Site2site openvpn no veo las LAN detras de los pfsense ni los Pfsense entre si
-
Hola a todos ,he montando un servidor pfsense con la version 2.2.1-RELEASE (i386) , trato de conectar una vpn con openvpn , a otro pfsense con la misma version ,estoy usando la configuracion site to site (shared key),he logrado conectar a ambos pfsense en el status del openvpn me muestra como up,al hacer ping al tunel que me crea entre ambos, si tengo ping (tunel configurado 10.0.10.0/24), pero cuando trato de ver las LAN detras de los Pfsense no puedo verlas y tampoco se ven entre Pfsense, que entiendo que deberian verse.Dentro de la configuracion tanto del servidor como del cliente en el apartado 'Advanced' no he agregado ninguna regla, ni ninguna ruta , lo he dejado en blanco como lo dejan en la mayoria de los tutoriales , deberia haber puesto en el servidor un, push route? o algo?
Como acotacion adicional, antes tenia un servidor en Debian configurado con el puerto 56789 en TCP y funcionaba perfectamente , en mi servidor pfsense he configurado dos vpn una con el puerto tradicional UDP 1194 y otra con el puerto 56789 TCP como en mi debian , hice un scan de puertos del pfsense y estos puertos no me los muestra abiertos , es esto normal? como dije anteriormente el status de la conexion esta en Up.
Gracias de antemano
![topologia red.jpg](/public/imported_attachments/1/topologia red.jpg)
![topologia red.jpg_thumb](/public/imported_attachments/1/topologia red.jpg_thumb)
![firewall rules.jpg](/public/imported_attachments/1/firewall rules.jpg)
![firewall rules.jpg_thumb](/public/imported_attachments/1/firewall rules.jpg_thumb) -
a mi me sucedio algo parecido pero no se si aplique para tu problema ya que no tengo muchos conocimientos sobre el tema y me voy iniciando.
tenia 2 fws con pfsense fuera del pais y me conectaba a ellos atraves de openvpn.fw1(openVPN)UDP 1194 fw2
lan 10.x.x.2 –----------- lan 10x.x.3El problema que me paso fue que al fw1 podia entrar sin inconvenientes a traves de la vpn, le podia hacer ping a la wan y lan etc, pero a la lan del fw2 no, ni ping ni nada.
Lo que hice fue enmascarar desde el fw1
Firewall -> NAT -> outbound -> Modo ManualInterface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
LAN any * 10.x.x.3 * LAN address * NOtu caso seria el mismo que el mio? Saludos
-
¿ 20.80.XXX.YYY en las LAN ? Eso es un rango público, no privado. De entrada, cambia eso.
https://es.wikipedia.org/wiki/Red_privada
Comprueba, además, que las redes estén bien puestas en la configuración OpenVPN…
https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
-
De entrada gracias por contestar, pepe0505 tu caso es parecido pero no el mismo ya que tu si podias ver tu red lan detrás de tu servidor en el mio nada de nada, agregue algunas reglas en el nat pero nada no lo he conseguido.
Estimado bellera,voy a probar con lo que me mencionas , como comente antes en mi debían trabajaba con ese rango de ip's y sin problemas , en este caso debo asumir que el Pfsense es mas estricto en ese sentido y no deja usar rangos de ip's que no sean privados .
Les comento después como me fue ,gracias.
-
Hola a todos los amantes de las redes, tengo una configuración site-to-site entre dos ciudades, la configuración es la siguiente
Ciudad 1 Ciudad 2
190.X.X.X (WAN) 201.Y.Y.Y (WAN)
| |
| |
pfsense1 (192.168.0.20)–-OPENVPN(túnel 192.168.15.0/24)---pfsense2 (192.168.2.10)
| |
| |
192.168.0.0/24 (LAN) 192.168.2.0/24 (LAN)El estatus de los dos VPN dice que esta bien.
Cuando hago ping desde una equipo en la ciudad 2 a la ip LAN del pfsense1 funciona.(64 bytes from 192.168.0.20: icmp_seq=1896 ttl=63 time=0.777 ms).
Cuando hago ping a una maquina en la red de la ciudad 1, no responde.
Yo he agregado en Firewall-->NAT-->OutBound la siguiente regla
Interface Source Source-Port Destination Destination-Port
LAN 192.168.2.0/24 * 192.168.0.0/24 *Cuando hago esto logro hacer ping a todos los equipos de la ciudad 1.(64 bytes from 192.168.0.31: icmp_seq=1896 ttl=4 time=0.877 ms).
Pero el problema que tengo es que todo el trafico que hace la ciudad2 a la ciudad1 me queda como si las conexiones fueran realizadas por el pfsense1, por ejemplo, si me conecto desde la ciudad2 a una maquina en la ciudad1 por SSH, esta dice que me estoy conectando desde 192.168.0.20, y debería ser 192.168.2.5 (el equipo en la ciudad2).
