Problemas intermitentes de acesso à rede interna em conexão via OpenVPN

[paulocssilva]

Estou enfrentando problemas de conectividade intermitente com a VPN OpenVPN no OPNsense, utilizando o cliente OpenVPN no meu iPhone.

Desde a instalação inicial (versão 23.1.9 do OPNsense), tenho ocasionalmente enfrentado períodos em que, apesar de conectado à VPN pelo meu iPhone, perco o acesso aos hosts internos, dentre este o Home Assistant hospedada no host com o nome `ha.lan`, normalmente acessado via aplicativo Home Assistant no iPhone. Curiosamente, esses problemas ocorrem com mais frequência após o boot do servidor. Durante essas ocasiões, somente funções ICMP, como ping, estão ativas para os hosts da minha rede interna (192.168.1.0/24). É válido ressaltar que, mesmo com essa interrupção, a resolução de nomes (DNS) continua operando corretamente. Não realizei mudanças nas regras do OPNsense nas semanas anteriores ao problema.

Ambiente:
- Servidor OPNsense:
  - Versão: 23.7.1_3-amd64
  - Hardware: FW6D - 6 Port Intel® i5 (8250U)
  - Conexão: Vivo Fibra 700 Mbps
- Cliente OpenVPN:
  - Dispositivo: iPhone 13 Pro Max 256 GB
  - Versão iOS: 16.6
  - Rede: Vivo 5G

Ações Realizadas:
- Confirmação de regras de firewall e NAT no OPNsense, as quais são as básicas e sem mudanças.
- Monitoramento dos logs do OPNsense para possíveis erros relacionados à VPN.
- Testes de conectividade e resolução DNS, tanto ping quanto traceroute
- Verificação de rotas de rede no servidor VPN, as mesmas são as mesmas há tempos.

Peço ajuda na resolução deste problema intermitente. Apesar de todas as ações já tomadas, a irregularidade persiste. Fico à disposição para fornecer qualquer informação adicional necessária.

[clovis.roncon]

Boa tarde, Paulo!

Pelo que você nos descreveu, aparenta estar correto, mas para que possamos lhe ajudar, precisaremos de mais alguns detalhes.

Toda a OpenVPN Clent to Server possui um range de IP específico configurado a ser usado pelos usuários que conectam-se ao mesmo. Esta rede do túnel que deve ser liberada na regra de firewall como sendo a origem.

Resumidamente, para que uma OpenVPN funcione corretamente ela precisa ter Rotas e Regras bem configuradas.

Sobre as Rotas, na OpenVPN Server há o campo específico para inserir as redes que poderão ser acessadas por este túnel:  "IPv4 Local Network"

E sobre as Regras, as liberações de acessos das OpenVPNs Client to Server são feitas na interface com nome de "OpenVPN".

A Regras deverão ser feitas no seguinte padrão:

IP Origem: Rede do Túnel OpenVPN (que foi configurada no Server);
Porta Origem: Nenhum;
IP Destino: IP(s) ou Rede(s) que os usuários desta OpenVPN poderão acessar;
Porta Destino: Porta(s) que os usuários desta OpenVPN poderão acessar;

• Caso queira nos enviar imagens de sua configuração da OpenVPN e das Regras, podemos lhe ajudar a tentar encontrar o que ainda falta ser feito.

[paulocssilva]

Agradeço pela rápida resposta.
Estou anexando imagens das minhas configurações da OpenVPN e das regras para que possam verificar. Se houver alguma configuração adicional ou detalhe que possa ter sido negligenciado, por favor, me informe.

Mais uma vez, agradeço pela ajuda e espero que possamos resolver este problema intermitente.

[paulocssilva]

SYSTEM: ROUTES: STATUS

[paulocssilva]

FIREWALL: RULES: LAN

[paulocssilva]

FIREWALL: RULES: OPENVPN

[paulocssilva]

Gostaria de retomar a discussão sobre o problema intermitente que estou enfrentando com a VPN OpenVPN no OPNsense. Há algum tempo, enviei imagens das minhas configurações da OpenVPN e das regras conforme solicitado, mas ainda não recebi um retorno.

Entendo que todos estão ocupados e que o fórum é um espaço colaborativo, mas estou realmente precisando de ajuda para resolver essa questão. Se houver algum detalhe que eu tenha omitido ou se precisarem de mais informações, por favor, me informem.

Agradeço antecipadamente pela atenção e compreensão.

[clovis.roncon]

Ola, Paulo!

Pelo que nos informou, está tudo correto.

Consegue nos enviar sua configuração completa da OpenVPN em questão?
Caso consiga enviar as screenshots de toda a configuração desta OpenVPN,  nós poderemos fazer uma análise detalhada.

[paulocssilva]

Seguem as imagens.

[paulocssilva]

Servers | OpenVPN | VPN | OPNsenseApto.lan e Client Export | OpenVPN | VPN | OPNsenseApto.lan

[juliocbc]

Bom dia,

Paulo, você já experimentou remover a limitação de nro de conexões simultâneas para ver se a situação muda?

Notei também que seus logs estão configurados em um nível bem alto (11). Se conseguir nos enviar um trecho do log no momento em que a falha aconteça, será de grande ajuda!

[paulocssilva]

Bom dia Julio,

Agradeço pela sua atenção!

Em relação à limitação do número de conexões simultâneas, gostaria de esclarecer que, mesmo durante os períodos de problemas, consigo me conectar à VPN e executar comandos ICMP, como ping, nos hosts internos com sucesso. Isso me leva a crer que a limitação de conexões simultâneas não é a causa do problema, visto que uma exaustão de conexões provavelmente impediria até mesmo essas operações básicas. No entanto, estou disposto a verificar essa configuração se você acredita que possa influenciar de alguma outra forma.
Estou anexando todos os logs disponíveis em System|Log Files| e também o disponível em VPN|OpenVPN|Log File, peço-lhe que me informe se deixei de enviar algum log disponível em outro menu.
Agradeço novamente pela ajuda e espero que, com essas informações, possamos identificar a causa do problema em breve.

[paulocssilva]

System|Log Files|

[paulocssilva]

System|Log Files|

[clovis.roncon]

Boa tarde, Paulo!

Há uma linha no LOG que me chamou atenção:

"OpenVPN log message meaning WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want"

A opção "duplicate-cn" permite que várias conexões usem o mesmo nome comum (CN), o que significa que um único certificado pode ser usado por mais de uma conexão ou usuário.
Por outro lado, a opção "client-config-dir" é usada para especificar um diretório contendo arquivos de configuração específicos do cliente.

Usar essas duas opções juntas pode causar comportamentos inesperados, pois "duplicate-cn" permite que vários clientes usem o mesmo certificado, enquanto "client-config-dir" espera que cada cliente tenha seu próprio arquivo de configuração.
Portanto, a menos que você tenha um motivo específico para usar essas duas opções juntas, geralmente é recomendado não fazer isso.

Recomendamos revisar sua real necessidade e decida qual das duas opções você irá desabilitar.
Assim que o fizer, favor nos informar se funcionou corretamente.