[Risolto] OpenVPN - VPN site-to-site, impossibile raggiungere i pc lato client


  • Ho implementato una VPN con due pfSense versione 2.2.4 su hardware minimali.
    Tenendo conto che la sede A ospita il server e la sede B ospita il client, tutto funziona egregiamente, avendo, ad esempio, dei telefoni IP nella sede B regolarmente registrati sul centralino presente nella sede A.
    Il problema è che ora dovrei registrare un apparato nella sede A ad un server presente nella sede B, e questo non funziona. Non solo: provando a pingare un qualsiasi dispositivo presente nella sede B dalla sede A si ottiene un bel "richiesta scaduta".
    Le configurazioni sono le seguenti:

    Site A

    OpenVPN: Server
    Server Mode: Peer to Peer (Shared Key)
    Device Mode: tun
    IPv4 Tunnel Network: 10.0.10.0/30
    IPv4 Local Network/s: 192.168.1.0/24
    IPv4 Remote Network/s: 192.168.70.0/24

    Firewall rules
    L'interfaccia OpenVPN interfaces/tabs ha le seguenti regole:
    Proto: IPv4 *
    Source: *
    Port: *
    Destination: *
    Port: *
    Gateway: *
    Queue: none

    Diagnostics: IPv4 Routing tables
    Destination: 192.168.70.0/24
    Gateway: 10.0.10.2
    Flags: UGS
    Use: 0
    Mtu: 1500
    Netif: ovpns1

    Site B Setup

    OpenVPN: Client
    Server Mode: Peer to Peer (Shared Key)
    Device Mode: tun
    IPv4 Tunnel Network: 10.0.10.0/30
    IPv4 Local Network/s: 192.168.70.0/24
    IPv4 Remote Network/s: 192.168.1.0/24

    Firewall rules
    L'interfaccia OpenVPN ha le seguenti regole:
    Proto: IPv4 *
    Source: *
    Port: *
    Destination: *
    Port: *
    Gateway: *
    Queue: none

    Diagnostics: IPv4 Routing tables
    Destination: 192.168.1.0/24
    Gateway: 10.0.10.1
    Flags: UGS
    Use: 5782
    Mtu: 1500
    Netif: ovpnc1

    Leggendo un po' in giro ho provato a restringere la classe degli indirizzi usati per il tunnel con un /30 ma senza successo.

    Ho anche letto di aggiungere una regola in "Client specific override" aggiungendo una route verso il client, ma sinceramente mi pare già presente, infatti le route sul server sono le seguenti:

    Destination      Gateway       Flags   Use           Mtu Netif
    default             10.10.11.254 UGS     1845994      1500 vr0
    10.0.10.1         link#7         UHS              0               16384      lo0
    10.0.10.2         link#7      UH             0                1500 ovpns1
    10.10.11.0/24          link#2         U             0          1500 vr0
    10.10.11.250  link#2         UHS             0               16384 lo0
    10.10.11.254     10.10.11.254 UGHS 121030         1500 vr0
    127.0.0.1         link#5         UH           102       16384 lo0
    192.168.1.0/24 link#1         U       2091505         1500 fxp0
    192.168.1.1         link#1         UHS             0               16384 lo0
    192.168.70.0/24 10.0.10.2 UGS           40         1500 ovpns1
    208.67.220.220 10.10.11.254 UGHS 579         1500 vr0

    Suggerimenti?

    Grazie in anticipo


  • ciao hai fatto il push delle reti? nelle config avanzate di open vpn lato server prova a mettere
    push "route  192.168.70.0 255.255.255.0";

    poi vai nelle route statiche del server e metti una route statica
    192.168.70.0/24 su interfaccia openvpn

    fai la stessa cosa lato client mettendo una route statica
    192.168.1.0/24 su interfaccia openvpn

    tieni presente di pulire i log di open vpn e di riavviare i box.
    Postami i log se dovessi avere dei prob.

    Ciao


  • Come prima cosa ti ringrazio della risposta.
    Qualche domanda: devo fare il push della route anche se compare già nell'elenco delle route del server? Lo chiedo perché andando ad impostare una route statica sul server non mi compare l'interfaccia openvpn su cui attivarla.


  • Ciao,
    nelle VPN site to site implementate con le versioni 2.2.x ho riscontrato un errore per cui pure avendo un atabella di routing corretta di fatto il routing tra le varie sottoreti non avviene.
    L'unica soluzione che ho trovato è aggiungere a mano le rotte statiche.
    Ciao fabio


  • In effetti aggiungendo "push route 192.168.70.0 255.255.255.0" nella configurazione avanzata lato server funziona!
    Lato client non ho modificato nulla.
    Questo "baco" è stato corretto nella nuova versione 2.2.5?

    Grazie di nuovo per le risposte