OPen VPN y Pfsense

el_buen_jorge · 17 Marzo 2020

Hola,
Por la contingencia estoy tratando de mplementar VPN para trabajar desde la casa. Estoy trabajando con PFSense como firewall en la oficina y he tratado de implementar Open VPN, pero tengo dos conceptos que no tengo muy claro.

Entiendo que el IPv4 Tunnel Network es en el fondo la o las IPs Internas que seran la entrada de las conecciones externas. Por ejemplo 192.168.1.100/110 ; ¿significaria que esas conecciones externas entraran desde la IP terminada en 100 hasta la 110? ¿El "/" me indica el rango? Me imagino que tienen que estar dentro del rango que puse en el servidor DHCP, y ojala que no sean utilizadas frecuentemente.

EL IPv4 Local Network si que no lo cacho, entiendo es la red objetivo del VPN, ¿pero como lo escribo en el campo ? ¿El rango de IP de mi DHCP, solo la ip interna de mi servidor PFSense?

Miguelwill · 17 Marzo 2020

IPv4 Tunnel Network: esta es la RED para los usuarios que se conecten a la VPN
al activar el servicio se habilitara una interface virtual (Tun) que funcionara como un dominio broadcast SEPARADO de la Lan, por lo que debe ser un rango de IP diferente y que no se solape con la mascara de la Lan
en general suelo usar rangos varios como 10.5.1.0/24 o 192.168.215.0/24, cosa de que sea diferente a las redes locales en uso o enrutadas

sobre el IPv4 Local Network: esta es la o "las" redes que seran enviadas , ahi metes la Lan o alguna red local
en tu caso, si el rango de la Lan es "192.168.1.0/24", ese es el que debes poner en ese campo
si tuvieras una 2da red, tambien debes poner el rango en formato CIDR
si solo quieres que desde la vpn tomen la ruta a una o dos IPs puntuales, debes expresarlas como este ejemplo: 192.168.1.15/32, 192.168.1.50/32

recuerda en la seccion de Firewall->Rules en la pestaña "OpenVPN" habilitar el trafico entrante y saliente (o el que necesites puntualmente)

el_buen_jorge · 17 Marzo 2020

Para ser mas concreto, en mi red interna el PFsense esta en 192.168.1.100, Mi red tiene un servidor DHCP asignando IP desde 192.168.1.101 hasta 192.168.150. Creo no entender bien el significado del / en CIDR. Por ejemplo /32 ¿significa las 32 siguientes?

En el contexto de que la red tiene 8 equipos, y que quiero que puedan esos mismos 8 usuarios desde afuera.
Tratando de aplicar lo que me señalas entonces mi IPV4 Tunnel Network debiera ser por ejemplo: 192.168.1.151/# Ya que esta fuera de mi ragno de DHCP (# es el valor que aun no tengo claro como interpretar.)

Y en el caso de mi IPv4 Local Network sería en este caso 192.168.1.101/## (Tampoco tengo claro como interpretar este valor)

Slds

Miguelwill · 17 Marzo 2020

el CIDR sirve para indicar la cantidad de BITS que debe tener la "MASCARA", osea, el dato que indica el tamaño de la red

/24 = 255.255.255.0 = 11111111111111111111111100000000 = 255 direcciones , incluyendo el broadcast

/32 significa UNA sola IP (se usa cuando en las reglas el match se debe hacer solo a 1 direccion IP

/30 seria una pequeña red de 2 IPs disponibles, usado usualmente en VPN punto a punto

una red /24 en tu caso seria desde 192.168.1.1 hasta 192.168.1.254 (255 seria el broadcast )
y la mascara seria la 255.255.255.0

dwyer · 17 Marzo 2020

Para tu caso sería IPv4 Tunnel Network 192.168.100.0/24 o 172.16.31.0/24 o 10.0.0.0/24 para un rango completo de IP (255) o cambiara mascara a /25 que permite 128ip, /26 = 64ip, 27/ = 32ip, y así sucesivamente

Entonces tu rango del PFSense debe ser 192.168.1.0/24
Donde la 100 es la del firewall y tienes 49 ip asignadas por dhcp (del 101 al 150)

Saludos

Miguelwill · 17 Marzo 2020

el_buen_jorge dijo:
Para ser mas concreto, en mi red interna el PFsense esta en 192.168.1.100, Mi red tiene un servidor DHCP asignando IP desde 192.168.1.101 hasta 192.168.150. Creo no entender bien el significado del / en CIDR. Por ejemplo /32 ¿significa las 32 siguientes?

