Problen OpenVPN, pfsense como DomU (solucionado)
-
Buen dia. Mi esquema es el siguiente.
Tengo un Servidor Xen. el cual tiene la siguiente ip 172.16.1.5 para efectos de la lan en eth0 y en eth1 solo bridge al ISP. Es decir no tiene IP seteada, solo bridge, pero en dicho puerto el cable va al moden de internet. Y eth0 va a un suiche interno (lan)
El Xen tiene alojado como VM a PFSENSE, el cual tiene la IP Publica fija directa que da el ISP, esta se configuro para que saliera por el eth1 del Xen. Y la lan del pfsense 172.16.1.1 sale por la eth0 del Xen.
Se empezaron a crear maquinas virtuales con ip 172.16.1.0/24 con el gateway 172.16.1.1 que es el pfsense y salen sin problemas a internet y se ven entre las vm.
Se crearon reglas de NAT sin problemas y algunos servicios de las VM los hago públicos.
Luego creo con OpenVPN el esquema server-cliente y funciona sin problemas de esta forma algunos usuarios le llegan a las VM por la VPN.
Hasta aquí todo lindo y Bello.
Problema: En el suiche, se conectaron 2 PC. con ip del mismo segmento, es decir 172.16.1.78 y 79. con su gateway 172.16.1.1, las maquinas navegan bien. salen a internet, se hacen ping con las otras vm, etc toro normal.
El detalle esta en que: Cuando estoy en la VPN, yo tomo la ip 10.20.2.x y le llego a todo menos a esos 2 PC. En resumen, no le llego a lo que se conecte al suiche, solo le llego a lo que esta en XEN.
PEEEErooo, desde las PC si le llego a la IP VPN.
En lo log del firewall los ping que no me responden, salen como pass.
Desde le XEN veo al pc vpn y vicerverza. Pero desde la VPN no ve los equipos que estan fueran del XEN.
Gracias, espero alguna luz. me huele a ruta, pero cual? y de que lado? ya que tengo 3 puntos: el XEN, el Pfsense o el cliente vpn?
-
Solventado,
El problema era (capa 8) jejejeje, el Antivirus Karpesky.
Algo tiene el AV que bloquea toda IP que sea diferente a su segmento, ya que a los equipos de la misma red (172.16.1.0/24) los dejaba pasar, pero lo de la DMZ (10.20.2.0/24) no los dejaba pasar.
Simplemente inhabilite el AV, hasta dar con la solución. Pero ya es algo del AV y no del pfsense.