Problema de enrutamiento de OpenVPN?



  • Hola, me estoy volviendo loco con una configuración de openvpn site to site (shared key) que aunque se establece no me deja alcanzar la LAN de destino desde la de origen, os explico un poco a ver si alguien tiene una revelación:

    My escenario es algo asi:

    Sitio A                                                Sitio B
    a–-----b-----c-------INET---------d------e--------f

    a- Equipos de la lan del sitio A
    b- IP LAN del Firewall en el Sitio A (Default gw para equipos del Sitio A ).
    c- Virtual OpenVPN Interface en el lado del Sitio A del tunel establecido con el sitio B
    d- Virtual OpenVPN Interface en el lago del Sitio B del tunel establecido con el sitio A
    e- IP LAN del Firewall en el Sitio B (Default gw para equipos del Sitio B ).
    f- Equipos de la lan del sitio B

    El sitio B actua como cliente openvpn y el sitio A actua como server
    Version de Pfsense en Sitio A es 2.2.6 y Pfsense en Sitio B es 2.3

    Tests:
    desde la red del Sitio A  (a) el ping llega a los dos interfaces virtuales openvpn (c y d)
    desde la red del Sitio B  (f) el ping llega a los dos interfaces virtuales openvpn (d y c)
    desde el interfaz virtual openvpn del pfsense en el Sitio A (c) el ping llega al interfaz de la lan del firewall en el Sitio B (d) y a toda la LAN del sitio B (e y f).
    desde el interfaz virtual openvpn del pfsense en el Sitio B (d) el ping llega al interfaz de la lan del firewall en el Sitio A (b) y a toda la LAN del sitio A (a y b).

    Y el problema es que no puedo alcanzar la red LAN del sitio B desde la LAN del sitio A o viceversa.
    Parece que pfsense is no trabaja correctamente con las rutas, El log del firewall no muestra paquetes bloqueados, los interfaces OpenVPN del tunel tienen una regla de paso para permitir todo, y las redes locales y remotas estan definidas  en la configuracion openvpn de cliente y servidor, las rutas aparecen en la tabla de rutas y aparentemente se usan cuando el paquete sale con origen desde un interfaz virtual de la openvpn pero no desde el interfaz de la LAN del firewall.

    Alguna idea? me estoy volviendo un poco loco ya...



  • Podrias probar con el comando "traceroute" para asi conocer por donde anda el problema.
    La mayor posibilidad es que sea efectivamente un problema de enrrutamiento.
    Ojo que no vas a obtener el mismo resultado haciendo ping a una interface del pf que haciendolo a un equipo en esa lan.
    Deberias revisar todo el enrrutamiento y aunque sea a modo de prueba, se me ocurre, podrias habilitar rip en todas las lan para automatizar el proceso.

    S.C.



  • El traceroute desde un equipo en la LAN de cualquiera de los sites solo devuelve respuesta del GW (la LAN del firewall).



  • Lo acabo de encontrar…

    Existía en el firewall central (servidor openvpn) una configuración del tunel IPSEC anterior que conectaba esa red y al parecer, aunque el tunel estaba desconectado, su mera existencia evitaba que se escogiera la ruta del openvpn, como que la configuración del tunel IPSEC prevaleciera aunque estuviera desconectado.

    Fue deshabilitar la configuracion del tunel ipsec y empezar a cruzar los ping de un extremo a otro de las redes.
    Saludos