Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Настройка OpenVPN remote access SSL\TLS PFsense, есть вопросы…

    Scheduled Pinned Locked Moved Russian
    16 Posts 4 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bcontrol777
      last edited by

      @pigbrother:

      Попробуйте добавить на LAN pfSense выше остальных правило
      IPv4 * LAN net * 192.168.1.0/24 * * none

      Сделано. Но результата по прежнему нет. Надеюсь я вас правильно понял и сделал так как вы просили? ) Или это в разделе LAN нужно было сделать? Не проснулся, ещё, туплю немного ))) Вообщем через LAN та же ерунда. ))

      1 Reply Last reply Reply Quote 0
      • B
        bcontrol777
        last edited by

        Выложу некоторые скрины настроек, может кто углядит какой косяк…

        Расширенные настройки сервера

        Расширенные настройки OpenVPN: Client Specific Override

        1 Reply Last reply Reply Quote 0
        • B
          bcontrol777
          last edited by

          Этот OpenVPN меня скоро с ума сведёт…  :'( :'( :'(
          Сменил режим с remote access на peer to peer, но воз и ныне там. ((
          Удалённый клиент по прежнему подключается, ему присваивается адресс 10.0.8.6, по этому адресу пинги проходят, но вот адресса из его локальной сети по прежнему не пингуются.  :'( :'( :'(
          За сервером же все мои ресурсы доступны клиенту из удалённой сети, клиент спокойно заходит на PFSense и на другие сервера моей локалки,всё пингуется, кроме устройств у которых не указан шлюз, но и х..ен бы с ними, главное компы пингуются. Хотелось бы чтобы я хотя бы так же видел сеть клиента. Please help!!!  :'( :'( :'(

          1 Reply Last reply Reply Quote 0
          • B
            bcontrol777
            last edited by

            Дальнейшее красноглазие так и не позволило увидеть сеть за клиентом. Подозреваю, что так и должно быть, поскольку VPN клиент поднят на виндовой машине за клиентским роутером… Поэтому к сожалению похоже что на Openvpn придёться забить. ((

            Есть возможность прошить клиентский Туполинк в DD-wrt где будет PPTP клиент и попробовать подконектиться к созданному на PFSense PPTP серверу. Кто нибудь побровал поднять подобный туннель? Как оно работает?

            1 Reply Last reply Reply Quote 0
            • R
              rubic
              last edited by

              @bcontrol777:

              Этот OpenVPN меня скоро с ума сведёт…  :'( :'( :'(
              Сменил режим с remote access на peer to peer, но воз и ныне там. ((
              Удалённый клиент по прежнему подключается, ему присваивается адресс 10.0.8.6, по этому адресу пинги проходят, но вот адресса из его локальной сети по прежнему не пингуются.  :'( :'( :'(

              С какого перепугу они должны пинговаться? Откуда комп в локальной сети клиента должен знать, что в сеть за сервером можно попасть через комп, который поднимает клиентское соединение с OpenVPN сервером? В чужую сеть он шлет ответы через default gateway, т. е. через TP-Link. Так что соединение должен поднимать шлюз, а не просто машина в сети.

              1 Reply Last reply Reply Quote 0
              • B
                bcontrol777
                last edited by

                @rubic:

                С какого перепугу они должны пинговаться? Откуда комп в локальной сети клиента должен знать, что в сеть за сервером можно попасть через комп, который поднимает клиентское соединение с OpenVPN сервером? В чужую сеть он шлет ответы через default gateway, т. е. через TP-Link. Так что соединение должен поднимать шлюз, а не просто машина в сети.

                Да да да именно так. Я это уже понял. Извиняюсь, тупил. )) Но к сожалению клиентский роутер даже с прошитой DD-WRT не умеет OpenVPN client, Tomato так же не поддерживается, есть возможность только  PPTP соединения. Сейчас поднял подобное на PFSense, попробовал подключиться со смартфона, подключается, работает. Осталось дождаться когда клиент придёт домой и попытаться поднять соедининие с его TP-Linka с прошитой DD-wrt.

