Problema al acceder desde la interface de OPENVPN a la LAN



  • Hola a todos,

    Tengo un servidor con la siguiente configuración:

    WAN: 172.16.16.X
    OPT1: 10.8.0.X
    LAN: 192.168.0.X

    Estoy intentando realizar una conexión remota de diversos equipos mediante OpenVPN. Estos equipos se conectan correctamente, pero no consigo que tengan acceso a la red LAN. He probado incluso de hacer un "push" de la red WAN, siendo capaces de acceder a ella sin problemas.

    He estado revisando los logs para ver si había algun registro que me indicase algún problema o bloqueo del firewall, pero no he sido capaz de ver nada que me ayude a encontrar el problema.

    Me he leído y releído manuales, foros y tutoriales sin sacar el agua clara.

    Gracias de antemano.



  • Hola spekkio

    Soy nuevo en este foro y llevo días montando pfsense y a ver si te puedo ayudar (a lo mejor digo tonterías).

    1.- A nivel de reglas tienes que tener una en la LAN que permita el tráfico entre la Lan net y el rango de la red de los clientes VPN
    2.- NAT Outbound en automático
    3.- También puede ser una tontería como que tengas que ejecutar el cliente OpenVPN en modo administrador

    Espero que tengas suerte.



  • Hola zignaciou

    Gracias por tu respuesta y perdona por no responder antes. Lios personales.

    Respecto a los puntos que comentas te respondo a continuación:

    1- Tengo en la red VPN como en la LAN todo en *
    2- A que te refieres en Outbound en automático
    3- Siempre lo ejecuto como administrador

    De momento no he hecho avances



  • Podrías compartir la configuración del servidor VPN para ayudarte mejor.

    Un parámetro critico es"IPv4 Local Network/s" debería está la dirección de tu red LAN: 192.168.0.0/24

    También es importante el "IPv4 Tunnel Network", debería ser otra red, por ejemplo: 192.168.33.0/24

    ¿A que direcciones de la LAN quieres acceder? ¿Esos equipos no tienen sus propias protecciones? Tal vez Windows 7/8/10 configurados en red pública en vez de privada. En modo público no aceptan conexiones de equipos que vienen de otra red.

    Prueba hacer ping desde un equipo conectado vía VPN a un equipo de la LAN sencillo que no tenga protecciones, como una impresora, punto de acceso, etc.



  • Hola Evilside,

    Hay va la config del servidor:

    dev ovpns1
    verb 5
    dev-type tun
    tun-ipv6
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-256-CBC
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    client-connect /usr/local/sbin/openvpn.attributes.sh
    client-disconnect /usr/local/sbin/openvpn.attributes.sh
    local 172.16.16.172
    tls-server
    server 10.8.0.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    username-as-common-name
    auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN-Certificado' 1 "
    lport 61694
    management /var/etc/openvpn/server1.sock unix
    max-clients 5
    push "route 192.168.0.0 255.255.255.0"
    push "register-dns"
    client-to-client
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.2048
    tls-auth /var/etc/openvpn/server1.tls-auth 0
    comp-lzo adaptive
    persist-remote-ip
    float
    push "route 172.16.16.0 255.255.255.0"

    Referente a lo que comentas, así lo hice. La lan es 192.168.0.X y la VPN 10.8.0.X.

    Los equipos que quiero acceder están en la LAN y tienen la regla del firewall de windows de "red de dominio". También probé de deshabilitar el firewall.



  • Si los clientes se conectan por la ip de la WAN, no deberías empujarle esa red en la configuración de OVPN, al margen de eso y si las reglas de acceso estan correctas, deberia funcionar.

    Podrias hacer una captura de paquetes en la interfaz ovpn1 y ver si los intentos de acceder a la LAN por lo menos alcanzan al pfsense, si lo hacen, ver en el destino si estos llegan.
    Si no llegan a pfsense, no esta tomando la ruta empujada
    Si llegan a pfsense pero no al destino, hay una regla en el pfsense mismo que no lo permite
    Si llegan a pfsense, llegan al destino pero igual sigue sin haber respuesta, puede haber un problema de ruteo en el destino, le llegan los paquetes de la red OVPN pero los intenta sacar por otro equipo que no es el pfsense.


Log in to reply