Collegare 3 reti con 2 VPN

[Aladino]

Dovrei collegare 3 reti abilitando il traffico in modo trasparente tra
le stesse. Al momento le 3 reti scono già collegate, ma non si riesce a
navigare tra gli estremi di questa catena:

LAN A IPSec LAN B OpenVPN LAN C
192.168.18.x - 10.0.7.x - 192.168.17.x - 10.0.8.x - 192.168.10.x
(FritzBox) (pfSense) (pfSense)

La connessione tra FritzBox e pfSense mi aveva già fatto tribolare non
poco... forse avevo chiesto lumi anche qui, ma poi ho trovato
indicazioni in rete come creare il file di configurazione da caricare
sul FritzBox.

Adesso però vorrei poter accedere da A a C in modo trasparente, cosa che
al momento non mi riesce. Tra l'altro, intanto che provavo a capire come
fare, mi sono accorto che dalla LAN B non riesco a pingare e/o
collegarmi in ssh alla LAN A, seppure remote desktop funzioni
bidirezionalmente, e dalla LAN A pingo senza problemi i dispositivi
della LAN B.
Tra la LAN B e la LAN C invece funziona tutto bidirezionalmente.

Qualcuno sa dirmi se e cosa c'è da modificare in questo file di
configurazione della VPN IPSec che viene caricata sul FritzBox?


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LAN A to B";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 192.168.17.1; // IP pfSense su LAN
remote_virtualip = 0.0.0.0;
remotehostname = "questonontelodico.com; // sostituire
con DDNS pfSense
localid {
fqdn = "mancoquesto.myfritz.net"; // sostituire
con DDNS FritzBox
}
remoteid {
fqdn = "questonontelodico.com"; // sostituire
con DDNS pfSense
}
mode = phase1_mode_aggressive;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "eanchequestononmisembrailcaso"; // sostituire con
la stessa Pre-Shared Key messa in pfSense (meglio se lunga e con
caratteri casuali)
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.18.0; // sostituire con
LAN dietro il FritzBox
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.17.0; // sostituire con
LAN dietro pfSense
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.17.0 255.255.255.0";
// sostituire con LAN dietro pfSense
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp
0.0.0.0:4500 0.0.0.0:4500";
}



--
Per rispondere, togliere -NOSPAM- dall'indirizzo.

[angelo]

Il 03/06/22 23:00, Aladino ha scritto:

> Dovrei collegare 3 reti abilitando il traffico in modo trasparente tra
> le stesse. Al momento le 3 reti scono già collegate, ma non si riesce a
> navigare tra gli estremi di questa catena:
>
> LAN A IPSec LAN B OpenVPN LAN C
> 192.168.18.x - 10.0.7.x - 192.168.17.x - 10.0.8.x - 192.168.10.x
> (FritzBox) (pfSense) (pfSense)

...

Anche io ho tre reti connesse con tre VPN (openvpn) delle quali A e B
con indirizzo IP pubblico, la terza C con connessione 4G nattata.
Io ho risolto settando le reti con tre VPN in questo modo:

VPN 1 172.16.120.0/24: A server, B client
VPN 2 172.16.124.0/24: A server, C client
VPN 3 172.16.122.0/24: B server, C client

in questo modo si vedono tutte tre in modo trasparente, anche C che non
dispone di indirizzo IP pubblico.

angelo

[Mirko Borsari]

Il Fri, 3 Jun 2022 23:00:23 +0200, Aladino ha scritto:

> Dovrei collegare 3 reti abilitando il traffico in modo trasparente tra
> le stesse. Al momento le 3 reti scono già collegate, ma non si riesce a
> navigare tra gli estremi di questa catena:
>
> LAN A IPSec LAN B OpenVPN LAN C
> 192.168.18.x - 10.0.7.x - 192.168.17.x - 10.0.8.x - 192.168.10.x
> (FritzBox) (pfSense) (pfSense)

stando al tuo file di configurazione:

accesslist = "permit ip any 192.168.17.0 255.255.255.0";

dalla A puoi arrivare solo alla B.

puoi provare a modificare il file in modo che la rete remota sia
0.0.0.0 dovrebbe così permetterti di far passare tutto. Poi lavori
sulle policy del pfsense.



--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente

[Aladino]

Mirko Borsari <ne...@bsi-net.it> wrote:

> dalla A puoi arrivare solo alla B.

Infatti. E' questa la prima cosa che mi ero proposto di modificare.

>
> puoi provare a modificare il file in modo che la rete remota sia

> 0.0.0.0 dovrebbe cosě permetterti di far passare tutto. Poi lavori
> sulle policy del pfsense.
Non saprei come fare, ma non vorrei dirottare tutto il traffico sulla
VPN. Solo le 3 LAN... al limite il blocco 192.168.x.x.
Non dovrebbe bastare una cosa del genere?

phase2remoteid {
ipnet {
ipaddr = 192.168.0.0; // sostituire con LAN dietro pfSense
mask = 255.255.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.0.0";

// sostituire con LAN dietro pfSense

--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.

[Mirko Borsari]

Il Tue, 7 Jun 2022 09:33:42 +0200, Aladino ha scritto:

> Mirko Borsari <ne...@bsi-net.it> wrote:
>
>> dalla A puoi arrivare solo alla B.
> Infatti. E' questa la prima cosa che mi ero proposto di modificare.
>>
>> puoi provare a modificare il file in modo che la rete remota sia
>> 0.0.0.0 dovrebbe cosě permetterti di far passare tutto. Poi lavori
>> sulle policy del pfsense.
> Non saprei come fare, ma non vorrei dirottare tutto il traffico sulla
> VPN. Solo le 3 LAN... al limite il blocco 192.168.x.x.
> Non dovrebbe bastare una cosa del genere?

puoi provare, č un anno ormai che ho il fritz spento (e onestamente
spero di riaccendere dell'altro) e non mi ricordo proprio come l'avevo
fatto, ho una configurazione molto simile alla tua.

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non č da considerarsi pubblico,