                1 Reply Last reply Reply Quote 0
                • B
                  bcontrol777
                  last edited by

                  Хотел переименовать тему, поскольку про OpenVPN уже речи не идёт, но к сожалению уже поздно, поэтому продолжу тут.
                  Не без плясок с бубном удалось прицепиться PPTP клиентом DD-WRT к PPTP серверу PFSense. Всё поднялось, всё подцепилось и вроде как работает. Но машин в локалке до сих пор нет и не видим друг у друга. ((

                  Лог с сервера

                  May 13 18:40:57 pptps: MPPC
                  May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
                  May 13 18:40:57 pptps: [pt0] CCP: rec'd Configure Request #2 (Req-Sent)
                  May 13 18:40:57 pptps: MPPC
                  May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
                  May 13 18:40:57 pptps: [pt0] CCP: SendConfigAck #2
                  May 13 18:40:57 pptps: MPPC
                  May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
                  May 13 18:40:57 pptps: [pt0] CCP: state change Req-Sent –> Ack-Sent
                  May 13 18:40:57 pptps: [pt0] CCP: rec'd Configure Ack #2 (Ack-Sent)
                  May 13 18:40:57 pptps: MPPC
                  May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
                  May 13 18:40:57 pptps: [pt0] CCP: state change Ack-Sent –> Opened
                  May 13 18:40:57 pptps: [pt0] CCP: LayerUp
                  May 13 18:40:57 pptps: Compress using: mppc (MPPE(128 bits), )
                  May 13 18:40:57 pptps: Decompress using: mppc (MPPE(128 bits), )
                  May 13 18:40:57 pptps: [pt0] IPCP: rec'd Configure Request #1 (Req-Sent)
                  May 13 18:40:57 pptps: COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
                  May 13 18:40:57 pptps: IPADDR 192.168.1.1
                  May 13 18:40:57 pptps: NAKing with 192.168.0.200
                  May 13 18:40:57 pptps: PRIDNS 0.0.0.0
                  May 13 18:40:57 pptps: NAKing with 192.168.0.1
                  May 13 18:40:57 pptps: SECDNS 0.0.0.0
                  May 13 18:40:57 pptps: NAKing with 85.234.33.23
                  May 13 18:40:57 pptps: [pt0] IPCP: SendConfigNak #1
                  May 13 18:40:57 pptps: IPADDR 192.168.0.200
                  May 13 18:40:57 pptps: PRIDNS 192.168.0.1
                  May 13 18:40:57 pptps: SECDNS 85.234.33.23
                  May 13 18:40:57 pptps: [pt0] IPCP: rec'd Configure Request #2 (Req-Sent)
                  May 13 18:40:57 pptps: COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
                  May 13 18:40:57 pptps: IPADDR 192.168.0.200
                  May 13 18:40:57 pptps: 192.168.0.200 is OK
                  May 13 18:40:57 pptps: PRIDNS 192.168.0.1
                  May 13 18:40:57 pptps: SECDNS 85.234.33.23
                  May 13 18:40:57 pptps: [pt0] IPCP: SendConfigAck #2
                  May 13 18:40:57 pptps: COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
                  May 13 18:40:57 pptps: IPADDR 192.168.0.200
                  May 13 18:40:57 pptps: PRIDNS 192.168.0.1
                  May 13 18:40:57 pptps: SECDNS 85.234.33.23
                  May 13 18:40:57 pptps: [pt0] IPCP: state change Req-Sent –> Ack-Sent
                  May 13 18:40:58 pptps: [pt0] IPCP: SendConfigReq #2
                  May 13 18:40:58 pptps: IPADDR 192.168.0.254
                  May 13 18:40:58 pptps: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
                  May 13 18:40:59 pptps: [pt0] IPCP: rec'd Configure Ack #2 (Ack-Sent)
                  May 13 18:40:59 pptps: IPADDR 192.168.0.254
                  May 13 18:40:59 pptps: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
                  May 13 18:40:59 pptps: [pt0] IPCP: state change Ack-Sent –> Opened
                  May 13 18:40:59 pptps: [pt0] IPCP: LayerUp
                  May 13 18:40:59 pptps: 192.168.0.254 -> 192.168.0.200
                  May 13 18:40:59 pptps: [pt0] IFACE: Up event

                  В настоящее время схема сети чуть изменилась и выглядит так. В одном из топиков на этом форуме уважаемый WERTER советовал использовать server address из подсети сервера, решил последовать его совету и сделал так же.

                  В настоящее время пингуется только Туполинк он же клиент PPTP получивший 192.168.0.200. (но на вэб интерфейс к нему не пускает, хотя нету никаких ограничений)

                  Куда копать? Куда пинговать? Куда Трэйсить? Помогите пожалуйста, хочу наконец то погамать с френдами с Диаблу 2. ))

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    1. Не совпадают ли выдаваемые при pptp-покдлючении адреса с адресами внутри удаленной сети ? Проверьте этот момент.
                    2. Вам необходимо "объяснить" роутеру, что все что обращается к удаленной сети должно идти через туннель. Не весь трафик!
                    3. Необходимо вкл. NAT для этого туннеля на dd-wrt. А также разрешить прохождение трафика через этот туннель. Это делается силами iptables
                    на DD-WRT.  Если в интерфейсе нет "галок" по этому поводу.

                    Не совсем то, но все же видно где прописываются скрипты - http://habrahabr.ru/post/255655/ (не испю как рук-во к действию!)

