Sem conexão com a rede interna openvpn

Fabio Gomes · Jan 15, 2015, 3:16 PM

Boa tarde Pessoal,

Tenho um pfsense 2.1.5, criei uma configuração no openvpn utilizando a interface tap, consigo conectar pelos clientes normalmente, o cliente esta pegando o ip da minha rede interna 192.168.2.0/23, ele fica com o ip 192.168.2.50 que é o ip que eu configurei no openvpn, consigo conexao do cliente para o gateway que é 192.168.2.31 e do gateway para o cliente, porém do cliente para a rede interna e da rede interna para o cliente nada acontece….

alguma sugestão ???

Obrigado pela atenção,
Fabio

marcelloc · Jan 15, 2015, 3:57 PM

Veja os tutoriais de configuração do openvpn, em alguns você vai perceber que é preciso incluir rota para a rede remota.

O tcpdump na interface do túnel também pode te ajudar a diagnosticar o problema.

Fabio Gomes · Jan 15, 2015, 6:56 PM

Ola Marcelo,

O tutorial que eu segui foi este: https://forum.pfsense.org/index.php?topic=46984.0

Os tutoriais que estão em português não utilizam interface tap todos utilizam interface tun, pelo menos eu não encontrei nenhum…

O que eu percebi e que os pacotes broadcast estão chegando até o cliente, mas o resto não...

Obrigado,
Fabio

fpmazzi · Jan 16, 2015, 2:13 PM

@Fabio:

Boa tarde Pessoal,

Tenho um pfsense 2.1.5, criei uma configuração no openvpn utilizando a interface tap, consigo conectar pelos clientes normalmente, o cliente esta pegando o ip da minha rede interna 192.168.2.0/23, ele fica com o ip 192.168.2.50 que é o ip que eu configurei no openvpn, consigo conexao do cliente para o gateway que é 192.168.2.31 e do gateway para o cliente, porém do cliente para a rede interna e da rede interna para o cliente nada acontece….

alguma sugestão ???

Obrigado pela atenção,
Fabio

Amigo duas observações aqui:

1. faça o download do livro do pfsense 2.0 portugues
http://minhateca.com.br/Danilofar/Documentos/livro+pfsense+2.0+pt_br,54646149.pdf
E lá procure por openvpn creio que seja a melhor solução, inclusive a utilizo aqui.

2. Se entendi direito a sua rede local e a rede vpn são do mesmo range? elas tem que ter range diferente por exemplo se sua rede é 192.168.0.0/24 a rede do tunel tem que ser 192.168.12.0/24.

[]s

marcosjost · Jan 16, 2015, 3:50 PM

Só por desencargo….
La em Firewall - Rules, na aba openvpn, criou a regra liberando o trafego ?

marcelloc · Jan 16, 2015, 4:13 PM

@fpmazzi:

1. faça o download do livro do pfsense 2.0 portugues

fpmazzi, Esta publicação não viola os direitos autorais do author?

Fabio Gomes · Jan 16, 2015, 4:50 PM

Ola fpmazzi,

Na verdade a rede tem que ser a mesma pois estou utilizando a interface tap e não tun.

Obrigado pela atenção,
Fabio

Fabio Gomes · Jan 16, 2015, 5:00 PM

Ola marcosjost,

Na openvpn deixei assim:

Tem mais alguma coisa para fazer ???

Obrigado pela atenção,
Fabio

Fabio Gomes · Jan 16, 2015, 5:31 PM

Ola marcelloc,

Rodei o tcpdump nas seguintes interfaces bridge0, ovpns3, de1

tentei fazer um acesso ssh para 192.168.2.20 de 192.168.2.75 (máquina conectada na vpn)

o resultado foi este:

bridge0 (bridge entre a de1(lan) e ovpns3)

listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes
15:26:54.265825 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:54.939716 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:55.232343 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:55.257995 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:55.261532 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:55.694457 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:56.231292 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:56.256189 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:56.692750 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:57.957477 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:58.687899 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:59.691011 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:03.964536 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:04.248449 IP 192.168.2.75.netbios-dgm > 192.168.3.255.netbios-dgm: NBT UDP PACKET(138)
15:27:04.696776 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:05.694574 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28

