Bienvenido a la Comunidad UBNT

Balanceo 3 WANS + OpenVPN Server - No Navega entre subred

ASSHASSH 2 Puntos
en EdgeMAX
Que tal buen dia, me podrian apoyar en el siguiente caso.

Tengo un ERX con balanceo de cargas 03 Wans + OpenVPN que se requiere para que clientes se conecten a la red "LAN principal 192.168.10.1". El problema es que el Cliente OpenVPN establece conexión sin embargo no puedo navegar carpetas compartidas en el pc 192.168.168.10.38...

    openvpn vtun0 {
        mode server
        server {
            name-server 192.168.10.1
            push-route 192.168.10.0/24
            subnet 192.168.20.0/24
        }
        tls {
            ca-cert-file /config/auth/cacert.pem
            cert-file /config/auth/server.pem
            dh-file /config/auth/dh.pem
            key-file /config/auth/server.key
        }
    }
    switch switch0 {
        address 192.168.10.1/24
        description Local
        firewall {
            in {
                modify balance
            }
        }


utilizando

set interfaces openvpn vtun0 mode server
set interfaces openvpn vtun0 server name-server 192.168.10.1
set interfaces openvpn vtun0 server push-route 192.168.10.0/24
set interfaces openvpn vtun0 server subnet 192.168.20.0/24
set interfaces openvpn vtun0 tls ca-cert-file /config/auth/cacert.pem
set interfaces openvpn vtun0 tls cert-file /config/auth/server.pem
set interfaces openvpn vtun0 tls dh-file /config/auth/dh.pem
set interfaces openvpn vtun0 tls key-file /config/auth/server.key


set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description OpenVPN
set firewall name WAN_LOCAL rule 30 destination port 1194
set firewall name WAN_LOCAL rule 30 log disable
set firewall name WAN_LOCAL rule 30 protocol udp
set firewall name WAN_LOCAL rule 30 source group
Etiquetado:

Comentarios

  • rickengineer6rickengineer6 91 Puntos
    No te olvidaste del paso de declarar las Subredes en el Firewall, para definirlas por aceptar y enrutar el trafico en sentido viceversa @ASSH

