Pfsense ile OpenVPN client bağlantısı

tuzsuzdeli

Bendeki son durum şudur
Bir vpn sağlayıcıdan, username, password, sertifikalar vesaire tüm bilgileri aldım.
Pfsense'de openvpn client kullanarak, karşı taraf ile bağlantıyı kurdum. Ip aldık, bu bağlantıyı bir interface ve gateway olarak da oluşturduk.
Elimizde bir VPN gateway'i var.

Konfigürasyon yönergeleri gereği Firewall-NAT ayarlarını da automatic'den Manuel'e çevirdik.

Bu arada sistem 2.0.3, squid kurulu, 3 wan ile loadbalance var.

Yalnız işin ilginç yanı, LAN tarafında herhangi bir firewall kuralı tanımlamamış olduğumuz halde ve trafiği VPN gateway'ine yöneltmemiş olduğumuz halde, bu VPN bağlantısı aktifleştirilir aktifleştirilmez bütün trafik VPN üzerinden geçmeye başlıyor.
whatismyip gibi sitelerden kontrol ettiğimizde, VPN bağlantısının ip'si görünüyor.
Örneğin, speedtest yaptığımızda, ip'miz VPN'de aldığımız ip olmasına rağmen, loadbalance yaptığımız diğer 2 hattımızdan da veri geliyor.

Nasıl iş anlamadım.

Benim amacım, sadece belli servisleri VPN'e yönlendirip kalanları normal WAN'dan çıkarmak.

Bu sorunu nasıl çözebilirim ?

Sanki bir routing sıkıntısı var.
VPN bağlantısı aktif olduğunda, pfsense route tablosunun üzerine mi yazıyor ?
Log'lara bakınca openvpn'in, bağlantı sağladıktan sonra şunları eklediğini görüyorum, bağlantıyı deaktif edince de siliyor bunları (en alttaki satırlar).

10.66.0.1 vpn bağlantısının gateway'i, 10.66.0.5 vpn'den aldığımız ip
212.117.160.220, vpn bağlantısının, yurtdışındaki çıkış server ip'si
192.168.1.1 vpn bağlantısının bizdeki çıktığı cihazın ip'si

Apr 4 09:42:37 openvpn[8824]: /sbin/route add -net 10.66.0.1 10.66.0.5 255.255.255.255
Apr 4 09:42:37 openvpn[8824]: /sbin/route add -net 128.0.0.0 10.66.0.5 128.0.0.0
Apr 4 09:42:36 openvpn[8824]: /sbin/route add -net 0.0.0.0 10.66.0.5 128.0.0.0
Apr 4 09:42:36 openvpn[8824]: /sbin/route add -net 212.117.160.220 192.168.1.1 255.255.255.255

akula

loadbalance icin VPN adresine gidiş kuralı oluşturarak,
TEK GW den VPN servera ulaşmayı yaptınız değil mi?

tuzsuzdeli

@akula:

loadbalance icin VPN adresine gidiş kuralı oluşturarak,
TEK GW den VPN servera ulaşmayı yaptınız değil mi?

Zaten problem o.
Böyle bir tanımlama yapmamış olmamıza rağmen, VPN gatewayi kullanılıyor.

hoscakal

@tuzsuzdeli

benimde çok uğraşlarıma rağmen aynı sorunu geçemedim.

benim tek aklıma gelen open vpn server kurulurken şöyle bir seçenek mevcut

Redirect Gateway Force all client generated traffic through the tunnel.

eğer bağlandığımız serverlar da bu seçenek aktif ise muhtemelen bizim tüm trafiğimizin oraya gitmesini sağlıyor.

client bağlantısı oluşturulurken advanced option kısmına bununla ilgili bir şey yazmalıyız ki bu kuralı ezebilsin ya da yoksaysın bununla ilgili araştırma yapmaktayım bulursam paylaşacağım.

şimdilik aklıma gelen tek şey bu…

tuzsuzdeli

@hoscakal:

@tuzsuzdeli

benimde çok uğraşlarıma rağmen aynı sorunu geçemedim.

benim tek aklıma gelen open vpn server kurulurken şöyle bir seçenek mevcut

Redirect Gateway Force all client generated traffic through the tunnel.

eğer bağlandığımız serverlar da bu seçenek aktif ise muhtemelen bizim tüm trafiğimizin oraya gitmesini sağlıyor.

client bağlantısı oluşturulurken advanced option kısmına bununla ilgili bir şey yazmalıyız ki bu kuralı ezebilsin ya da yoksaysın bununla ilgili araştırma yapmaktayım bulursam paylaşacağım.

