Sfat configurare retea si openVPN

gsv

Am inteles…o sa scot regula din NAT ptr LAN. Am atasat printscreen-urile.
Maine o sa pot incerca cu regula adaugata in firewall-openVPN ptr ca testele, deocamdata le fac cu PC-ul meu de acasa care este inchis.
Multumesc.
Apropo de regula NAT ptr 10.100.1.0/30: cat nu a fost pusa acolo, in TRAFFIC GRAPH nu vedeam nici un fel de trafic ptr LAN, decat pentru LAN2. Oricum iti urmez sfatul si o sa o scot de acolo.


catalin

Deci ce ai in regulile de NAT outbound pare ok , insa acele reguli de natare sunt doar pentru a lasa respectivele adrese - in cazul tau 192.168.1.0/24 , 127.0.0.0/8 si 10.100.1.0/30 sa iasa prin WAN - sa faci "internet sharing" . regulile de firewall sunt ok , problema poate fi in setarile OpenVPN , poti pune un scr si cu setarile de openvpn  ?

gsv

Sa inteleg ca e bine sa las si regula de NAT pentru LAN cea cu 10.100.1.0/30?

Intr-un final am lasat bifata chestia cu all trafic trough vpn tunnel si care functioneaza. Clientul iese la net prin IP-ul public de acolo.
Chiar imi scapa ceva si nu stiu ce…..


gsv

Uite si un trace catre Yahoo de la client….....nu vad ca ar trece prin 10.100.1.1.......ci direct WAN si mai departe.......

catalin

salut ,

daca vrei sa poti iesi pe net de pe clasa 10.100.1.0/30 lasa-l in NAT .
setarile openvpn arata ok .
Mai am nevoie de un traceroute / ping de la un clint openvpn spre 10.100.1.2 . Ai verificat firewall-ul pe 10.100.1.2 ? Serverul DC va primi requesturi de pe pe o alta clasa ( 10.0.9.0/24) e posibil sa blocheze asta .

multumesc

gsv

Am avut firewall dezactivat pe server si degeaba…....
Acum am o alta problema si cer o parere ca nu cumva sa fie din setarile de pe LAN.
Am conectat clientii pe domeniu ok , dar nici unul nu poate iesi la net. DC aloca tot ce trebuie: IP, Gateway, DNS care e serverul DC(are forward catre dns RDS) dar nu iese nici un client spre net. Daca dau un ping in gateway de la un client (10.100.1.1) nu imi raspunde. Ai vreo idee in privinta asta?
Multumesc mult de ajutor. O sa verific si ce ai spus mai sus.

catalin

da-mi de pe masina unui client :

ipconfig /all
tracert 8.8.8.8

ai mai modificat ceva in regulile de firewall LAN ?

gsv

Nu am modificat nimic…..Client de open VPN sau client de domeniu.....la care tereferi acum, ca m-ai pierdut?
Uite si un tracert de la un client openVPN.....


catalin

ma refeream la cei de domeniu , unde nu ai conectivitate la net

gsv

Dupa ce mi-ai zis de tracert , am dat de la un client VPN asta si acum vad ca nu imi aloca gateway….
Acum testez si domeniul..

gsv

Uite si screen-urile celelalte….vad ca rezolva adresa 8.8.8.8


catalin

:D

de ce ai setat 10.100.1.1 ca default gateway ?

avand in vedere ca pe LAN ai 10.100.1.0/30 acesta nu va raspunde decat cererilor venite de la 10.100.1.1 si 10.100.1.2 .

Fie setezi masca 255.0.0.0 pe pfsense interfata LAN sie setezi in dhcp default gateway 10.100.1.2 si faci rutarea pe spre net de pe masina windows .

gsv

Am setat asa cu gandul ca 10.100.1.1 este interfata de pe LAN a pfsense si este gateway pentru ce vine in ea…..dar ai dreptate ca nu stie decat de /30.
Am setat pe client gateway 10.100.1.2 si tot nu iese. Mai trebuie adaugat vreo regula ceva?

gsv

Daca setez masca 255.0.0.0 pe pfsense asta nu inseamna ca trebuie sa activez DHCP pfsensului?
Mai bine nu creez o regula in firewall ca tot ce vine in 10.100.1.1 din 10.100.1.1/24 sa iese in WAN?
As vrea doar pfsense sa fie gateway si atat….....derestul sa se ocupe DC-ul.

catalin

in cazul in care ai pus la gateway 10.100.1.2 va trebui sa mai faci cateva modificari pe windows server .

Uite aici sa iti faci o idee ce ar trebui sa faci : http://www.windowsnetworking.com/articles-tutorials/windows-server-2008/Using-Windows-Server-NAT-Router.html

nu , dhcp-ul il activezi doar daca ai nevoie , insa daca setezi masca pe 255.0.0.0 orice client va avea access la gateway , urmand sa acorzi o atentie mai mare regulilor de firewall

catalin

personal iti recomand sa folosesti ca gateway pfsense-ul , nu are rost sa mai incarci si windows-ul pt asta , in fond pt asta e pfsense-ul .

gsv

Pai asta ziceam si eu…sa ma folosesc de pfsense ca gateway ca imi place la nebunie.....dar m-am pierdut naiba de tot zilele astea......te impinge lumea de la spate si trebuie sa pun reteaua pe picioare. M-am capiat de tot......
O sa trec masca pe 255.0.0.0 si gata, ca oricum clientii ii vreau sa iasa la net. Nu e nici o problema......filtrari si alte chestii o sa le fac eu prin pfsense, prin DNS-uri etc.
Incerc asta acum si te anunt.
Multumesc mult

gsv

Am pus masca pe 255.255.255.0 ca nu am nevoie de atatea adrese.

Multumesc mult….....asta era. Ce zapacit sunt frate. Masca era de vina. Inca odata multumesc mult.

catalin

npc :D , happy networking with pfSense

gsv

Ce facem cu VPN-ul???? Mai ai vreo idee?
Nu imi aloca gateway!!!!