Подробно о настройках OpenVPN server
-
И так, с генерациями лицензий и подключению к OpenVPN серверу я разобрался, топик может кому и пригодиться( http://forum.pfsense.org/index.php/topic,28588.0.html), сечас хочу разобраться с настройками этого сервера, понять его логику работы.
1. Как настроить OpenVPN сервер, чтоб при подключении клиенты могли видеть машины за OpenVPN.
Что я делаю, по шагам:
Protocol -Протокол, который будет использоваться для VPN. я использую TCP просто он мне нравиться)
Local port - Использую по умолчанию 1194 т.е это порт сервера к которому конектятся клиенты
Порт сервера OpenVPN будет слушать. 1194 является портом по умолчанию OpenVPN. Каждый сервер требует уникальный порт.
Address pool - так как моя локальная сеть за OpenVPN серверам 78.45.23.0/24 то я спользую следующий пул адресов 78.45.23.0/24 в итоге мои клиенты начинают получать IP- адреса с 78.45.23.4 / 255.255.255.252, следующий 78.45.23.8 / 255.255.255.252 и.т.д
Это пул адресов, чтобы быть отнесены к клиентам. Выраженный в CIDR диапазона (например 10.0.8.0/24). Если поле "Использовать статические IP-адреса" не установлен, клиентам будет присвоен адрес из этого пула. В противном случае, это будет использоваться для установки IP местных интерфейса.
Use static IPs - так и не понел как она работает, при установленной опции клиент не поднимается. Прописывал клиенту жесткий адрес 78.45.23.4 не пашет, клиент не конектиться.
Если эта опция установлена, IP-адреса не будут назначены для клиентов. Вместо этого, сервер будет использовать статические IP-адреса на его стороне, и клиенты будут использовать это же значение в поле Address pool.
Local network - как я понял, тут указываем сеть маской которая будет доступна клиентам. я указал 78.45.23.0/24
но не смотря на это сеть не доступна.что где я не так понимаю?
Вот полный листинг конфига настроек сервера.
Protocol TCP
Local port 1194
Address pool 78.45.23.0/24
Use static IPs галочка не стоит
Local network 78.45.23.0/24
Remote network пробел
Client-to-client VPN да ( поставил галочку )
Cryptography BF-CBC (128)
Authentication method PCI
DHCP-Opt.: DNS-Domainname пробел
DHCP-Opt.: DNS-Server пробел
DHCP-Opt.: WINS-Server пробел
DHCP-Opt.: NBDD-Server пробел
DHCP-Opt.: NTP-Server пробел
DHCP-Opt.: NetBIOS node type h-node
DHCP-Opt.: NetBIOS Scope пробел
DHCP-Opt.: Disable NetBIOS пробел ( галочка не стоит, значит включено )
LZO compression поставил галочку
Custom options пробел
Description пробел -
По поводу Protocol - TCP Следует использовать в случае, если клиенты будут ходить через прокси. В других случаях предпочтительнее UDP (приоритет выше).
LZO компрессию при хорошем канале лучше отключить.
Address Pool и Local Network должны быть разными. Таким образом у вас будет 3 разных сети.
Local Network<->VPN Network(adress Pool)<->Remote NetworkОдинаковый пул адресов можно использовать только с Layer 2 туннелем, используя бридж с впн интерфейса с локальным. Тогда удаленные клиенты получат мак адрес и ип из вашей сети Local Network.
Remote Network обязательно нужно указывать только в случае Site-to-Site.
-
По поводу Protocol - TCP Следует использовать в случае, если клиенты будут ходить через прокси. В других случаях предпочтительнее UDP (приоритет выше).
LZO компрессию при хорошем канале лучше отключить.
Address Pool и Local Network должны быть разными. Таким образом у вас будет 3 разных сети.
Local Network<->VPN Network(adress Pool)<->Remote NetworkОдинаковый пул адресов можно использовать только с Layer 2 туннелем, используя бридж с впн интерфейса с локальным. Тогда удаленные клиенты получат мак адрес и ип из вашей сети Local Network.
Remote Network обязательно нужно указывать только в случае Site-to-Site.
Хотелось-бы понять работу этой логики Local Network<->VPN Network(adress Pool)<->Remote Network
допустим у меня за OpenVPN локальная сеть из 78.45.23.1-78.45.23.254 /255.255.255.0
тогда для доступа к этой сети пишу
Address Pool - 78.45.0.0/24
Local Network - 78.45.23.0/24В фаервол для удобства отключил, ( в pfsense просто вписал правило входящие all [разрешил все на интерфейсе wan] )
-
Нужно добавить в веб админку интерфейс VPN (tun0) и прописать для него правила.
Чтобы не путаться лучше использовать Address Pool типа 10.0.0.0/24 -
Нужно добавить в веб админку интерфейс VPN (tun0) и прописать для него правила.
Чтобы не путаться лучше использовать Address Pool типа 10.0.0.0/24Вот собственно как я себе это представляю, выкладываю скринами с комментариями.
1 рис. Создал интерфейс VPN (tun0)
Тут все понятно, вопроса не возникла.
2 рис. На интерфейсе прописал следующию конфигурацию
Ip 10.0.0.0 /24 Но так и не понял, где тут связь с OpenVPN.
3 рис. Дли интерфейса VPN (tun0) временно разрешил все, чтоб не заморачиваться на портах.
4 рис. Настройки OpenVPN сервера
протокол udp
порт 1194
Address pool 10.0.0.0 /24
Local networc 78.45.23.0 /24
5 рис. продолжение настроек OpenVPN
-
10.0.0.0/24 - это 255 хостов, в поле IP в настройках интерфейса вообще ничего указывать не нужно.
-
10.0.0.0/24 - это 255 хостов, в поле IP в настройках интерфейса вообще ничего указывать не нужно.
Там либо бридж необходимо выбрать, либо IP- вбить Interfaces: Optional 1 (VPN). ну еще можно DHCP выбрать, я не понемаю, что значит оставить пустым?
-
DHCP
-
DHCP
Да, установил DHCP. С остальными настройками все вроде верно, сеть 78.45.23.0 должна быть мне доступна.
-
DHCP
Да, установил DHCP. С остальными настройками все вроде верно, сеть 78.45.23.0 должна быть мне доступна.
Очень неприятная особенность клиента OpenVPN GUI при установке связи из под клиента windows приоритет интерфейся передается TAP-Win32 Adapter V9, следовательно местные шлюзы и ДНС перестают быть доступными из под Windows. И в ряде случаев клиент отваливается, как только приоритет восстанавливается связь снова налаживается.
У кого какие есть мысли на этот счет?