz ?



  • @emanuelfilho:

    Pessoal, não é nenhum dos tutoriais elaborados que temos no fórum, mas acho que pode ajudar a alguns dos colegas!
    Seguem as telas do meu pfsense com penvpn configurado tanto como Client to Site como Site to Site!

    Não consegui enviar para o fórum porque excedeu o tamanho, então postei no google drive.

    https://drive.google.com/folderview?id=0B3AsyfgvDLiWTEJyeV8zVHZYRzA&usp=sharing

    algumas siglas usadas para identificar as interfaces:
    STS = Site To Site
    CLTS = Cliente To Site
    BR0 = Bridge0

    Espero que seja útil, assim que puder posto um tutorial seja escrito ou em vídeo!

    Ótimo Tutorial,

    Fiz na minha rede igual a sua só que não consigo pingar entre elas só consigo pingar no túnel, poderia me mandar a configuração que você fez no Cliente do Site-to-Site?

    Desde já agradeço



  • Meus caros, boa noite!!!

    A tempos não passo por aqui, é que fiquei meio afastado dos servidores…
    Fiquei 2 anos sem mexer neste firewall !!!

    Eu fiz uma limpeza no meu Google Drive e não encontro mais este tutorial que postei e não lembro mais a configuração!!!

    Alguém teria baixado este material podem me passar de volta pfv? Inalterado de preferência, mas se for modificado tbm serve!!!

    Já agradeço !!!

    Peço desculpas por não ter respondido a última pergunta do TreeDark, não me recordo mas, certamente tive alguma dificuldade!


Log in to reply