En el contexto de que la red tiene 8 equipos, y que quiero que puedan esos mismos 8 usuarios desde afuera.
Tratando de aplicar lo que me señalas entonces mi IPV4 Tunnel Network debiera ser por ejemplo: 192.168.1.151/# Ya que esta fuera de mi ragno de DHCP (# es el valor que aun no tengo claro como interpretar.)

Y en el caso de mi IPv4 Local Network sería en este caso 192.168.1.101/## (Tampoco tengo claro como interpretar este valor)

Slds

ojo
no confundir "Rango DHCP" con Rango de la "Red"

el rango del dhcp puede ser de 10, 50, 100, o 200 direcciones, pero la mascara podria ser /24 o mas incluso

dwyer · 17 Marzo 2020

miguelwill dijo:
ojo
no confundir "Rango DHCP" con Rango de la "Red"

el rango del dhcp puede ser de 10, 50, 100, o 200 direcciones, pero la mascara podria ser /24 o mas incluso

Así es, yo no confundí eso
Solo que no me di la paja de explicarle que tiene un rango /24 o más ya que menos no podría por ese dhcp

Saludos

Enviado desde mi SM-G955F mediante Tapatalk

el_buen_jorge · 17 Marzo 2020

No quiere arrancar el servicio... Dice Unable to connect Daemon Quede en pana de nuevo.

Cosme · 17 Marzo 2020

el_buen_jorge dijo:
No quiere arrancar el servicio... Dice Unable to connect Daemon Quede en pana de nuevo.

Ver adjunto 4518

Ver adjunto 4519

Ver adjunto 4520

el ipv4 local network es la red, por lo que debes poner un rango de red y no una ip especifica.

192.168.1.0/24

es recomendable que tires una ruta estatica a los clientes para que puedan acceder a la red donde tienes corriendo los servicios publicados a los clientes remotos

revisa la opcion custom:
push "route ip.red.servicios 255.255.255.0"

unreal4u · 17 Marzo 2020

Yo no soi ningún experto en redes, pero este tutorial me ayudó a configurar OpenVPN en pfsense para el firewall de la casa, aunque sólo lo ocupo para meterme a la casa desde fuera. De todas formas, para redes más grandes igual sirve y el gallo explica muy bien:

Saludos.

el_buen_jorge · 17 Marzo 2020

Fantastico!!! DEsde el PFsense esta ok, y desde el PC se supone tambien. Por alguna conecta el VPN pero no entra a la LAN, no veo carpetas compartidas, ni otros PCs.

el_buen_jorge · 17 Marzo 2020

Excelente el video.

Ya estoy conectado a la VPN, el problema es que si bien desde el cliente OpenVPN en el quipo que sale al exterior, y el servidor PFense aparece todo Okey. Se le asigna una IP y todo. Si bien el trafico pasa todo por el tunel, no puedo entrar a la LAN, a la unica IP que me deja hacerle ping es a la de mi Pfense. El resto cero. Se que queda el ultimo empujón, Aiuda!

unreal4u · 17 Marzo 2020

Creo acordarme que tuve que darle acceso a esa subnet a las demás, así que agrega una regla en el firewall permitiendo eso y deberías poder tener acceso a todo.

