Problema al acceder desde la interface de OPENVPN a la LAN
-
Hola a todos,
Tengo un servidor con la siguiente configuración:
WAN: 172.16.16.X
OPT1: 10.8.0.X
LAN: 192.168.0.XEstoy intentando realizar una conexión remota de diversos equipos mediante OpenVPN. Estos equipos se conectan correctamente, pero no consigo que tengan acceso a la red LAN. He probado incluso de hacer un "push" de la red WAN, siendo capaces de acceder a ella sin problemas.
He estado revisando los logs para ver si había algun registro que me indicase algún problema o bloqueo del firewall, pero no he sido capaz de ver nada que me ayude a encontrar el problema.
Me he leído y releído manuales, foros y tutoriales sin sacar el agua clara.
Gracias de antemano.
-
Hola spekkio
Soy nuevo en este foro y llevo días montando pfsense y a ver si te puedo ayudar (a lo mejor digo tonterías).
1.- A nivel de reglas tienes que tener una en la LAN que permita el tráfico entre la Lan net y el rango de la red de los clientes VPN
2.- NAT Outbound en automático
3.- También puede ser una tontería como que tengas que ejecutar el cliente OpenVPN en modo administradorEspero que tengas suerte.
-
Hola zignaciou
Gracias por tu respuesta y perdona por no responder antes. Lios personales.
Respecto a los puntos que comentas te respondo a continuación:
1- Tengo en la red VPN como en la LAN todo en *
2- A que te refieres en Outbound en automático
3- Siempre lo ejecuto como administradorDe momento no he hecho avances
-
Podrías compartir la configuración del servidor VPN para ayudarte mejor.
Un parámetro critico es"IPv4 Local Network/s" debería está la dirección de tu red LAN: 192.168.0.0/24
También es importante el "IPv4 Tunnel Network", debería ser otra red, por ejemplo: 192.168.33.0/24
¿A que direcciones de la LAN quieres acceder? ¿Esos equipos no tienen sus propias protecciones? Tal vez Windows 7/8/10 configurados en red pública en vez de privada. En modo público no aceptan conexiones de equipos que vienen de otra red.
Prueba hacer ping desde un equipo conectado vía VPN a un equipo de la LAN sencillo que no tenga protecciones, como una impresora, punto de acceso, etc.
-
Hola Evilside,
Hay va la config del servidor:
dev ovpns1
verb 5
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 172.16.16.172
tls-server
server 10.8.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN-Certificado' 1 "
lport 61694
management /var/etc/openvpn/server1.sock unix
max-clients 5
push "route 192.168.0.0 255.255.255.0"
push "register-dns"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
persist-remote-ip
float
push "route 172.16.16.0 255.255.255.0"Referente a lo que comentas, así lo hice. La lan es 192.168.0.X y la VPN 10.8.0.X.
Los equipos que quiero acceder están en la LAN y tienen la regla del firewall de windows de "red de dominio". También probé de deshabilitar el firewall.
-
Si los clientes se conectan por la ip de la WAN, no deberías empujarle esa red en la configuración de OVPN, al margen de eso y si las reglas de acceso estan correctas, deberia funcionar.
Podrias hacer una captura de paquetes en la interfaz ovpn1 y ver si los intentos de acceder a la LAN por lo menos alcanzan al pfsense, si lo hacen, ver en el destino si estos llegan.
Si no llegan a pfsense, no esta tomando la ruta empujada
Si llegan a pfsense pero no al destino, hay una regla en el pfsense mismo que no lo permite
Si llegan a pfsense, llegan al destino pero igual sigue sin haber respuesta, puede haber un problema de ruteo en el destino, le llegan los paquetes de la red OVPN pero los intenta sacar por otro equipo que no es el pfsense.