VPN сервер на Pfsense 2.2.5
-
:o Доброго времени суток .
Пытаюсь настроить VPN соединение с офисом .
Настроил PPTP - работает (но говорят он не безопасен)
OpenVPN настраивать бессмысленно , он не встроен в винду и поэтому манагерам объяснять , что к чему - это тупик
L2TP - не подымается , вычитал что нужно ipsec отключить в винде через реестр . -не пробовал-Отдельно ipsec - не понял , как вообще работает , в винде нет его в чистом виде - как бы - в любом случае нужно указывать - пользователь и пароль.
В винде есть L2TP - ipsec связка , вот тут вопрос уважаемые знатоки –
-- Правильно ли я понял что для поднятия такого туннеля в Pfsense 2.2.5 нужно настроить и ipsec и L2TP
по этой инструкции http://shop.nativepc.ru/content/75-pfsense-2-cookbook-4 не получается , в гуггле нечего практичного не нашел .
Помогите разобраться -
OpenVPN настраивать бессмысленно , он не встроен в винду и поэтому манагерам объяснять , что к чему - это тупик
Ярлык на раб. стол. В чем проблема ? Я бы и по логину и паролю еще пускал, а не просто по сертификату.
Вы им и Ворд с Экселем ходите и запускатете лично ?Настроил PPTP - работает (но говорят он не безопасен)
Не говорят - доказано. В 2.3 и далее его вообще не будет.
-
Согласен с вами , поделитесь доками .
Сделал как вы сказали , поставил еще OpenVPN Client Export Utility
Домашний комп соединение подымает , пользователя завел - коннектится , Но нечего не пингуется , RDP не работает , шары не открывает . -
Клиента запускаете с правами админа? Вот на 99% правильная инструкция.
https://forum.pfsense.org/index.php?topic=99694.0Я бы и по логину и паролю еще пускал, а не просто по сертификату.
Полностью согласен, у себя сделал именно так. Кстати, авторизация через AD(Домен) тоже делается довольно просто, хотя у себя ее принципиально не задействовал.
На reddit (интересная ветка), вроде участвуют и разработчики pfSense:
https://www.reddit.com/r/PFSENSE/
написали про двухфакторную авторизацию так:
something you have (ключи\сертификаты) и something you know (логин\пароль) -
??? все делаю по инструкции , результат
Thu Nov 26 17:05:11 2015 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Russia, L=Moscow, O=xxxx, emailAddress=xxxxxxxxxxxxxxxxx, CN=vpn-server
Thu Nov 26 17:05:11 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Nov 26 17:05:11 2015 TLS Error: TLS object -> incoming plaintext read error
Thu Nov 26 17:05:11 2015 TLS Error: TLS handshake failed
Thu Nov 26 17:05:11 2015 SIGUSR1[soft,tls-error] received, process restarting
Thu Nov 26 17:05:13 2015 UDPv4 link local (bound): [undef] -
все делаю по инструкции
Явно при создании\использовании сертификатов ошибка. Удалите все сертификаты, и создайте всю цепочку заново:
CA->Server
CA->User -
;) В итоге , я рукожоп еще тот ))))
Первое обращайте внимание на разрядность винды у клиента )))
Второе - Если изначально сервер OpnVPN настраивали через визард , то вашу инструкцию нужно продолжать с момента создания корневого сертификата. У меня история такая - пробовал и настраивал через визард - Не получилось - удалил в ручную все сертификаты , и создавал
все вручную - ОШИБКА - какимто образом старый сертификат остается - и клиент выдает ошибку .Заработало так -
Удалил все сертификаты , которые создавал - НЕ УДАЛИТЕ СОЗДАННЫЙ ВЕБ СЕРТИФИКАТ , А ТО НЕ БУДЕТЕ ПОДКЛЮЧАТЬСЯ К ВЕБ МОРДЕ -
С помощью визарда - создал новый корневой сертификат и сертификат OpenVPN.
Вручную создал сертификат клиента - по вашей инструкции , выгрузил его - и УРРА заработало ))) -
Рад, что все ОК.
А за инструкцию благодарить надо StanislawK, хотя он тут появляться и перестал. -
;) Спасбо вам большое , и хороших выходных )))
-
;) В итоге , я рукожоп еще тот ))))
Первое обращайте внимание на разрядность винды у клиента )))\Всегда ставлю 32-х разр. версию. Даже на 64-х разр. систему.
P.s. У 64-х разр. Win есть нюансы с установкой неподписанных MS официально драйверов. Иногда приходится откл. это.
-
Cам драйвер единый для х86-х64, с ним в последних версиях проблем с подписью уже нет, его можно установить отдельно, отличия только в поддержке NDIS, NDIS 5 - XP, NDIS 6 - Vista и выше, разрядность при выборе собственно драйвера отсутствует:
OpenVPN uses TAP-windows to provide virtual tap device functionality on Windows. Normally you don't need to install TAP-windows separately, as OpenVPN installers include it. The tap-windows driver comes in two flavours: the NDIS 5 driver for Windows XP and NDIS 6 for Windows and above.
https://openvpn.net/index.php/open-source/downloads.html
Разрядность, похоже, относится исключительно к GUI\management\работе в виде сервиса.
Сама Client Export Utility создает индивидуально для каждого клиента полноценный компактный дистрибутив с драйвером, интегрированным конфигом, что очень удобно.
А вот предлагаемый ею Management Interface OpenVPNManager ставить не рекомендую, особого удобства не дает, интерфейс имеет запутанный и страшный, мешает переустановке Open VPN, удаляется только вручную, через командную строку с правами админа:sc delete OpenVPNManager