şimdilik aklıma gelen tek şey bu…

Hemfikirim.
Ya bunu yapacağız, ya da bağlantı sağlandıktan sonra route tablosuna elle bir yönlendirme girecek şekilde bir mantık geliştireceğiz.

hoscakal

@tuzsuzdeli

bizden başka ilgilenen yok sanırım konuyla :D

dünkü denemeden sonra epey bir şeyler öğrendik. ne var ne yok deneyeceğim manual dekilerin :)

aydemir_07

Hocam ilgilenmede sıkıntı yok. Sıkıntı teknik bilgide. Diğer sayfada arkadaşın vermiş olduğu siteden VPN ayarlarını buldum fakat server'a bağlanamdım bir türlü. İngilizce sayfalara baktım bir örnek bulamayınca vazgeçtim. Sizin kadar bu sayfayı da mesaj var mı diye her gün kontrol ediyorum. ;)

hoscakal

benim verdiğim bir link var
ordakini birebir yaptığında sorunsuz çalışıyor

hatta tuzsuzdeli ile ben aramızda vpn kurup benim internetimden faydalandırdım. benim ip'im ile internette dolaştı.

server bizde olduğu zaman sorun yok ama server başkasınınsa

redirect gateway olayından ötürü tüm pfsense trafiği vpn'e akıyor bunu engellemenin yolunu arıyoruz

tuzsuzdeli

Yani son durumda, OpenVpn ile istediğimizi yapmanın yolunu, trafiği sınıflandırarak bir kısmını normal Adsl ve her neyse, o bağlantıya, bir kısmını OpenVpn bağlantısına yönlendirebildik.

Ancak bunu yaparken, OpenVpn server tarafında ayar yapmak gerekiyor.
Bu tip servis sağlayıcılar da bu ayarı bizim istediğimiz şekilde sunmuyorlar.

Şimdi ya bu etkiyi gösterecek opsiyonları OpenVpn client tarafında bulacağız.
Ya da en kötü ihtimal, yurtdışında bir VPS filan alıp onun üzerinde OpenVpn server yapılandırıp onu kullanacağıuz (ki bazı sanal server sağlayıcılar sayesinde, bunu Vpn hizmetinden daha düşük ücretlere bile maletmek mümkün görünüyor).

cenkata

merhaba arkadaşlar,

Ben client vpn' i yaptım bağlantı kuruldu. isp ip adresimde değişti. tüm herkes internete girebiliyor ancak mail gönderip alamıyor. vpn' i kendi bilgisayarımın üzerinden pfsense den bağımsız olarak yapılandırdığımda hiç bir sorun yok. Nerede hata yapıyor olabilirim.

Saygılar
Kolay Gelsin

firatnemis

Cyberoam ile nasılk bağlantı yapabilirim ? client olarak cyberoama bağlanmak istiyorum pfsense ile ?

hoscakal

cyberroam da pfsense gibi bir firewall sanırım

ikisi arasında vpn kurabilirsin ama cyberroam ın arayüzüne bakmak lazım seçenekler nedir vb.

firatnemis

@hoscakal:

cyberroam da pfsense gibi bir firewall sanırım

ikisi arasında vpn kurabilirsin ama cyberroam ın arayüzüne bakmak lazım seçenekler nedir vb.

Ben Cyberoam VPN Firewall Routerı da pfSense'e client gibi kurabildim herhangi bir sıkıntı yok ancak tuzsuzdeli ve hoscakal yaşadığı sıkıntıların aynısını yaşıyorum. VPN'i alır almaz devreye bütün trafik onun üzerinden route haline geliyor.

Bu noktada da sanırım bir çözüm bulabilen olmamış, ancak teori ve pratikte de böyle bir şeyi yapamamak mantıksız geliyor ?

Acaba bu sorunun çözümü ile ilgili 2.1.5 versiyonunda bir gelişme vs varmıdır ? Buna pfSense 2.0.3 'ün bug'ı diyebilirmiyiz veya böyle bir route yapmaması normal mi ?

VPN'i sadece belirli servislere yönlendirmek ve diğer loadbalance'ı default gateway kullanmak için ?

Teşekkür ederim.

cenx

Merhabalar

Bu günlerde benim de ihtiyacım var böyle bir çözüme.
Belirli portları vpn bağlantısından çıkarmak istiyorum.
Bunun için vpn bağlantısına bir interface oluşturup, kurallar kısmından belirli portlara gateway tanımlaması yapabilir miyim?

