Problema para acessar somente os roteadores em outra VLAN ou via VPN


  • Bom dia amigo!
    Meu primeiro post é sobre um problema que está me tirando o sono. Seguinte

    Tenho configurado no meu PF na interface re0 a LAN(192.168.0.0/24) e a VLAN200(10.150.10.0/24).

    Inseri uma regra no Firewall da VLAN200 para que tenha acesso total aos ips da LAN, na qual funcionou para todos os ips, Servers linux/windows, impressoras, switch, porém não consigo acessar os roteadores, são roteadores comuns, wireless, um Asus RT-AC66U, Cisco Linksys EA6300, e outros da TP-link, netgear. Não consigo acessar nenhum deles. De resto acesso tudo.

    O problema acontece via VPN tb, acesso todos os ips, menos os routers.

    Subi um ubuntu server tb com openvpn e acesso normal todos, inclusive os routers.

    Concluí que é algum problema, alguma config espeçifica do PF, pois nos logs, ele não dropa a conexão, aparece como aceito, mto estranho.

    Não sou expert em redes, por isso gostaria que alguém me desse um luz, pois já tentei de tudo.

    Agradeço desde já!



  • Olá!

    O problema é na configuração dos roteadores.

    O roteador vai recusar acesso a interface de gerenciamento via Browser se a subrede for diferente da dele. Ou seja, se o IP do roteador for 192.168.0.10 e sua estação estiver na VLAN200 com IP 10.150.10.50, ele interpreta como sendo uma tentativa de acesso externo.

    A maioria dos roteadores possui uma configuração para acesso remoto, ali você pode configurar quais IPs de origem ele vai aceitar acesso.


  • Olá Luiz,

    Tem dois fatores que me fazem acreditar que não seja isso que vc falou:

    1 - Eu subi um Linux com o OpenVpn instalado, direto, e através desse túnel eu consigo acessar todos dispositivos da minha rede, inclusive os roteadores. Pelo OpenVpn do PF não, acesso somente máquinas, impressoras, os roteadores não consigo acesso.

    2 - Creio que não precise mexer nos roteadores pelo fato acima e também pq eu não utilizo a porta WAN destes roteadores, eu apenas desativo o dhcp deles, e coneto um cabo em uma das 4 LAN disponíveis.

    Obs: Já tentei tudo q é config nos roteadores, desativando seus firewalls e filtros.

    Vlw!


  • @philippeliso:

    Olá Luiz,

    Tem dois fatores que me fazem acreditar que não seja isso que vc falou:

    1 - Eu subi um Linux com o OpenVpn instalado, direto, e através desse túnel eu consigo acessar todos dispositivos da minha rede, inclusive os roteadores. Pelo OpenVpn do PF não, acesso somente máquinas, impressoras, os roteadores não consigo acesso.

    2 - Creio que não precise mexer nos roteadores pelo fato acima e também pq eu não utilizo a porta WAN destes roteadores, eu apenas desativo o dhcp deles, e coneto um cabo em uma das 4 LAN disponíveis.

    Obs: Já tentei tudo q é config nos roteadores, desativando seus firewalls e filtros.

    Vlw!

    Meu caro, esse servidor Open VPN, são clientes que se conectam a ele direto certo? O IP deles não é na mesma subrede dos roteadores?


  • Sim, o OpenVpn do PF conecta pelo ip 192.168.15.0/24 na rede 192.168.0.0/24, sem problemas, acesso tudo, somente os Roteadores que não acesso.

    Como disse anteriormente, Eu subi uma maquina Linux com o OpenVpn server para Linux, configurei pra conectar com esse ip tb 192.168.15.0/24 na rede 192.168.0.0/24 e eu consigo acessar tudo, inclusive os Roteadores entendeu?

    Somente pelo Openvpn do PF ( e via VLAN 10.150.10.0/24) não consigo acessar os Roteadores, os outros dispositivos eu pingo e acesso normal sacou?

    ;)


  • Você não consegue ao menos resposta de ping desses roteadores pela VPN?

    Se respondem a Ping, seu NAT está ok. Se você chega na tela de configuração dos roteadores via Browser, mas o roteador da acesso negado, é problema na configuração do roteador.


  • Cara, ele não responde ping e não é NAT.

    Estou na rede VPN ou na VLAN200, tanto faz, ambas não acessam os roteadores, porem acessam os demais outros dispositivos.

    Entendeu?

    Na VPN e na VLAN200 eu tenho uma config de firewall para poderem acessar tudo ad LAN, só q os ips dos roteadores nao responde, somente eles!


  • Olá!

    Olha, se você acessa tudo entre as redes, está claro que não é algo que possa ser configurado no PFSense. Volto a dizer, isso me parece configuração de segurança nas interfaces dos roteadores.

    Abra eles, procure a configuração de acesso remoto a interface Web deles, coloque como permitida uma ou todas essas subredes fora a que eles fazem parte e ai faça o teste.


  • Luiz, vc não está entendendo.

    Pra fazer o teste, em outra rede, eu subi um servidor VPN, OPENVPN, diretemanete num Ubuntu Server 12.04.1 e através deste, eu acessei a rede COMPELTAMENTE, todos os servers, impressoras, ROTEADORES, ABSOLUTAMENTE TUDO!

    Por isso continuo batendo na tecla que é o PFSENSE.

    Porque raios funcionaria num openVpn puro no linux e não no openvpn do PF?

    Ja verifiquei a configuração dos roteadores amigo, sem sucesso.

    Espero que tenha entendido dessa vez.


  • Bom dia!

    Em primeiro lugar, cuidado com o tom ao falar com as pessoas no fórum, ninguém aqui é empregado da ESF, mantenedora do PFSense, somos todos usuários e/ou colaboradores do projeto. Postar aqui é voluntário.

    Segundo, se você está tão seguro que o problema é no PFSense, desenhe um diagrama de topologia de rede demonstrando suas subredes, os roteadores e o pfsense no meio. Poste também imagens das configurações do OpenVPN, de NAT Outbound, Regras de Firewall nas interfaces envolvidas, inclusive a da VPN.

    EDIT: No diagrama, pelo menos um dos roteadores e seu IP.


  • Acredito mesmo que seja alguma config específica do PF, por conta do teste que fiz num OpenVpn Server direto no Linux. O que reforça também que seja no PF é o fato do problema acontecer tb entre a comunicação entre LAN e VLAN, comunico com todos os ips, exceto os de roteadores.

    Desculpe o "tom", realmente não foi a intenção.

    Irei desenhar o diagrama para facilitar.

    Vlw!