Site2site openvpn no veo las LAN detras de los pfsense ni los Pfsense entre si


  • Hola a todos ,he montando un servidor pfsense con la version 2.2.1-RELEASE  (i386) , trato de conectar una vpn con openvpn , a otro pfsense con la misma version ,estoy usando la configuracion site to site (shared key),he logrado conectar a ambos pfsense en el status del openvpn me muestra como up,al hacer ping al tunel que me crea entre ambos, si tengo ping (tunel configurado  10.0.10.0/24), pero cuando trato de ver las LAN detras de los Pfsense no puedo verlas y tampoco se ven entre Pfsense, que entiendo que deberian verse.Dentro de la configuracion tanto del servidor como del cliente en el apartado 'Advanced' no he agregado ninguna regla, ni ninguna ruta , lo he dejado en blanco como lo dejan en la mayoria de los tutoriales , deberia haber puesto en el servidor un, push route? o algo?

    Como acotacion adicional, antes tenia un servidor en Debian configurado con el puerto 56789 en TCP y funcionaba perfectamente , en mi servidor pfsense he configurado dos vpn una con el puerto tradicional UDP 1194 y otra con el puerto 56789 TCP como en mi debian , hice un scan de puertos del pfsense y estos puertos no me los muestra abiertos , es esto normal? como dije anteriormente el status de la conexion esta en Up.

    Gracias de antemano 
    ![topologia red.jpg](/public/imported_attachments/1/topologia red.jpg)
    ![topologia red.jpg_thumb](/public/imported_attachments/1/topologia red.jpg_thumb)
    ![firewall rules.jpg](/public/imported_attachments/1/firewall rules.jpg)
    ![firewall rules.jpg_thumb](/public/imported_attachments/1/firewall rules.jpg_thumb)


  • a mi me sucedio algo parecido pero no se si aplique para tu problema ya que no tengo muchos conocimientos sobre el tema y me voy iniciando.
    tenia 2 fws con pfsense fuera del pais y me conectaba a ellos atraves de openvpn.

    fw1(openVPN)UDP 1194                        fw2   
          lan 10.x.x.2              –-----------  lan 10x.x.3

    El problema que me paso fue que al fw1 podia entrar sin inconvenientes a traves de la vpn, le podia hacer ping a la wan y lan etc, pero a la lan del fw2 no, ni ping ni nada.

    Lo que hice fue enmascarar desde el fw1
    Firewall -> NAT -> outbound -> Modo Manual

    Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
      LAN        any         *             10.x.x.3               *              LAN address       *            NO

    tu caso seria el mismo que el mio? Saludos


  • ¿ 20.80.XXX.YYY en las LAN ? Eso es un rango público, no privado. De entrada, cambia eso.

    https://es.wikipedia.org/wiki/Red_privada

    Comprueba, además, que las redes estén bien puestas en la configuración OpenVPN…

    https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site


  • De entrada gracias por contestar, pepe0505 tu caso es parecido pero no el mismo ya que tu si podias ver tu red lan detrás de tu servidor en el mio nada de nada, agregue algunas reglas en el nat pero nada no lo he conseguido.

    Estimado bellera,voy a probar con lo que me mencionas , como comente antes en mi debían trabajaba con ese rango de ip's y sin problemas , en este caso debo asumir que el Pfsense es mas estricto en ese sentido y no deja usar rangos de ip's que no sean privados .

    Les comento después como me fue ,gracias.


  • Hola a todos los amantes de las redes, tengo una configuración site-to-site entre dos ciudades, la configuración es la siguiente

    Ciudad 1 Ciudad 2
    190.X.X.X (WAN)                                            201.Y.Y.Y (WAN)                                                                                           
    |                                                          |
    |                                                          |
    pfsense1 (192.168.0.20)–-OPENVPN(túnel 192.168.15.0/24)---pfsense2 (192.168.2.10)
    |                                                          |
    |                                                          |
    192.168.0.0/24 (LAN)                                      192.168.2.0/24 (LAN)

    El estatus de los dos VPN dice que esta bien.

    Cuando hago ping desde una equipo en la ciudad 2 a la ip LAN del pfsense1 funciona.(64 bytes from 192.168.0.20: icmp_seq=1896 ttl=63 time=0.777 ms).

    Cuando hago ping a una maquina en la red de la ciudad 1, no responde.

    Yo he agregado en Firewall-->NAT-->OutBound la siguiente regla

    Interface    Source      Source-Port  Destination      Destination-Port
    LAN        192.168.2.0/24 *          192.168.0.0/24        *

    Cuando hago esto logro hacer ping a todos los equipos de la ciudad 1.(64 bytes from 192.168.0.31: icmp_seq=1896 ttl=4 time=0.877 ms).

    Pero el problema que tengo es que todo el trafico que hace la ciudad2 a la ciudad1 me queda como si las conexiones fueran realizadas por el pfsense1, por ejemplo, si me conecto desde la ciudad2 a una maquina en la ciudad1 por SSH, esta dice que me estoy conectando desde 192.168.0.20, y debería ser 192.168.2.5 (el equipo en la ciudad2).

