¿Mi ISP está bloqueando las conexiones entrantes a mi servidor OpenVPN?

tag-icon tag-icon routing firewall openvpn isp pfsense
¿Mi ISP está bloqueando las conexiones entrantes a mi servidor OpenVPN?

He trabajado en esto durante un par de semanas, pero no parece progresar.

Tengo un pfsense de hardware configurado como mi enrutador de Internet, todo funciona bien excepto que no puedo conectarme al servidor OpenVPN que se ejecuta en pfsense.

Antes de configurar pfsense como enrutador, lo puse detrás de mi antiguo enrutador, que actuó como falso-wan y probé mi configuración de VPN: pude conectarme. Pero puedo hacer que funcione en la red de mi ISP.

He probado (en esta secuencia):

  • Puerto entrante UDP 1195
  • Puerto entrante UDP 1194
  • Puerto TCP entrante 1194
  • Puerto TCP entrante 443

Nada parece funcionar: tcpdump no muestra nada en estos puertos entrantes:
tcpdump -lnni igb0 port 1194 and src host xxx.76.19.66(la IP remota a la que me estoy conectando)

Mi configuración en pfsense sigue la guía oficial y la configuración del asistente:

  • El modo de servidor es Acceso remoto (SSL/TLS + Autenticación de usuario)
  • Configuración de clave TLS
  • Certificados probados y configurados
  • Red de túneles IPv4: 10.0.8.0/24
  • Redes locales IPv4: 192.168.10.0/24

Mis reglas de Firewall: ingrese la descripción de la imagen aquí

La IP pública del servidor es diferente a la que se detecta en el puerto WAN de pfsense: 172.18.36.162: esta es mi IP local interna del ISP.

¿Alguna idea de cómo podría solucionar más problemas? Llamé al ISP, pero no me dicen nada. Es un ISP pequeño y ni siquiera estoy seguro de que estén bloqueando algo a propósito.

Esto es lo que me dice nmap:

Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-24 09:34 W. Europe Standard Time
Nmap scan report for 24.347.74.101
Host is up (0.00s latency).

PORT     STATE    SERVICE
1194/tcp filtered openvpn

Nmap done: 1 IP address (1 host up) scanned in 0.89 seconds

(ip reemplazada por números aleatorios)

Esto debería aparecer en la captura de paquetes de pfsense, ¿verdad?

Respuesta1

Tarde, pero para dar una respuesta aquí. Es obvio si miras la IP que me asigna mi operador:172.18.36.162

La subred 172.16.0.0es parte de labloque de dirección IP privada.

Varios Registros (Mantenidos por ARIN). 172.16.0.0/12 (172.16.0.0–172.31.255.255) reservado para redes privadas (RFC 1918).

Esto significa que mi operador tiene una red interna (y un firewall), todo canalizado a través de una única dirección IP pública. Esto se llama CG-NAT (nat de grado de operador).

En tal configuración, no es posible hacer que OpenVPN funcione sin cambiar las reglas del Firewall del operador.

Los llamé y me ofrecieron proporcionarme una dirección IP pública estática por 5 USD al mes. Todo funcionó a partir de ahí.

información relacionada