OpenVPN não pinga na LAN



  • Olá!

    Encontrei vários tópicos com este assunto, sei que o tema é batido, mas realmente não consegui fazer funcionar…

    Tenho dois PfSenses, um em cada empresa:

    Matriz: WAN:200.17.55.252
              LAN: 10.3.0.1

    Filial: WAN: 200.17.40.200
            LAN: 10.18.0.1

    Criei uma conexão OpenVPN nos dois PfSense - Peer-to-peer (Shared Key).

    Configuração feita no PFsense Matriz (Server):
    Protocol: UDP
    IPv4 Tunnel network: 172.16.0.0/24
    IPv4 Local network: 10.3.0.0/24
    IPv4 Remote Network: 10.18.0.0/16

    Configuração feita no PFsense Filial (Client):
    Protocol: UDP
    IPv4 Tunnel network: 172.16.0.0/24
    IPv4 Remote Network: 10.3.0.0/16

    Por fim, criei uma regra no firewall, na aba OpenVPN, liberando TUDO. Isso foi feito na Matriz e na Filial.

    Então fui testar no PfSense da Filial em Diagnostic/Ping.

    Host: 10.3.0.10 (um máquina qualquer da LAN da Matriz)
    Source Address: Default

    E PINGOU NORMALMENTE !!!

    Mas quando mudo o Source Address para LAN, não pinga mais.
    E também não consigo fazer ping de uma máquina da filial (ex: 10.18.0.15) pra qualquer outra da matriz (ex:10.3.0.12).

    O que está faltando?



  • Baseado no que você passou, quase certeza que erro seja o seguinte:

    Na Matriz: IPv4 Local network: 10.3.0.0/24
    Na Filial: IPv4 Remote Network: 10.3.0.0/16

    ~mascaras diferentes para a mesma rede~

    Vê se funciona corrigindo isso.



  • Desculpe, escrevi errado.

    O correto é 10.3.0.0/16.



  • Nesse caso, verifica se as NAT de saída estão marcadas para serem geradas automaticamente.
    Se estiverem, pode colar aqui a sua tabela de roteamento?



  • No PfSense da FIlial, fui em Firewall / NAT / Outbound

    Está marcado o modo: Automatic OutBound NAT Rule Generation

    Tem duas regras criadas automaticamente:

    Interface: WAN
    Source: 127.0.0.0/8 10.18.0.0/16 172.16.0.0/24
    Source Port: *
    Destination: *
    Destination Port: 500
    Nat Adress: WAN Address
    NAT Port: *
    Static Port: YES

    Interface: WAN
    Source: 127.0.0.0/8 10.18.0.0/16 172.16.0.0/24
    Source Port: *
    Destination: *
    Destination Port: *
    Nat Adress: WAN Address
    NAT Port: *
    Static Port: NO

    Em System / Routing tenho:

    Name:WANGW (default)
    Interface:WAN
    Gateway:200.17.40.199
    Monitor IP:200.17.40.199
    Description: WAN Gateway

    É essa informação que você precisa?



  • A NAT de saída está certa então.

    A tabela de roteamento você pode acessar em Diagnostics > Routes.
    Verifica se tem na primeira coluna Destination o IP da sua rede local e em Netif a interface da sua VPN na mesma linha.
    Se não tiver pode ser um problema.

    Outra coisa que você pode fazer é capturar o tráfego com o tcpdump para tentar diagnosticar o que pode estar acontecendo, mas isso exige certo conhecimento dessa ferramenta.



  • Segue tabela de roteamento.

    MATRIZ>> Diagnostic / Routing Table:

    Destination Gateway       Flags Use         Mtu         Netif Expire
    default       200.17.57.209 UGS 6693132 1500 em0
    10.3.0.0/16 link#2         U 5185727 1500 em1
    10.3.0.1         link#2         UHS 0         16384 lo0
    10.3.100.0/24 link#4         U 115         1500 em3
    10.3.100.1 link#4         UHS 0         16384 lo0
    10.18.0.0/16 172.16.0.2 UGS 577         1500 ovpns1
    127.0.0.1         link#8         UH 0         16384 lo0
    172.16.0.1 link#10         UHS 0         16384 lo0
    172.16.0.2 link#10         UH 9         1500 ovpns1

    FILIAL>> Diagnostic Table:

    Destination Gateway         Flags Use         Mtu       Netif Expire
    default         200.17.57.65 UGS       1691231 1500      em1
    10.3.0.0/16 172.16.0.1 UGS       5565         1500 ovpnc1
    10.18.0.0/16 link#1         U       2560660 1500 em0
    10.18.0.1         link#1         UHS         0         16384 lo0
    127.0.0.1         link#5         UH         79         16384 lo0
    172.16.0.1 link#7         UH         22         1500 ovpnc1

    Aparentemente está tudo normal… Vê algum problema?



  • Detalhe:

    Essa interface ovpnc1 não está na lista de interfaces e não a crei. Deve ter sido criada automaticamente ao criar OpenVPN.



  • A tabela está certa.

    Sim, o pfSense cria a interface automáticamente.
    Minhas sugestões estão se esgotando, nesse caso eu tentaria monitorar o tráfego com o tcpdump.

    Vou tentar te ajudar com ele!

    Deixa um ping em um computador da rede local rolando para a outra ponta.

    Acessa os pfSense's via SSH e roda o comando

    tcpdump -ni ovpns1 (ou ovpnc1 - dependendo de qual dos pfSense você estiver acessando) icmp

    Com esse comando você vai capturar o tráfego da interface da VPN pelo protocolo ICMP, ou seja, você vai conseguir ver se o ping está alcançando a rede remota.
    Verifica com que IP ele está chegando lá. Qualquer coisa manda o resultado da captura aqui.