Netgate Store

Author Topic: NAT para uma rede remota com open vpn.  (Read 384 times)

0 Members and 1 Guest are viewing this topic.

Offline bomsao

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +1/-0
    • View Profile
NAT para uma rede remota com open vpn.
« on: January 04, 2018, 08:49:55 pm »
Ola Boa noite,

Vou tentar ser direto para ficar mais facil o  entendimento acredito eu.

Preciso acessar um host por um IP fixo mas esse host está uma rede remota que é alcançada por uma VPN. Consigo?

IP externo ---------> Pfsense NAT ----------> tunel vpn Site to site --------> host na rede remota
200.200.x.x:10000     WAN - NAT            10.0.1.1/30 ----10.0.1.2/30           192.168.x.x:3389


Meu pfsense conhece a rede 192.168.x.0/24 que tem outro pfsense na ponta.
« Last Edit: February 13, 2018, 08:04:36 am by bomsao »

Offline pskinfra

  • Full Member
  • ***
  • Posts: 216
  • Karma: +16/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #1 on: January 05, 2018, 09:54:15 am »
Oi.

1) Crie sua regra de nat;
2) Aplique a rota para chegar até a rede de destino;
3) Crie regra aceitando a origem até o destino;

Obs2: Seria mais fácil você criar um redirecionamento no próprio firewall da rede de destino!  8)


Abraços
---

Whatsapp: (021) 9 6403-5250
Skype: silva.bacharel
tleite@bsd.com.br

Offline bomsao

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +1/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #2 on: January 07, 2018, 08:37:10 am »
Bom dia,

Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.

Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.

Offline pskinfra

  • Full Member
  • ***
  • Posts: 216
  • Karma: +16/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #3 on: January 08, 2018, 05:33:11 am »
Bom dia,

Já fiz isso. Já tenho rotas conhecidas quando a vpn site ti site sobe.

Tenho uma conexão cliente to site no meu note e funciona muito bem, acesso o host na outra rede tranquilamente passando pela vpn site to site mas quando o fluxo vem da rua passando fazendo nat a conexão é fechada.


Verifica logs no servidor de destino, VPN e rede privada.

O que você quer é o acesso numa porta alta via internet ? Como se fosse uma DMZ ?
Acho que da forma que você faz o acesso ( via vpn ), é a melhor forma e segura. Mas se for o caso de liberar o redirecionamento, deverá trabalhar com rotas e firewalls.
Você deve aplicar seus conhecimentos para verifica onde o pacote está sendo "descartado".
Uma ferramenta excelente é o tcpdump!



Abraços
---

Whatsapp: (021) 9 6403-5250
Skype: silva.bacharel
tleite@bsd.com.br

Offline TreeDark

  • Jr. Member
  • **
  • Posts: 90
  • Karma: +7/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #4 on: January 17, 2018, 05:38:32 am »
Cara estou com o mesmo problema.
Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

minha situação é parecida.

tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

Agradeço a Desde já a Atenção e Ajuda.

Offline pskinfra

  • Full Member
  • ***
  • Posts: 216
  • Karma: +16/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #5 on: January 17, 2018, 05:44:48 am »
Cara estou com o mesmo problema.
Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

minha situação é parecida.

tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

Agradeço a Desde já a Atenção e Ajuda.


Oi TreeDark. Pode melhorar o seu cenário, não entendi!?!?
---

Whatsapp: (021) 9 6403-5250
Skype: silva.bacharel
tleite@bsd.com.br

Offline TreeDark

  • Jr. Member
  • **
  • Posts: 90
  • Karma: +7/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #6 on: January 17, 2018, 06:03:37 am »
Tenho assim:

pfsense01 LAN (192.168.1.0/24)-----> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

O túnel é fechado via WAN.

Apenas no pfsense01 tenho ip válido na entrada WAN.

podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

Desde já Agradeço a atenção.






Offline pskinfra

  • Full Member
  • ***
  • Posts: 216
  • Karma: +16/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #7 on: January 17, 2018, 06:26:09 am »
Tenho assim:

pfsense01 LAN (192.168.1.0/24)-----> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

O túnel é fechado via WAN.

Apenas no pfsense01 tenho ip válido na entrada WAN.

podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

Desde já Agradeço a atenção.






Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).


Abraços
---

Whatsapp: (021) 9 6403-5250
Skype: silva.bacharel
tleite@bsd.com.br

Offline TreeDark

  • Jr. Member
  • **
  • Posts: 90
  • Karma: +7/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #8 on: January 17, 2018, 06:49:09 am »



Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).


