OpenVPN não pinga na LAN

vinicius.andrade

Olá!

Encontrei vários tópicos com este assunto, sei que o tema é batido, mas realmente não consegui fazer funcionar…

Tenho dois PfSenses, um em cada empresa:

Matriz: WAN:200.17.55.252
          LAN: 10.3.0.1

Filial: WAN: 200.17.40.200
        LAN: 10.18.0.1

Criei uma conexão OpenVPN nos dois PfSense - Peer-to-peer (Shared Key).

Configuração feita no PFsense Matriz (Server):
Protocol: UDP
IPv4 Tunnel network: 172.16.0.0/24
IPv4 Local network: 10.3.0.0/24
IPv4 Remote Network: 10.18.0.0/16

Configuração feita no PFsense Filial (Client):
Protocol: UDP
IPv4 Tunnel network: 172.16.0.0/24
IPv4 Remote Network: 10.3.0.0/16

Por fim, criei uma regra no firewall, na aba OpenVPN, liberando TUDO. Isso foi feito na Matriz e na Filial.

Então fui testar no PfSense da Filial em Diagnostic/Ping.

Host: 10.3.0.10 (um máquina qualquer da LAN da Matriz)
Source Address: Default

E PINGOU NORMALMENTE !!!

Mas quando mudo o Source Address para LAN, não pinga mais.
E também não consigo fazer ping de uma máquina da filial (ex: 10.18.0.15) pra qualquer outra da matriz (ex:10.3.0.12).

O que está faltando?

jonathanalves

Baseado no que você passou, quase certeza que erro seja o seguinte:

Na Matriz: IPv4 Local network: 10.3.0.0/24
Na Filial: IPv4 Remote Network: 10.3.0.0/16

~mascaras diferentes para a mesma rede~

Vê se funciona corrigindo isso.

vinicius.andrade

Desculpe, escrevi errado.

O correto é 10.3.0.0/16.

jonathanalves

Nesse caso, verifica se as NAT de saída estão marcadas para serem geradas automaticamente.
Se estiverem, pode colar aqui a sua tabela de roteamento?

vinicius.andrade

No PfSense da FIlial, fui em Firewall / NAT / Outbound

Está marcado o modo: Automatic OutBound NAT Rule Generation

Tem duas regras criadas automaticamente:

Interface: WAN
Source: 127.0.0.0/8 10.18.0.0/16 172.16.0.0/24
Source Port: *
Destination: *
Destination Port: 500
Nat Adress: WAN Address
NAT Port: *
Static Port: YES

Interface: WAN
Source: 127.0.0.0/8 10.18.0.0/16 172.16.0.0/24
Source Port: *
Destination: *
Destination Port: *
Nat Adress: WAN Address
NAT Port: *
Static Port: NO

Em System / Routing tenho:

Name:WANGW (default)
Interface:WAN
Gateway:200.17.40.199
Monitor IP:200.17.40.199
Description: WAN Gateway

É essa informação que você precisa?

jonathanalves

A NAT de saída está certa então.

A tabela de roteamento você pode acessar em Diagnostics > Routes.
Verifica se tem na primeira coluna Destination o IP da sua rede local e em Netif a interface da sua VPN na mesma linha.
Se não tiver pode ser um problema.

Outra coisa que você pode fazer é capturar o tráfego com o tcpdump para tentar diagnosticar o que pode estar acontecendo, mas isso exige certo conhecimento dessa ferramenta.

vinicius.andrade

Segue tabela de roteamento.

MATRIZ>> Diagnostic / Routing Table:

Destination Gateway       Flags Use         Mtu         Netif Expire
default       200.17.57.209 UGS 6693132 1500 em0
10.3.0.0/16 link#2         U 5185727 1500 em1
10.3.0.1         link#2         UHS 0         16384 lo0
10.3.100.0/24 link#4         U 115         1500 em3
10.3.100.1 link#4         UHS 0         16384 lo0
10.18.0.0/16 172.16.0.2 UGS 577         1500 ovpns1
127.0.0.1         link#8         UH 0         16384 lo0
172.16.0.1 link#10         UHS 0         16384 lo0
172.16.0.2 link#10         UH 9         1500 ovpns1

FILIAL>> Diagnostic Table:

Destination Gateway         Flags Use         Mtu       Netif Expire
default         200.17.57.65 UGS       1691231 1500      em1
10.3.0.0/16 172.16.0.1 UGS       5565         1500 ovpnc1
10.18.0.0/16 link#1         U       2560660 1500 em0
10.18.0.1         link#1         UHS         0         16384 lo0
127.0.0.1         link#5         UH         79         16384 lo0
172.16.0.1 link#7         UH         22         1500 ovpnc1

Aparentemente está tudo normal… Vê algum problema?

vinicius.andrade

Detalhe:

Essa interface ovpnc1 não está na lista de interfaces e não a crei. Deve ter sido criada automaticamente ao criar OpenVPN.

jonathanalves

A tabela está certa.

Sim, o pfSense cria a interface automáticamente.
Minhas sugestões estão se esgotando, nesse caso eu tentaria monitorar o tráfego com o tcpdump.

Vou tentar te ajudar com ele!

Deixa um ping em um computador da rede local rolando para a outra ponta.

Acessa os pfSense's via SSH e roda o comando

tcpdump -ni ovpns1 (ou ovpnc1 - dependendo de qual dos pfSense você estiver acessando) icmp

Com esse comando você vai capturar o tráfego da interface da VPN pelo protocolo ICMP, ou seja, você vai conseguir ver se o ping está alcançando a rede remota.
Verifica com que IP ele está chegando lá. Qualquer coisa manda o resultado da captura aqui.