[Solucionado] Lucha a muerte con OpenVPN y Client Overrides

CuninganReset

Hola a todos, llevo ya un par de días peleando con el "OpenVPN" y los "Client Overrides".
Básicamente lo que tengo montado es un servidor Open VPN funcional, en modo TUN, funciona perfectamente.
La subred por defecto que asigna a los clientes es 192.168.201.0/28, la red LAN es 172.16.0.0/16 y si me conecto sin habilitar los "Client Overrides" funciona sin problema.

Ahora lo que me surge es que tengo unos clientes que deben de tener acceso VPN a la red pero solo a algunos equipos y necesito entregarles una subred distinta a la 192.168.201.0/28, he pensado que la 192.168.201.16/28 que es la siguiente subred disponible y la propia para este menester.

Por ello he ido a "Client Overrides" he dado de alta el cliente y le he dicho en "Tunneling network" que es la 192.168.201.16/28, he grabado y he intentado conectarme de nuevo, me da un error en el cliente de "OpenVPN" que anexo.

Es como si por error el pFsense le pasa en vez de la mascara de subred la dirección de Broadcast en su lugar y por ello falla.

¿Sabéis si la opción esta del "Client Override" funciona o hay algún problema con ella?.

Anexo fotos de como esta configurado el "Client Override"
![Picture 2015-04-07 15_23_01.png](/public/imported_attachments/1/Picture 2015-04-07 15_23_01.png)
![Picture 2015-04-07 15_23_01.png_thumb](/public/imported_attachments/1/Picture 2015-04-07 15_23_01.png_thumb)
![Picture 2015-04-07 15_46_12.png](/public/imported_attachments/1/Picture 2015-04-07 15_46_12.png)
![Picture 2015-04-07 15_46_12.png_thumb](/public/imported_attachments/1/Picture 2015-04-07 15_46_12.png_thumb)

bellera

Creo que tiene que estar en el rango que hayas definido en Server:

https://forum.pfsense.org/index.php/topic,59116.msg318295.html#msg318295

Si es así, eso sirve sólo para asignar las 4 IPs que empleará la subred del cliente.

Para esta respuesta me he basado además en lo que he leído por encima haciendo

Google openvpn client specific override

acriollo

No podrias asignarles a ese grupo de usuarios direcciones IP Fijas y crear un set de reglas que permitan o no el acceso a los equipos que deseas ?

saludos

CuninganReset

Tampoco me funciona esa opción, estoy intentando asignarles direcciones IP fijas pero nada.
Lo que no se para que sirve es la opción en "Client Overrides" de "Tunnel Network"… si le ajustas una red se la asigna al cliente pero despues no es capaz de alcanzar la red LAN aunque tengas en "Firewall->Rules" habilitado todo el trafico.

[EDIT] Tenia todo el trafico habilitado que fuera TCP, no el ICMP por lo que el PING no funcionaba y me estaba volviendo loco.

CuninganReset

Vale lo logre!!

Bueno al final resulta que para que funcione tienes que ajustar en el servidor VPN la subred de "Tunnel Network" a una de tipo C, por ejemplo 192.168.201.0/24
Despues en el "Client Overrides" le dices que use la red de "Tunnel Network" 192.168.201.200/30, pero esta subred debe estar contenida dentro de la subred de clase C que definiste en el servidor VPN sino no comunica.

En "Firewall->Rules" para dar permisos por clientes permites a la subred "pequeña" la que le has asignado en el "Client Overrides" que comunique con lo que quieras.
No des permiso a la subred "grande" la de clase "C" sino permites a todos ya que todos estan contenidos dentro de esta subred, es un poco lioso pero funciona.