    Esto por motivos de seguridad, no me conviene, ya que necesito saber quienes se conectan a la red de la ciudad1.

    Es posible que en los servidores de la ciudad 1, quede registradas las ips de la ciudad 2?


  • https://openvpn.net/index.php/access-server/section-faq-openvpn-as/server-configuration/209-how-do-i-setup-openvpn-access-server-to-use-site-to-site.html

    https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site

    No creo que tengas que "manipular" el NAT Outbound. El túnel empieza por cada LAN y gracias a él tienen que verse.

    Mira qué dicen los pfSense en Diagnostics - Routes

    Y teniendo NAT Outbound en automático qué dice el comando (Diagnostics - Command Prompt o en consola):

    pfctl -s nat

    Pienso que pfSense tiene que gestionar el NAT Outbound para eso, precisamente no NATeando para las LAN a ambos lados.


  • Hola bellera, ya he mirado lo que me comentas, y me parece que estoy haciendolo bien, por lo que no entiendo donde esta el error.
    Relaciono lo que me pides, espero que me puedas ayudar.

    Con el outbound en automatico obtengo este resultado en el server
    pfctl -s nat 
    no nat proto carp all
    nat-anchor "natearly/" all
    nat-anchor "natrules/
    " all
    nat on re0 inet from <tonatsubnets>to any port = isakmp -> 190.X.X.X static-port
    nat on re0 inet from <tonatsubnets>to any -> 190.X.X.X port 1024:65535
    no rdr proto carp all
    rdr-anchor "relayd/" all
    rdr-anchor "tftp-proxy/
    " all
    rdr on re0 inet proto tcp from any to 190.X.X.X port = 8089 -> 192.168.0.20
    rdr-anchor "miniupnpd" all

    En el server.
    netstat -nr
    Routing tables

    Internet:
    Destination        Gateway            Flags      Netif Expire
    default            190.X.X.Y          UGS        re0
    8.8.4.4            190.X.X.Y          UGHS        re0
    8.8.8.8            190.X.X.Y          UGHS        re0
    127.0.0.1          link#5            UH          lo0
    190.X.X.Z/T        link#1            U          re0
    190.X.X.X          link#1            UHS        lo0
    192.168.0.0/24    link#2            U          re1
    192.168.0.20      link#2            UHS        lo0
    192.168.2.0/24    192.168.15.2      UGS      ovpns5
    192.168.15.1      link#11            UHS        lo0
    192.168.15.2      link#11            UH      ovpns5</tonatsubnets></tonatsubnets>


  • Por favor verifica que del lado remoto tengas una regla en la interface OpenVPN para permitir la entrada/salida del trafico desde el sitio remoto hacia el sitio principal.

    comenta….


  • @orionysirio:

    nat on re0 inet from <tonatsubnets>to any port = isakmp -> 190.X.X.X static-port
    nat on re0 inet from <tonatsubnets>to any -> 190.X.X.X port 1024:65535</tonatsubnets></tonatsubnets>

    Aunque la tabla tonatsubnets incluye las subredes de OpenVPN, los NAT Outbound sólo afectan re0 (interfase WAN) y no la interfase ovpns5.

    En Diagnostics - Tables puedes ver el contenido de tonatsubnets. O con el comando:

    pfctl -t tonatsubnets -T show
    

    O sea que, como te dije, por defecto no hay NAT para el túnel.

    192.168.2.0/24    192.168.15.2      UGS      ovpns5
    192.168.15.1      link#11            UHS        lo0
    192.168.15.2      link#11            UH      ovpns5

    • 192.168.15.0 -> Subred servidor OpenVPN
    • 192.168.15.1 -> Servidor OpenVPN
    • 192.168.15.2 -> Puerta para el servidor OpenVPN

    Por tanto, todo lo que vaya a 192.168.2.0/24 sale por 192.168.15.2

    Parece todo correcto en este lado. Tendría que verse el otro y, como te han dicho, las reglas de paso para OpenVPN.


  • Hola nuevamente, no había podido hacer las pruebas, el dia a dia del trabajo le consume a uno el valioso tiempo de investigación & desarrollo.

    Muchachos, encontré el error que no dejaba que funcionara.

    • Los equipos en ambas ciudades deben tener como puerta de enlace la IP del Pfsense que le corresponde. Resulta que como estaba en modo de prueba, los servidores en las LAN's salían por otra puerta de enlace, al ponerlos todos a salir por la IP del Pfsense, funciono sin problemas (con uotbound en automatico), y me queda registrada la IP de la ciudad que genera el trafico.

    Eso quiere decir que si los equipos no tienen como puerta de enlace la IP del Pfsense, debe agregarse la red en UOTBOUND.

    Muchas gracias a Ballera y Acriollo, sus aportes fueron de gran ayuda!