Abraços
[/quote]

Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.

Offline pskinfra

  • Full Member
  • ***
  • Posts: 216
  • Karma: +16/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #9 on: January 17, 2018, 07:42:06 am »



Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).


Abraços

Então essa é a questão toda a rede 192.168.0.0 conversa com a 192.168.1.0 e vice versa. Tenho vários acessos ocorrendo entre eles. Não sei se estou certo mais a principio a rota já existe de um para outro pois eles se comunicam normalmente além disso regra do firewall para vpn é totalmente liberada nas duas pontas não tem bloqueios pela lógica se eu fizer um NAT de uma rede que o pfSense conhece ele teria que redirecionar.
[/quote]

Ah sim.

Verifique as opções abaixo se estão selecionadas na interface de destino e se há realmente regra para chega no FW.

Reserved Networks
      Block private networks and loopback addresses
     
---

Whatsapp: (021) 9 6403-5250
Skype: silva.bacharel
tleite@bsd.com.br

Offline TreeDark

  • Jr. Member
  • **
  • Posts: 90
  • Karma: +7/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #10 on: January 17, 2018, 10:36:13 am »
Opa essas regras estão desabilitadas mesmo assim não funciona.

Offline pskinfra

  • Full Member
  • ***
  • Posts: 216
  • Karma: +16/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #11 on: January 17, 2018, 11:02:07 am »
Me chama que posso ajudar.

Att
---

Whatsapp: (021) 9 6403-5250
Skype: silva.bacharel
tleite@bsd.com.br

Offline TreeDark

  • Jr. Member
  • **
  • Posts: 90
  • Karma: +7/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #12 on: February 07, 2018, 06:21:12 am »
Consegui Resolver

A regra que faltava era em NAT Outbound:

Troquei de Automático para Hibrido e coloquei a seguinte regra:


Offline bomsao

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +1/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #13 on: February 13, 2018, 07:48:05 am »
Cara estou com o mesmo problema.
Tipo quando fechamos tuneis site to site ambos os pfsense conhecem as redes certo.
Gostaria de saber porque tem que ser feito uma rota sendo que ela é feita pela propria vpn?

minha situação é parecida.

tenho apenas ip fixo em um lado da vpn por isso precisava redirecionar a entrada via esse ip para a outra rede da vpn.

tentei fazer a captura pelo tcpdump porem não achei onde o pacote é descartado.

Agradeço a Desde já a Atenção e Ajuda.

Bom dia galera....

É exatamente isso que eu preciso.

O senário é o mesmo.

Offline bomsao

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +1/-0
    • View Profile
Re: NAT para uma rede remota.
« Reply #14 on: February 13, 2018, 07:59:24 am »
Tenho assim:

pfsense01 LAN (192.168.1.0/24)-----> tunel vpn site to site (10.8.8.0/30)------> pfsense02 LAN (192.168.0.0/24)

O túnel é fechado via WAN.

Apenas no pfsense01 tenho ip válido na entrada WAN.

podendo fazer NAT direto para qualquer ip na faixa 192.168.1.0/24 certo (funciona normalmente).

eu gostaria de fazer NAT->Port Forward para o pfsense02 no caso para ip 192.168.0.250.

em bruto modo quero entrar via WAN pfsense01 e atigir um ip da LAN do pfsense02 192.168.0.250.

Desde já Agradeço a atenção.






Entendi. Ou você cria rota para chegar no pfsense02, ou você libera no pfsense para acessar via WAN ( com o ip público - se for dinâmico, amarra com um DDNS ).


Abraços

Pelo que estou vendo o amigo tem o mesmo senário que o meu.

Eu tenho apenas um ip fixo e queria facilitar minha vida e a vida dos parceiros acessando por esse ip fixo para chegar na outra rede. Eu tenho um sistema que está em uma rede onde não tenho ip fixo e colocar DDNS não ficaria muito bom já que estamos nos restruturando.

Estranho que quando subo as vpns site to site todas as redes se falam. Não crio rotas estaticas, o open vpn já faz isso quando digo as redes que ele tem que conhecer quando crio as confs. Filtro tudo e vejo que passa.

O problema é que eu chego na interface wan com o ip, vejo logado mas não tem nada no firewall com relação a blok apenas fechado.   
« Last Edit: February 13, 2018, 08:06:50 am by bomsao »