Eu tenho uma pequena rede configurada assim:
Eu tenho um Pfsense para conectar meus servidores à WAN, eles estão usando NAT da LAN - > WAN
Eu tenho um servidor OpenVPN usando TAP para permitir que trabalhadores remotos sejam colocados na mesma rede LAN que os servidores.
- Eles se conectam por meio do IP da WAN à interface da OVPN.
- A interface LAN também funciona como o gateway para os servidores obterem conexão com a Internet e tem um IP de 10.25.255.254
- A interface OVPN e a interface LAN são conectadas em BR0
- O servidor A tem um IP de 10.25.255.1 e é capaz de conectar a internet
- O cliente A está se conectando através da VPN e recebe um endereço IP em sua interface TAP de 10.25.24.1 (eu reservei um / 24 dentro do 10.25.0.0/16 para clientes VPN)
- O firewall atualmente permite qualquer conexão OVPN para a LAN e vice-versa
Atualmente, quando me conecto, todas as rotas parecem bem no lado do cliente:
Destination Gateway Genmask Flags Metric Ref Use Iface
300.300.300.300 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.25.0.0 10.25.255.254 255.255.0.0 UG 0 0 0 tap0
10.25.0.0 0.0.0.0 255.255.0.0 U 0 0 0 tap0
0.0.0.0 300.300.300.300 0.0.0.0 UG 0 0 0 eth0
Eu posso fazer ping na interface da LAN:
root@server:# ping 10.25.255.254
PING 10.25.255.254 (10.25.255.254) 56(84) bytes of data.
64 bytes from 10.25.255.254: icmp_req=1 ttl=64 time=7.65 ms
64 bytes from 10.25.255.254: icmp_req=2 ttl=64 time=7.49 ms
64 bytes from 10.25.255.254: icmp_req=3 ttl=64 time=7.69 ms
64 bytes from 10.25.255.254: icmp_req=4 ttl=64 time=7.31 ms
64 bytes from 10.25.255.254: icmp_req=5 ttl=64 time=7.52 ms
64 bytes from 10.25.255.254: icmp_req=6 ttl=64 time=7.42 ms
Mas não consigo passar pela interface LAN:
root@server:# ping 10.25.255.1
PING 10.25.255.1 (10.25.255.1) 56(84) bytes of data.
From 10.25.255.254: icmp_seq=1 Redirect Host(New nexthop: 10.25.255.1)
From 10.25.255.254: icmp_seq=2 Redirect Host(New nexthop: 10.25.255.1)
Eu executei um tcpdump na minha interface em1 (interface LAN que possui o IP de 10.25.255.254)
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
08:21:13.449222 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 10, length 64
08:21:13.458211 ARP, Request who-has 10.25.255.1 tell 10.25.24.1, length 28
08:21:14.450541 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 11, length 64
08:21:14.458431 ARP, Request who-has 10.25.255.1 tell 10.25.24.1, length 28
08:21:15.451794 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 12, length 64
08:21:15.458530 ARP, Request who-has 10.25.255.1 tell 10.25.24.1, length 28
08:21:16.453203 IP 10.25.24.1 > 10.25.255.1: ICMP echo request, id 23623, seq 13, length 64
Assim, o tráfego está atingindo a interface da LAN, também é passado para o host e as respostas do host. Mas o tráfego não é colocado na interface da LAN.