Problen OpenVPN, pfsense como DomU (solucionado)



  • Buen dia. Mi esquema es el siguiente.

    Tengo un Servidor Xen. el cual tiene la siguiente ip 172.16.1.5 para efectos de la lan en eth0 y  en eth1 solo bridge al ISP. Es decir no tiene IP seteada, solo bridge, pero en dicho puerto el cable va al moden de internet. Y eth0 va a un suiche interno (lan)

    El Xen tiene alojado como VM a PFSENSE, el cual tiene la IP Publica fija directa que da el ISP, esta se configuro para que saliera por el eth1 del Xen.  Y la lan del pfsense 172.16.1.1 sale por la eth0 del Xen.

    Se empezaron a crear maquinas virtuales con ip 172.16.1.0/24  con el gateway 172.16.1.1 que es el pfsense y salen sin problemas a internet y se ven entre las vm.

    Se crearon reglas de NAT sin problemas y  algunos servicios de las VM los hago públicos.

    Luego creo con OpenVPN el esquema server-cliente y funciona sin problemas de esta forma algunos usuarios le llegan a las VM por la VPN.

    Hasta aquí todo lindo y Bello.

    Problema: En el suiche, se conectaron 2 PC. con ip del mismo segmento, es decir 172.16.1.78 y 79. con su gateway 172.16.1.1,  las maquinas navegan bien. salen a internet, se hacen ping con las otras vm, etc toro normal.

    El detalle esta en que:  Cuando estoy en la VPN, yo tomo la ip 10.20.2.x  y le llego a todo menos a esos 2 PC. En resumen, no le llego a lo que se conecte al suiche, solo le llego a lo que esta en XEN.

    PEEEErooo, desde las PC si le llego a la IP VPN.

    En lo log del firewall los ping que no me responden, salen como pass.

    Desde le XEN veo al pc vpn y vicerverza.  Pero desde la VPN no ve los equipos que estan fueran del XEN.

    Gracias, espero alguna luz.  me huele a ruta, pero cual? y de que lado? ya que tengo 3 puntos: el XEN, el Pfsense o el cliente vpn?



  • Solventado,

    El problema era (capa 8) jejejeje, el Antivirus Karpesky.

    Algo tiene el AV que bloquea toda IP que sea diferente a su segmento, ya que a los equipos de la misma red (172.16.1.0/24) los dejaba pasar, pero lo de la DMZ (10.20.2.0/24) no los dejaba pasar.

    Simplemente inhabilite el AV, hasta dar con la solución. Pero ya es algo del AV y no del pfsense.


Log in to reply