ovpns3

listening on ovpns3, link-type EN10MB (Ethernet), capture size 96 bytes
15:26:54.265849 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:54.939222 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:55.233039 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:55.257987 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:55.261524 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:55.694110 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:56.231315 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:56.256181 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:56.692396 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:57.957161 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:58.687649 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:59.690720 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:03.964113 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:04.248145 IP 192.168.2.75.netbios-dgm > 192.168.3.255.netbios-dgm: NBT UDP PACKET(138)
15:27:04.696450 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:05.694268 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28

de1 (que é a minha lan com ip 192.168.2.31)

15:26:54.265791 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:54.939446 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:55.232336 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:55.258083 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:55.261581 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:55.694151 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:56.231249 ARP, Request who-has 192.168.2.75 tell 192.168.3.77, length 46
15:26:56.256197 ARP, Reply 192.168.2.75 is-at 00:ff:14:6d:0e:c4 (oui Unknown), length 28
15:26:56.692434 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:57.957212 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:58.687661 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:26:59.690736 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:03.964303 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:04.248201 IP 192.168.2.75.netbios-dgm > 192.168.3.255.netbios-dgm: NBT UDP PACKET(138)
15:27:04.696480 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28
15:27:05.694312 ARP, Request who-has 192.168.2.20 tell 192.168.2.75, length 28

mas nada chega ate 192.168.2.20…

Alguma sugestão ?

Obrigado pela atenção,
Fabio

fpmazzi · Jan 18, 2015, 2:14 AM

@marcelloc:

@fpmazzi:

1. faça o download do livro do pfsense 2.0 portugues

fpmazzi, Esta publicação não viola os direitos autorais do author?

Eu acredito que não pois encontra-se facilmente na Internet é uma tradução acho que talvez tenha que somente mencionar a fonte original.

Vou fazer uma pesquisa mais aprofundada sobre a divulgação deste livro. Mas creio que não pq , mas vários cursos já vi essa referência e em outros fóruns.

[] s

fpmazzi · Jan 18, 2015, 2:19 AM

@Fabio:

Ola fpmazzi,

Na verdade a rede tem que ser a mesma pois estou utilizando a interface tap e não tun.

Obrigado pela atenção,
Fabio

Onde vc viu isso, nas minhas configurações eu vi e no driver que instala na cliente é do tipo tap.

Amanhã dou uma há da melhor no notebook que uso vpn para acessar o meu ambiente e irei ver o server tb e te confirmo mas 99% de certeza que é tap

[]s

Fabio Gomes · Jan 23, 2015, 1:52 PM

Prezados,

Fiz alguns testes aqui e acho que o problema é no pfsense rodando sobre o hyper-v ??!?!?!

Fiz uma instalação limpa em uma máquina física, configurei só a vpn e funcionou tudo perfeitamente….

Fiz uma instalação nova em outra máquina virtual no hyper-v, configurei só a vpn e não funcionou....

Fiz novamente uma instalação limpa em uma máquina física, e restaurei o backup da configuração da máquina virtual que não está funcionando nesta máquina física e tudo funcionou perfeitamente....

Obrigado pela atenção,
Fabio

fpmazzi · Jan 23, 2015, 6:57 PM

@Fabio:

Prezados,

Fiz alguns testes aqui e acho que o problema é no pfsense rodando sobre o hyper-v ??!?!?!

Fiz uma instalação limpa em uma máquina física, configurei só a vpn e funcionou tudo perfeitamente….

Fiz uma instalação nova em outra máquina virtual no hyper-v, configurei só a vpn e não funcionou....

Fiz novamente uma instalação limpa em uma máquina física, e restaurei o backup da configuração da máquina virtual que não está funcionando nesta máquina física e tudo funcionou perfeitamente....

Obrigado pela atenção,
Fabio

Amigo eu tenho hyoer-v rodando em meu ambiente, tentei instalar o linux uma vez nele e foi uma dor de cabeça, o pfsense acredito que possar ser o mesmos problemas. posta as configurações do seu hyper-v

[]s