VPN entre dos Sites con Pfsense (problema en subnets casi seguro)
-
las pcs deben de tener una ip alcanzable como gateway, en este caso la ip a la que pertenecen en el pfsense.
192.168.7.55 192.168.7.254 algo asi
Se le puede asignar a cada PFsense una IP de LAN secundaria? es decir no puedo cambiar las 10.0.0.10 y 10.0.0.110 a un rango 192 bajo ningun concepto, no me importaria añadirles una ip secundaria…
Sino de esta manera tampoco lo voy a poder hacer...
-
Puedes añadirle a los servidores una ip virtual del rango 192.168.x y hacer el tunel con unas ips diferentes que tienes en tu LAN.
de esta manera creo que podrias alcanzar los servidores via la VPN.
Si el gateway de los servidores es diferente al PFsense , deberas de crear las rutas correctas para que estos equipos alcancen los PFs.
saludos
-
Puedes añadirle a los servidores una ip virtual del rango 192.168.x y hacer el tunel con unas ips diferentes que tienes en tu LAN.
de esta manera creo que podrias alcanzar los servidores via la VPN.
Si el gateway de los servidores es diferente al PFsense , deberas de crear las rutas correctas para que estos equipos alcancen los PFs.
saludos
Buenos días,
Eso estoy haciendo, pero nada…
Vamos a repasarlo a ver en que fallo.
Tengo un servidor con IP:
192.168.7.55/24 y con IP
10.0.0.250 y su GW es la 10.0.0.10 (PFSENSE)Otro servidor con la IP:
192.168.9.55/24 y con IP
10.0.0.105 y su GW es la 10.0.0.110 (PFSENSE2)Un tunel OpenVPN establecido con los parametros:
192.168.7.0/24 ----------------192.168.8.0/24 (tun)----------192.168.9.0/24
El tunel esta UP y cada PFSENSE tiene como IPS del tunel las IP
PFSENSE1(tunel) 192.168.8.1
PFSENSE2(tunel) 192.168.8.2Desde la 192.168.9.55 puedo hacer ping a la 192.168.8.1 pero no a la 192.168.8.2 (al tunel llego sin problema pero no paso por el?)
Desde la 192.168.7.55 puedo hacer ping a la 192.168.8.2 pero no a la 192.168.8.1No puedo hacer ping entre la 192.168.7.55 y la 192.168.9.55
Si puedo hacer ping desde PFSENSE1 a PFSENSE2 con las IPs del tunel, de la 192.68.8.1 a la 192.168.8.2 y viceversa.
Tengo que añadir "routes" en Advance configuration de OpenVPN server y client?
Entiendo que es un problema de reglas de FW??
Que reglas debo tener para que funcione?
Añado capturas de los tracert:
Desde "PFsense A" hacia un PC al otro lado del tunel y del PFSENSE B
Desde "PFsense B" hacia un PC al otro lado del tunel y del PFSENSE A
Gracias
Saludos
-
En la ultima imagen cuando intentas llegas a la 7.55 se ve qe el trafico se va a internet y no se va por el tunel.
revisa en tu tabla de ruteo si las rutas estan levantando correctamente.
Revisa que las dos redes estan declaradas correctamente como remotas y locales.
-
Puedes pegar las pantallas del tunel?
-
Ahi pongo las capturas del tunnel y ademas los "Diagnosis->Routes" que afectan a la VPN
-
En la ultima imagen cuando intentas llegas a la 7.55 se ve qe el trafico se va a internet y no se va por el tunel.
revisa en tu tabla de ruteo si las rutas estan levantando correctamente.
Revisa que las dos redes estan declaradas correctamente como remotas y locales.
El tracert a la 7.55 se va por el tunel y cuando llega al otro pfsense se va a internet ?¿?¿?¿
No lo entiendo.
Es decir, desde el Pfsense cuya IP del tunel es la 192.168.8.2 hago tracert a la 7.55 y me muestra primer salto la 192.168.8.1 (bien porque es el otro lado del tunel) y luego el GW de internet????
-
Hola, ya entiendo lo que pasa pero por desgracia no se como evitarlo.
El tracert que parece que en vez de ir por el túnel va por internet en realidad sale a internet…. Al otro lado del túnel!
Es decir en vez de ir por el túnel hacia la lan, busca el default gateway e intenta salir por ahí.
Como lo evito? Le he dado vueltas pero no se si hacer una ruta estática y donde ponerla...
