Подробно о настройках OpenVPN server

l2grom

И так, с генерациями лицензий и подключению к OpenVPN серверу я разобрался, топик может кому и пригодиться( http://forum.pfsense.org/index.php/topic,28588.0.html), сечас хочу разобраться с настройками этого сервера, понять его логику работы.

1. Как настроить OpenVPN сервер, чтоб при подключении клиенты могли видеть машины за OpenVPN.

Что я делаю, по шагам:
Protocol -Протокол, который будет использоваться для VPN. я использую TCP просто он мне нравиться)
Local port - Использую по умолчанию 1194 т.е это порт сервера к которому конектятся клиенты
Порт сервера OpenVPN будет слушать. 1194 является портом по умолчанию OpenVPN. Каждый сервер требует уникальный порт.
Address pool - так как моя локальная сеть за OpenVPN серверам 78.45.23.0/24 то я спользую следующий пул адресов 78.45.23.0/24 в итоге мои клиенты начинают получать IP- адреса с 78.45.23.4 / 255.255.255.252, следующий 78.45.23.8 / 255.255.255.252 и.т.д
Это пул адресов, чтобы быть отнесены к клиентам. Выраженный в CIDR диапазона (например 10.0.8.0/24). Если поле "Использовать статические IP-адреса" не установлен, клиентам будет присвоен адрес из этого пула. В противном случае, это будет использоваться для установки IP местных интерфейса.
Use static IPs - так и не понел как она работает, при установленной опции клиент не поднимается. Прописывал клиенту жесткий адрес 78.45.23.4 не пашет, клиент не конектиться.
Если эта опция установлена, IP-адреса не будут назначены для клиентов. Вместо этого, сервер будет использовать статические IP-адреса на его стороне, и клиенты будут использовать это же значение в поле Address pool.
Local network - как я понял, тут указываем сеть маской которая будет доступна клиентам. я указал 78.45.23.0/24
но не смотря на это сеть не доступна.

что где я не так понимаю?

Вот полный листинг конфига настроек сервера.

Protocol TCP
Local port 1194
Address pool 78.45.23.0/24
Use static IPs галочка не стоит
Local network 78.45.23.0/24
Remote network пробел
Client-to-client VPN да ( поставил галочку )
Cryptography BF-CBC (128)
Authentication method PCI
DHCP-Opt.: DNS-Domainname пробел
DHCP-Opt.: DNS-Server пробел
DHCP-Opt.: WINS-Server пробел
DHCP-Opt.: NBDD-Server пробел
DHCP-Opt.: NTP-Server пробел
DHCP-Opt.: NetBIOS node type h-node
DHCP-Opt.: NetBIOS Scope пробел
DHCP-Opt.: Disable NetBIOS пробел ( галочка не стоит, значит включено )
LZO compression поставил галочку
Custom options пробел
Description пробел

deutsche

По поводу Protocol - TCP Следует использовать в случае, если клиенты будут ходить через прокси. В других случаях предпочтительнее UDP (приоритет выше).

LZO компрессию при хорошем канале лучше отключить.

Address Pool и Local Network должны быть разными. Таким образом у вас будет 3 разных сети.
Local Network<->VPN Network(adress Pool)<->Remote Network

Одинаковый пул адресов можно использовать только с Layer 2 туннелем, используя бридж с впн интерфейса с локальным. Тогда удаленные клиенты получат мак адрес и ип из вашей сети Local Network.

Remote Network обязательно нужно указывать только в случае Site-to-Site.

l2grom

@deutsche:

По поводу Protocol - TCP Следует использовать в случае, если клиенты будут ходить через прокси. В других случаях предпочтительнее UDP (приоритет выше).

LZO компрессию при хорошем канале лучше отключить.

Address Pool и Local Network должны быть разными. Таким образом у вас будет 3 разных сети.
Local Network<->VPN Network(adress Pool)<->Remote Network

Одинаковый пул адресов можно использовать только с Layer 2 туннелем, используя бридж с впн интерфейса с локальным. Тогда удаленные клиенты получат мак адрес и ип из вашей сети Local Network.

Remote Network обязательно нужно указывать только в случае Site-to-Site.

Хотелось-бы понять работу этой логики Local Network<->VPN Network(adress Pool)<->Remote Network
допустим у меня за OpenVPN локальная сеть из 78.45.23.1-78.45.23.254 /255.255.255.0
тогда для доступа к этой сети пишу
Address Pool - 78.45.0.0/24
Local Network - 78.45.23.0/24

В фаервол для удобства отключил, ( в pfsense просто вписал правило входящие all [разрешил все на интерфейсе wan] )

deutsche

Нужно добавить в веб админку интерфейс VPN (tun0) и прописать для него правила.
Чтобы не путаться лучше использовать Address Pool типа 10.0.0.0/24

l2grom

@deutsche:

Нужно добавить в веб админку интерфейс VPN (tun0) и прописать для него правила.
Чтобы не путаться лучше использовать Address Pool типа 10.0.0.0/24

Вот собственно как я себе это представляю, выкладываю скринами с комментариями.
1 рис. Создал интерфейс VPN (tun0)
Тут все понятно, вопроса не возникла.
2 рис. На интерфейсе прописал следующию конфигурацию
Ip 10.0.0.0 /24 Но так и не понял, где тут связь с OpenVPN.
3 рис. Дли интерфейса VPN (tun0) временно разрешил все, чтоб не заморачиваться на портах.
4 рис. Настройки OpenVPN сервера
протокол udp
порт 1194
Address pool 10.0.0.0 /24
Local networc 78.45.23.0 /24
5 рис. продолжение настроек OpenVPN

1.GIF_thumb

2.GIF_thumb

3.GIF_thumb

4.GIF_thumb

5.GIF_thumb

deutsche

10.0.0.0/24 - это 255 хостов, в поле IP в настройках интерфейса вообще ничего указывать не нужно.

l2grom

@deutsche:

10.0.0.0/24 - это 255 хостов, в поле IP в настройках интерфейса вообще ничего указывать не нужно.

Там либо бридж необходимо выбрать, либо IP- вбить Interfaces: Optional 1 (VPN). ну еще можно DHCP выбрать, я не понемаю, что значит оставить пустым?

deutsche

DHCP

l2grom

@deutsche:

DHCP

Да, установил DHCP. С остальными настройками все вроде верно, сеть 78.45.23.0 должна быть мне доступна.

l2grom

@l2grom:

@deutsche:

DHCP

Да, установил DHCP. С остальными настройками все вроде верно, сеть 78.45.23.0 должна быть мне доступна.

Очень неприятная особенность клиента OpenVPN GUI при установке связи из под клиента windows приоритет интерфейся передается TAP-Win32 Adapter V9, следовательно местные шлюзы и ДНС перестают быть доступными из под Windows. И в ряде случаев клиент отваливается, как только приоритет восстанавливается связь снова налаживается.
У кого какие есть мысли на этот счет?