                    P.s. На dd-wrt есть же OpenVPN, но почему он у Вас не заработал OpenVPN, я не знаю  :'(

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      >P.s. На dd-wrt есть же OpenVPN, но почему он у Вас не заработал OpenVPN, я не знаю

                      Не во всех редакциях. Для роутеров с малым количеством (4МБ) встроенного флэша доступен только PPTP.

                      1 Reply Last reply Reply Quote 0
                      • B
                        bcontrol777
                        last edited by

                        @werter:

                        1. Не совпадают ли выдаваемые при pptp-покдлючении адреса с адресами внутри удаленной сети ? Проверьте этот момент.
                        2. Вам необходимо "объяснить" роутеру, что все что обращается к удаленной сети должно идти через туннель. Не весь трафик!
                        3. Необходимо вкл. NAT для этого туннеля на dd-wrt. А также разрешить прохождение трафика через этот туннель. Это делается силами iptables
                        на DD-WRT.  Если в интерфейсе нет "галок" по этому поводу.

                        Не совсем то, но все же видно где прописываются скрипты - http://habrahabr.ru/post/255655/ (не испю как рук-во к действию!)

                        P.s. На dd-wrt есть же OpenVPN, но почему он у Вас не заработал OpenVPN, я не знаю  :'(

                        1. При подключении клиентскому роутеру выдаётся адресс 192.168.0.200 Удалённая сеть имеет другую подсеть 192.168.1.0, навряли там чтото будет совпадать, но на всякий случай посмотрю.
                        2. Какому именно роутеру? PFSense? Можно поподробнее про этот момент?
                        3. На роутере с DD-Wrt стоят галки  Allow PPTP passthrough и т.д, фаервол на всякий пожарный в disable. Касательно  NAT я не обращал внимания, есть ли что там по этому поводу, посмотрю. По поводу iptables тоже попробую закрасноглазить, но из вэб интерфейса там это помоему не настраивается, видимо придётся тыкаться telnet-ом.

                        Данная модель роутера старая, поэтому про OpenVPN там речи не идёт. ((( Только PPTP.

                        Заметил кстати небольшую странность - Когда клиент подключается, Туполинку выдаётся адресс 192.168.0.200, этот адресс благополучно пингуется со стороны сети за сервером, но стоит попытаться полезть к нему на вебморду через браузер, как эта попытка оканчивается неудачным подключением и туполинк после этого больше не пингуется даже. Что это могло бы значить даже не предположу. Как будто какой то фаервол срабатывает и банит всё, приходится переподключаться чтобы пинговалось.  :P :-\ :'(

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          1. При подключении клиентскому роутеру выдаётся адресс 192.168.0.200 Удалённая сеть имеет другую подсеть 192.168.1.0, навряли там чтото будет совпадать, но на всякий случай посмотрю.

                          Адреса выдаваемые удаленным клиентам при поднятии PPTP-сессии должны быть из локальной подсети за pfsense. Как и адрес pptp-сервера.

                          3. На роутере с DD-Wrt стоят галки  Allow PPTP passthrough и т.д, фаервол на всякий пожарный в disable.

                          Это разрешение на прохождение pptp-соединения от клиентов "сквозь" роутер. И насчет выкл. фаерволла не уверен.

                          Вопрос. Почему бы Вашим друзьям просто самим не подключаться с пом. pptp (или openvpn) к pfsense ? Зачем мудрите с роутером?

                          P.s. Посмотрите еще в сторону Tinc. Можно и с ним по-мучаться.

                          1 Reply Last reply Reply Quote 0
                          • B
                            bcontrol777
                            last edited by

                            @werter:

                            Адреса выдаваемые удаленным клиентам при поднятии PPTP-сессии должны быть из локальной подсети за pfsense. Как и адрес pptp-сервера.

                            Если посмотрите на схему выше, то всё так и есть. Конфликтующих хостов в удалённой сети нет. Я проверил.

                            @werter:

                            Вопрос. Почему бы Вашим друзьям просто самим не подключаться с пом. pptp (или openvpn) к pfsense ? Зачем мудрите с роутером?

                            Собственно сейчас так и играем через openvpn. Зачем мудрим с роутером? Хороший вопрос. Во первых не люблю софтварные решения с софтварными клиентами, а во вторых просто по работе скоро возможно понадобиться объединить несколько удалённых сетей в локалку, так чтобы все видели друг друга, поэтому так скажем пока тренируюсь на кошках, это всяко лучше чем впарить клиентам кучу ненужного и возможно дорогого железа, а потом долго заниматься с ним сексом, если можно не покупая дорогих циско\джуниперов, сделать всё тоже самое на копеечном Туполинке. )

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.