Pfsense 2.1 OpenVPN não pode alcançar servidores na LAN

Navegue suas respostas
3

Eu tenho uma pequena rede configurada assim:

Eu tenho um Pfsense para conectar meus servidores à WAN, eles estão usando NAT da LAN - > WAN

Eu tenho um servidor OpenVPN usando TAP para permitir que trabalhadores remotos sejam colocados na mesma rede LAN que os servidores.

  • Eles se conectam por meio do IP da WAN à interface da OVPN.
  • A interface LAN também funciona como o gateway para os servidores obterem conexão com a Internet e tem um IP de 10.25.255.254
  • A interface OVPN e a interface LAN são conectadas em BR0
  • O servidor A tem um IP de 10.25.255.1 e é capaz de conectar a internet
  • O cliente A está se conectando através da VPN e recebe um endereço IP em sua interface TAP de 10.25.24.1 (eu reservei um / 24 dentro do 10.25.0.0/16 para clientes VPN)
  • O firewall atualmente permite qualquer conexão OVPN para a LAN e vice-versa

Atualmente, quando me conecto, todas as rotas parecem bem no lado do cliente: 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
300.300.300.300 0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.25.0.0       10.25.255.254   255.255.0.0     UG    0      0        0 tap0
10.25.0.0       0.0.0.0         255.255.0.0     U     0      0        0 tap0
0.0.0.0         300.300.300.300 0.0.0.0         UG    0      0        0 eth0

Eu posso fazer ping na interface da LAN: 

root@server:# ping 10.25.255.254

PING 10.25.255.254 (10.25.255.254) 56(84) bytes of data.
64 bytes from 10.25.255.254: icmp_req=1 ttl=64 time=7.65 ms
64 bytes from 10.25.255.254: icmp_req=2 ttl=64 time=7.49 ms
64 bytes from 10.25.255.254: icmp_req=3 ttl=64 time=7.69 ms
64 bytes from 10.25.255.254: icmp_req=4 ttl=64 time=7.31 ms
64 bytes from 10.25.255.254: icmp_req=5 ttl=64 time=7.52 ms
64 bytes from 10.25.255.254: icmp_req=6 ttl=64 time=7.42 ms

Mas não consigo passar pela interface LAN: 

root@server:# ping 10.25.255.1
PING 10.25.255.1 (10.25.255.1) 56(84) bytes of data.
From 10.25.255.254: icmp_seq=1 Redirect Host(New nexthop: 10.25.255.1)
From 10.25.255.254: icmp_seq=2 Redirect Host(New nexthop: 10.25.255.1)

Eu executei um tcpdump na minha interface em1 (interface LAN que possui o IP de 10.25.255.254) 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
08:21:13.449222 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 10, length 64
08:21:13.458211 ARP, Request who-has 10.25.255.1 tell 10.25.24.1, length 28
08:21:14.450541 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 11, length 64
08:21:14.458431 ARP, Request who-has 10.25.255.1 tell 10.25.24.1, length 28
08:21:15.451794 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 12, length 64
08:21:15.458530 ARP, Request who-has 10.25.255.1 tell 10.25.24.1, length 28
08:21:16.453203 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 13, length 64

Assim, o tráfego está atingindo a interface da LAN, também é passado para o host e as respostas do host. Mas o tráfego não é colocado na interface da LAN.

    
por Lucas Kauffman 29.10.2013 / 09:22

1 resposta

0

O problema não foi com o openvpn ou com o dispositivo pfsense, mas com o VMWare vSwitch. Se você estiver executando o pfsense no VMWare, você deve alterar o vSwitch "Promiscuous Mode" associado às suas redes pfsense de rejeitar para aceitar. Se você não fizer isso, o único host que o cliente em ponte do OpenVPN verá é o próprio servidor pfsense.

Há também uma regra implícita no firewall que não pode ser vista na interface do usuário. Você precisa examinar o log PF e desabilitar manualmente a regra.

    
por 29.10.2013 / 17:28

Tags

Munin desabilita dynazoom.html Tendo problemas para instalar o Racoon e o Strongswan no mesmo sistema