Entendiendo las VPN

javerleo

Saludos amigos.

Tengo una instalación con pfsense 1.2 RC-4

WAN –> 200.118.X.Y
LAN --> 192.168.1.1
DMZ --> 192.168.2.1

La configuración de la zona desmilitarizada ha funcionado bien: He conseguido bloquear todo el tráfico de la DMZ a la LAN, permitiendo solamente ciertos servicios (lo que se conoce como pin hole)

Ahora mi propósito es permitir el acceso externo a LAS DOS SUBREDES 192.168.1.0/24 y 192.168.2.0/24 desde el exterior, usando una VPN.

He revisado el tutorial del amigo Bellera y otro en inglés del usuario Frewald. Después de seguir los pasos indicados en esos documentos, encuentro que puedo conectarme desde un equipo Windows XP. Se me asigna una dirección 10.0.1.6 en el interfaz TAP, ya que use como "Address pool" el rango 10.0.10.0/24.

Mis preguntas:

1. Cómo puedo acceder a los hosts en las subredes de LAN y DMZ si quedo en una subred diferente a ellas?
   Ya intenté acceder a IPs de esas redes pero no tengo acceso (obsérvese que SI agregué la configuracion personalizada de clientes en el servidor VPN: push "route 192.168.1.0 255.255.255.0"; )

2. En el tutorial de Bellera se habla de usar el puerto 1194 TCP, mientras que en el otro manual es UDP. A mi me funcionó con TCP, pero me queda la duda si también puedo usar el puerto UDP

3. Qué me falta?

Gracias por su colaboración ...

bellera

¡Hola!

Se me asigna una dirección 10.0.1.6 en el interfaz TAP, ya que use como "Address pool" el rango 10.0.10.0/24

Emplea algo más simple, por qué no 192.168.200.0/24 como rango? No parece que tu TAP esté tomando una IP correcta. Es una IP privada, http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP_privada, pero parece estar fuera del rango. Con una máscara de 24 bit 10.0.1.6 y 10.0.10.X no se ven entre ellas, http://www.subnet-calculator.com/subnet.php

1. Cómo puedo acceder a los hosts en las subredes de LAN y DMZ si quedo en una subred diferente a ellas? Ya intenté acceder a IPs de esas redes pero no tengo acceso (obsérvese que SI agregué la configuracion personalizada de clientes en el servidor VPN: push "route 192.168.1.0 255.255.255.0"; )

Tu LAN tiene que ir en Local network. El push no es necesario. Si tienes otra red que quieras hacer visible después tienes que hacer push … Mira en http://www.bellera.cat/josep/pfsense/imatges/openvpn_server_edit_1.gif y verás que está así.

2. En el tutorial de Bellera se habla de usar el puerto 1194 TCP, mientras que en el otro manual es UDP. A mi me funcionó con TCP, pero me queda la duda si también puedo usar el puerto UDP.

Sí, puedes usar UDP si quieres. Menos "riguroso" pero funcionará igual (o mejor según algunas intervenciones de este fórum).

3. Qué me falta?

Revisa bien tu máquina Windows. OpenVPN sólo funciona con el cortafuegos original de Windows. Desactiva y/o comprueba tu cortafuegos en Windows.

Revisa que rutas tiene tu Windows, yendo a la línea de comandos y empleando route. Revisa qué configuración de red tienes con ipconfig /all.

Revisa las reglas que tienes en pfSense, no sea que por más que OpenVPN permita la entrada y visibilidad de tu/s red/es haya alguna regla que la esté denegando.

javerleo

Gracias por la pronta respuesta amigo Bellera.

Efectivamente, el problema estaba en el firewall que instala el antivirus Kaspersky. Una vez desactivado todo funciona de maravilla.
Parace que el uso de UDP agrega rendimiento (tiene sentido porque es menos complejo que TCP). Voy a probarlo por un tiempo y les cuento.

Julio

lo unico a tener en cuenta si usas UDP es que la conexion tiene que ser confiable, debido que no informa de perdida de paquetes, asi q si tienes problemas con tu ISP no te daras cuenta de la perdida de datos, saludos