    Saludos

    Rick S.
  • ASSHASSH 2 Puntos
    editado junio 2018
    firewall {
        all-ping enable
        broadcast-ping disable
        group {
            network-group PRIVATE_NETS {
                network 192.168.0.0/16
                network 172.16.0.0/12
                network 10.0.0.0/8
            }
        }
        ipv6-receive-redirects disable
        ipv6-src-route disable
        ip-src-route disable
        log-martians disable
        modify balance {
            rule 10 {
                action modify
                description "do NOT load balance lan to lan"
                destination {
                    group {
                        network-group PRIVATE_NETS
                    }
                }
                modify {
                    table main
                }
            }
            rule 20 {
                action modify
                description "do NOT load balance destination public address"
                destination {
                    group {
                        address-group ADDRv4_eth0
                    }
                }
                modify {
                    table main
                }
            }
            rule 30 {
                action modify
                description "do NOT load balance destination public address"
                destination {
                    group {
                        address-group ADDRv4_eth1
                    }
                }
                modify {
                    table main
                }
            }
            rule 40 {
                action modify
                description "do NOT load balance destination public address"
                destination {
                    group {
                        address-group ADDRv4_eth2
                    }
                }
                modify {
                    table main
                }
            }
            rule 70 {
                action modify
                modify {
                    lb-group G
                }
            }
        }
        name WAN_IN {
            default-action drop
            description "WAN to internal"
            rule 10 {
                action accept
                description "Allow established/related"
                state {
                    established enable
                    related enable
                }
            }
            rule 20 {
                action accept
                description RDesktop_3389
                destination {
                    address 192.168.10.39
                    group {
                    }
                    port 3389
                }
                log disable
                protocol tcp
            }
            rule 30 {
                action drop
                description "Drop invalid state"
                state {
                    invalid enable
                }
            }
        }
        name WAN_LOCAL {
            default-action drop
            description "WAN to router"
            rule 10 {
                action accept
                description OpenVPN
                destination {
                    port 1194
                }
                log disable
                protocol udp
            }
            rule 20 {
                action accept
                description "Allow established/related"
                state {
                    established enable
                    related enable
                }
            }
            rule 30 {
                action drop
                description "Drop invalid state"
                state {
                    invalid enable
                }
            }
        }
        receive-redirects disable
        send-redirects enable
        source-validation disable
        syn-cookies enable
    }
    interfaces {
        ethernet eth0 {
            address 192.168.1.1/24
            description WAN
            duplex auto
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            speed auto
        }
        ethernet eth1 {
            address 192.168.2.1/24
            description "WAN 2"
            duplex auto
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            speed auto
        }
        ethernet eth2 {
            address 192.168.3.1/24
            description "WAN 3"
            duplex auto
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            speed auto
        }
        ethernet eth3 {
            duplex auto
            speed auto
        }
        ethernet eth4 {
            duplex auto
            speed auto
        }
        loopback lo {
        }
        openvpn vtun0 {
            encryption aes256
            hash sha256
            mode server
            openvpn-option "--comp-lzo yes"
            openvpn-option --client-to-client
            openvpn-option --comp-lzo
            server {
                name-server 192.168.10.1
                push-route 192.168.10.0/24
                subnet 10.10.8.0/24
            }
            tls {
                ca-cert-file /config/auth/cacert.pem
                cert-file /config/auth/server.pem
                dh-file /config/auth/dh.pem
                key-file /config/auth/server.key
            }
        }
        switch switch0 {
            address 192.168.10.1/24
            description Local
            firewall {
                in {
                    modify balance
                }
            }
            mtu 1500
            switch-port {
                interface eth3 {
                }
                interface eth4 {
                }
                vlan-aware disable
            }
        }
    }
    load-balance {
        group G {
            interface eth0 {
            }
            interface eth1 {
            }
            interface eth2 {
            }
            lb-local enable
            lb-local-metric-change disable
        }
    }
    port-forward {
        auto-firewall enable
        hairpin-nat enable
        lan-interface switch0
        wan-interface eth0
    }
    protocols {
        static {
            route 0.0.0.0/0 {
                next-hop 192.168.1.254 {
                }
                next-hop 192.168.2.254 {
                }
                next-hop 192.168.3.254 {
                }
            }
        }
    }
    service {
        dhcp-server {
            disabled false
            hostfile-update disable
            shared-network-name LAN {
                authoritative enable
                subnet 192.168.10.0/24 {
                    default-router 192.168.10.1
                    dns-server 192.168.10.1
                    lease 86400
                    start 192.168.10.38 {
                        stop 192.168.10.243
                    }
                }
            }
            static-arp disable
            use-dnsmasq disable
        }
        dns {
            forwarding {
                cache-size 150
                listen-on switch0
                listen-on vtun0
            }
        }
        gui {
            http-port 80
            https-port 443
            older-ciphers enable
        }
        nat {
            rule 2 {
                description Permitir_RDesktop_3389
                destination {
                    group {
                    }
                    port 3389
                }
                inbound-interface eth0
                inside-address {
                    address 192.168.10.39
                    port 3389
                }
                log disable
                protocol tcp
                source {
                    group {
                    }
                }
                type destination
            }
            rule 5000 {
                description "masquerade for WAN"
                outbound-interface eth0
                type masquerade
            }
            rule 5002 {
                description "masquerade for WAN 2"
                outbound-interface eth1
                type masquerade
            }
            rule 5004 {
                description "masquerade for WAN 3"
                outbound-interface eth2
                type masquerade
            }
            rule 5005 {
                description "OpenVPN MASQ eth0"
                log disable
                outbound-interface eth0
                protocol all
                source {
                    address 10.10.8.0/24
                }
                type masquerade
            }
            rule 5006 {
                description "OpenVPN MASQ eth3"
                log disable
                outbound-interface eth3
                protocol all
                source {
                    address 10.10.8.0/24
                }
                type masquerade
            }
        }
        ssh {
    <div styl
Inicia Sesión o Regístrate para dejar un comentario.