Saludos.

el_buen_jorge · 17 Marzo 2020

Te refieres a la red del tunel? o a la LAN? . REvise el lod del firewall y efectivamente me bloquea la LAN, al hacer ping. Tengo estas reglas en el firewall.

el_buen_jorge · 17 Marzo 2020

Logre hacer ping a todos los equipos de red gracias a un datoque me envió unreal4u , aun no logro a acceder a los recursos de la LAN. No me queda pelo

Miguelwill · 18 Marzo 2020

el_buen_jorge dijo:
Logre hacer ping a todos los equipos de red gracias a un datoque me envió unreal4u , aun no logro a acceder a los recursos de la LAN. No me queda pelo

cuando hablas de "recursos" te refieres a que cosa exactamente? a las carpetas compartidas en algún host ?
esperas verlas navegando mágicamente por la red o vas a la IP del equipo que las comparte usando la forma \\ip-equipo\carpeta ?

mira las opciones de la VPN, está tiene opciones para propagar NetBIOS, lo que podría ayudar a que el equipo que se conecta vía vpn pueda buscar algunos recursos

recomendación: los servicios de carpetas deberían estar centralizados en unos pocos equipos (uno o dos), no compartir carpetas entre los PC, ya que desde fuera de la red deberás ingresar usando la IP de los equipos, debido a que la propagación lmhost es vía Broadcast, y este no pasaría hacia la VPN porque son redes separadas

si tuvieras un DNS para la red local (con un nombre de dominio dns) puedes agregarlo en la confirmación de la VPN para que los clientes al conectar puedan resolver este dominio y buscar el "server" que resuelva como "server.domain.local"

Enviado desde mi moto g(7) plus mediante Tapatalk

Miguelwill · 18 Marzo 2020

esta fue la semana de las VPN, en el trabajo tuvimos que crear como 40 usuarios en varios clientes por el tema del trabajo remoto xD
por suerte los túneles ya estaban hechos y la configuración probada

Enviado desde mi moto g(7) plus mediante Tapatalk

el_buen_jorge · 18 Marzo 2020

miguelwill dijo:
cuando hablas de "recursos" te refieres a que cosa exactamente? a las carpetas compartidas en algún host ?
esperas verlas navegando mágicamente por la red o vas a la IP del equipo que las comparte usando la forma \\ip-equipo\carpeta ?

mira las opciones de la VPN, está tiene opciones para propagar NetBIOS, lo que podría ayudar a que el equipo que se conecta vía vpn pueda buscar algunos recursos

recomendación: los servicios de carpetas deberían estar centralizados en unos pocos equipos (uno o dos), no compartir carpetas entre los PC, ya que desde fuera de la red deberás ingresar usando la IP de los equipos, debido a que la propagación lmhost es vía Broadcast, y este no pasaría hacia la VPN porque son redes separadas

si tuvieras un DNS para la red local (con un nombre de dominio dns) puedes agregarlo en la confirmación de la VPN para que los clientes al conectar puedan resolver este dominio y buscar el "server" que resuelva como "server.domain.local"

Enviado desde mi moto g(7) plus mediante Tapatalk

Hola,
Tengo que compartir 2 cosas. Una carpeta que co tiene una bd de una sistema, y unas licencias HARDKEY de software que se comparten por la red.
SLDS

Enviado desde mi ELE-L29 mediante Tapatalk

Miguelwill · 18 Marzo 2020

el_buen_jorge dijo:
Hola,
Tengo que compartir 2 cosas. Una carpeta que co tiene una bd de una sistema, y unas licencias HARDKEY de software que se comparten por la red.
SLDS

Enviado desde mi ELE-L29 mediante Tapatalk

ok
y esa carpeta me imagino que está en alguno de los equipos que está en la red local
en el caso de requerir usar el nombre del equipo, y no tienes un DNS, una forma es agregarlo a la tabla hosts del pc que se conecta por VPN

ahora sí usas DNS forwarder de pfsense, ahí puedes definir nombres y dominios para los clientes

Enviado desde mi moto g(7) plus mediante Tapatalk

OPen VPN y Pfsense

el_buen_jorge

Miembro Regular

Miguelwill

I am online

el_buen_jorge

Miembro Regular

Miguelwill

I am online

dwyer

Sonidista-Computin

Miguelwill

I am online

dwyer

Sonidista-Computin

el_buen_jorge

Miembro Regular

Cosme

Gold Member

unreal4u

I solve problems.

el_buen_jorge

Miembro Regular

el_buen_jorge

Miembro Regular

unreal4u

I solve problems.

el_buen_jorge

Miembro Regular

el_buen_jorge

Miembro Regular

Miguelwill

I am online

Miguelwill

I am online

el_buen_jorge

Miembro Regular

Miguelwill

I am online