Descrição do problema :
Quando estabeleço uma conexão VPN entre um cliente VPN e meu servidor doméstico, se a conexão estiver em meu firewall (pfSense) ou estiver estabelecida diretamente, a conexão é OK.
Mas se o cliente VPN estabelecer uma conexão diretamente ao servidor doméstico e a resposta passar pelo meu firewall pfSense, o servidor VPN não roteará o pacote da interface LAN (eth0) para a interface VPN (tun0).
Você sabe por quê?
1º Exemplo OK : com uma conexão direta :
Ir: cliente VPN = > Servidor VPN = > Home Server
Retornar: Home Server = > Servidor VPN = > Cliente VPN
2º Exemplo: OK : com o firewall de conexão ao mesmo tempo (pfSense) :
Ir: cliente VPN = > Servidor VPN = > Firewall pfSense = > Home Server
Retornar: Home Server = > Firewall pfSense = > Servidor VPN = > Cliente VPN
3o Exemplo NOT OK : com uma conexão direta para o início, e accros firewall (pfSense) para o back :
Ir: cliente VPN = > Servidor VPN = > Home Server
Retornar: Home Server = > Firewall pfSense = > Servidor VPN = > Cliente VPN
Lista de IPs:
Home Server: 192.168.100.50
Firewall pfSense: 192.168.100.20
Servidor VPN: 192.168.100.40 (interface: eth0) e 10.8.0.1 (interface: tun0)
Cliente VPN: 10.8.0.6
Nota : No primeiro e segundo exemplo, quando executo um tcpdump, vejo os pacotes de retorno na eth0 e no tun0. Mas no terceiro, eu não vejo os pacotes de retorno no tun0, mas apenas na eth0.
Hipótese : É como se os pacotes fossem descartados se voltassem de um equipamento diferente.
Obrigado.
Resolvido!
Basta adicionar uma "Regra Flutuante". Nesta regra, selecione "none" em "State type".
"none" é um sistema que: "Não use mecanismos de estado para acompanhar. Isso só será útil se você estiver fazendo filas avançadas em determinadas situações. Verifique a documentação."
Na verdade, o pfSense eliminou os pacotes porque não recebeu um sinalizador "SYN" antes. É um problema básico e comum quando a rede segue uma rota assimétrica.