-
Puedes hacer una prueba de ping entre los dos equipos ?
cuando hagas la prueba selecciona IPv4 y LAN como el source , por que de otra manera va a dar error.
despues de eso haz un ping entre una de las PCs y el pfsense, despues entre la pc y la interface de la vpn y despyes contra la otra punta de la vpn,
acuerdate de tener una ip del rango de la lan en la compu. o si vas a usar una de las virtuales, recuerda colocar una ip virtual en el pfsense para que sirva de gateway.saludos
-
Puedes hacer una prueba de ping entre los dos equipos ?
cuando hagas la prueba selecciona IPv4 y LAN como el source , por que de otra manera va a dar error.
despues de eso haz un ping entre una de las PCs y el pfsense, despues entre la pc y la interface de la vpn y despyes contra la otra punta de la vpn,
acuerdate de tener una ip del rango de la lan en la compu. o si vas a usar una de las virtuales, recuerda colocar una ip virtual en el pfsense para que sirva de gateway.saludos
Hola,
No puedo hacer ping entre los PFsense (IPs de LAN) porque entre otras cosas son el mismo rango como habia comentado mas atras.
Uno es 10.0.0.10/8 y el otro es 10.0.0.110/16
Entre cada PC y cada PFsense tengo ping OK
Entre cada PC y el interfaz VPN del PFsense al que esta conectado tengo ping OK
Entre cada PC y la otra punta de la VPN NO tengo ping.He encontrado "Firewall-> Virtual IP" en Pfsense, la asigno ahi? de que rango deberia asignar esa IP ?
Gracias
-
Hay varios puntos a considerar para que esta opción funcione (la de múltiples placas de red con varias direcciones):
Primero, los pfSense de cada punta tienen que tener una segunda dirección IP en la LAN (con una Virtual IP de tipo Alias) dentro del rango de la dirección IP asignada, en este caso podrías ponerles 192.168.7.254 y 192.168.9.254 por ejemplo. Verifica que las reglas de firewall permitan tráfico desde y hacia estas subredes
Además, debes agregar rutas estáticas en los servidores y los clientes indicando que la subred 192.168.9.0/24 debe ser ruteada a traves de 192.168.7.254 (y viceversa desde el otro lado).
Como no tiene sentido tener más de un default gateway por dispositivo, si no agregas manualmente las rutas en los servidores y los clientes, nunca va a funcionar dado que el equipo del otro lado del túnel va a intentar responder a través de su default gateway 10.0.0.x (el cual no tiene idea qué hacer con esos paquetes y los saca a internet) cuando en realidad debería responder a través de 192.168.x.254 que es quien sabe rutear hacia el otro lado del túnel.
De cualquier manera, la opción de IPsec con NAT que te mencionaron antes me parece más sencillo de implementar.
Saludos!
-
Hay varios puntos a considerar para que esta opción funcione (la de múltiples placas de red con varias direcciones):
Primero, los pfSense de cada punta tienen que tener una segunda dirección IP en la LAN (con una Virtual IP de tipo Alias) dentro del rango de la dirección IP asignada, en este caso podrías ponerles 192.168.7.254 y 192.168.9.254 por ejemplo. Verifica que las reglas de firewall permitan tráfico desde y hacia estas subredes
Además, debes agregar rutas estáticas en los servidores y los clientes indicando que la subred 192.168.9.0/24 debe ser ruteada a traves de 192.168.7.254 (y viceversa desde el otro lado).
Como no tiene sentido tener más de un default gateway por dispositivo, si no agregas manualmente las rutas en los servidores y los clientes, nunca va a funcionar dado que el equipo del otro lado del túnel va a intentar responder a través de su default gateway 10.0.0.x (el cual no tiene idea qué hacer con esos paquetes y los saca a internet) cuando en realidad debería responder a través de 192.168.x.254 que es quien sabe rutear hacia el otro lado del túnel.
De cualquier manera, la opción de IPsec con NAT que te mencionaron antes me parece más sencillo de implementar.
Saludos!
Muchisimas gracias por la respuesta, mañana a primera hora voy a probarlo.
Igualmente si me das un par de nociones de como tendría que hacer el NAT en este ejemplo, te lo agradecería en el alma, unas birras cuando quieras, jejeje.
Gracias!!
-
Confirmo, que la solución de georgeman funciona. Tengo un problema en uno de los sentidos que sigue sin ir por el tunel, pero tiene que ser un detalle nada mas.
Me interesa mucho la otra solución.
Gracias
-
Ya andaba cerca , me falto mencionar lo de las rutas estaticas para el caso de que el pFsense no fueran los ruteadores por defecto.
Que bien que se va resolviendo.
Saludos