İyi günler.

tuzsuzdeli

Bu başlık ilk açıldığında 2.0.3 versiyon kullanıyordum.
Yakın zamanda 2.3.3 versiyona güncelleme yaptığımda şunu bir kurcalayayım dedim.

VPN->OpenVPN->Clients menüsünde

Don't pull routes diye bir seçenek gelmiş

Açıklaması şu şekilde :
Bars the server from adding routes to the client's routing table
This option still allows the server to set the TCP/IP properties of the client's TUN/TAP interface.

Eğer bu seçenek işaretli değilse, tıpkı eskiden olduğu gibi, tüm trafik VPN'e yönleniyor.
Ancak bu seçeneği işaretleyince, trafik yönlenmiyor.

Sanırım bu noktada firewall kuralları ile, kural bazlı olarak trafiği ayırıp bir kısımını normal wan'a bir kısmını Openvpn gateway'ine yönlendirmek mümkün olacak.

Benim sistemde squid'de kurulu olduğundan ve squid, firewall kurallarından önce araya girdiğinden, işin bu kısmını henüz test edemedim.
İmkanı olanlar yukarıdaki durumu test edip sonucu yazarlarsa güzel olur.

Ben de bu noktadan sonra, ya squid'in default gateway'i kullanması sebebi ile, Vpn gateway'ini, System-Routing-Gateways altından, default gateway yaparak kullanmayı deneyeceğim (ama bu durumda içerideki clientları ayıramayacağım)

Ya da squid custom options'da ACL yazıp clientları VPN kullanacak ve kullanmayacak olarak bölüp, onları da tcp_outgoing_address ile wan ve VPN gateway'lerine ayıracağım.

pfsensebits

herkese merhabalar,

pfsense kullanıyorum, open vpn ile client to site vpn'i başarılı bir şekilde çalıştırdım. hem android hem ios'a import ettiğim config'le çalıştığını da teyit ettim.

şu konuda yardım istiyorum; ISP tarafından static IP satın almadım, dynamic IP ile testler yapıyorum. IP değiştiğinde de client IP değişikliğinden haberi olmadan nasıl bağlanabilir. domain üzerinden yapacak ama nasıl yapacağı konusunda yardım/önerilerinizi bekliyorum.

teşekkürler.

tuzsuzdeli

Herhangi bir dinamik ip servisini kullanabilirsiniz.

pfsensebits

@tuzsuzdeli:

Herhangi bir dinamik ip servisini kullanabilirsiniz.

@tuzsuzdeli hocam,

Yanıt için teşekkür ederim. Sorumu güncelleyeyim o halde; pfSense DynamicDNS bölümünde kullanmak üzere OpenDNS'i kullanıyorum. Değişen IP adresimi OpenDNS'e girip öğrenebiliyorum bunda bir sıkıntım yok.

Yapmak istediğim şey örneğin elektrikler gitti ve IP adresim değişti OpenDNS üzerinden gördüğüm güncel IP'im ile VPN yapabilir miyim? Yoksa pfSense üzerinde VPN>OpenVPN>ClientExport işlemini
ip değişikliği sonrasında her seferinde yapıp sertifikayı tekrar indirip öyle mi yapmalıyım ? Çünkü oradan indirdiğim sertifika ve config file ile telefondan vs VPN yaparken eski IP gözükücek pfSense bunu algılar mı? Gidip modem fişini çekip bu sorumun cevabını öğrenebilirim ama bu konuda tecrübeniz olduysa aktarırsanız memnun olurum.

Edit: Modem fişini çekip tekrar dynamic IP aldım, sonuç eski VPN config'imle VPN yapamıyorum.

Teşekkürler.

tuzsuzdeli

server host olarak ip numarası yerine, dynamic dns'deki host adresini yazarsanız olması lazım.
bu durumda client export ettiğinizde, config dosyasında host adresi olur. (mevcut config dosyasında manuel olarak da düzenleyebilirsiniz)

ancak ip numarası değiştiğinde, dns'in güncelleme süresi kadar beklemeniz gerekir.

Cesur

Merhaba Arkadaşlar,

PFSense de yeniyim bilgilerinize ihtiyacım var, PFSense - OpenVPN kullanmak istiyorum,

20 kullanıcı için VPN kısıtlaması var mı? ne gibi problemle karşılaşırım?