Esto por motivos de seguridad, no me conviene, ya que necesito saber quienes se conectan a la red de la ciudad1.
Es posible que en los servidores de la ciudad 1, quede registradas las ips de la ciudad 2?
-
https://openvpn.net/index.php/access-server/section-faq-openvpn-as/server-configuration/209-how-do-i-setup-openvpn-access-server-to-use-site-to-site.html
https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
No creo que tengas que "manipular" el NAT Outbound. El túnel empieza por cada LAN y gracias a él tienen que verse.
Mira qué dicen los pfSense en Diagnostics - Routes
Y teniendo NAT Outbound en automático qué dice el comando (Diagnostics - Command Prompt o en consola):
pfctl -s nat
Pienso que pfSense tiene que gestionar el NAT Outbound para eso, precisamente no NATeando para las LAN a ambos lados.
-
Hola bellera, ya he mirado lo que me comentas, y me parece que estoy haciendolo bien, por lo que no entiendo donde esta el error.
Relaciono lo que me pides, espero que me puedas ayudar.Con el outbound en automatico obtengo este resultado en el server
pfctl -s nat
no nat proto carp all
nat-anchor "natearly/" all
nat-anchor "natrules/" all
nat on re0 inet from <tonatsubnets>to any port = isakmp -> 190.X.X.X static-port
nat on re0 inet from <tonatsubnets>to any -> 190.X.X.X port 1024:65535
no rdr proto carp all
rdr-anchor "relayd/" all
rdr-anchor "tftp-proxy/" all
rdr on re0 inet proto tcp from any to 190.X.X.X port = 8089 -> 192.168.0.20
rdr-anchor "miniupnpd" allEn el server.
netstat -nr
Routing tablesInternet:
Destination Gateway Flags Netif Expire
default 190.X.X.Y UGS re0
8.8.4.4 190.X.X.Y UGHS re0
8.8.8.8 190.X.X.Y UGHS re0
127.0.0.1 link#5 UH lo0
190.X.X.Z/T link#1 U re0
190.X.X.X link#1 UHS lo0
192.168.0.0/24 link#2 U re1
192.168.0.20 link#2 UHS lo0
192.168.2.0/24 192.168.15.2 UGS ovpns5
192.168.15.1 link#11 UHS lo0
192.168.15.2 link#11 UH ovpns5</tonatsubnets></tonatsubnets> -
Por favor verifica que del lado remoto tengas una regla en la interface OpenVPN para permitir la entrada/salida del trafico desde el sitio remoto hacia el sitio principal.
comenta….
-
nat on re0 inet from <tonatsubnets>to any port = isakmp -> 190.X.X.X static-port
nat on re0 inet from <tonatsubnets>to any -> 190.X.X.X port 1024:65535</tonatsubnets></tonatsubnets>Aunque la tabla tonatsubnets incluye las subredes de OpenVPN, los NAT Outbound sólo afectan re0 (interfase WAN) y no la interfase ovpns5.
En Diagnostics - Tables puedes ver el contenido de tonatsubnets. O con el comando:
pfctl -t tonatsubnets -T show
O sea que, como te dije, por defecto no hay NAT para el túnel.
192.168.2.0/24 192.168.15.2 UGS ovpns5
192.168.15.1 link#11 UHS lo0
192.168.15.2 link#11 UH ovpns5- 192.168.15.0 -> Subred servidor OpenVPN
- 192.168.15.1 -> Servidor OpenVPN
- 192.168.15.2 -> Puerta para el servidor OpenVPN
Por tanto, todo lo que vaya a 192.168.2.0/24 sale por 192.168.15.2
Parece todo correcto en este lado. Tendría que verse el otro y, como te han dicho, las reglas de paso para OpenVPN.
-
Hola nuevamente, no había podido hacer las pruebas, el dia a dia del trabajo le consume a uno el valioso tiempo de investigación & desarrollo.
Muchachos, encontré el error que no dejaba que funcionara.
- Los equipos en ambas ciudades deben tener como puerta de enlace la IP del Pfsense que le corresponde. Resulta que como estaba en modo de prueba, los servidores en las LAN's salían por otra puerta de enlace, al ponerlos todos a salir por la IP del Pfsense, funciono sin problemas (con uotbound en automatico), y me queda registrada la IP de la ciudad que genera el trafico.
Eso quiere decir que si los equipos no tienen como puerta de enlace la IP del Pfsense, debe agregarse la red en UOTBOUND.
Muchas gracias a Ballera y Acriollo, sus aportes fueron de gran ayuda!