VPN сервер на Pfsense 2.2.5

dqdima · Nov 26, 2015, 8:46 AM

:o Доброго времени суток .
Пытаюсь настроить VPN соединение с офисом .
Настроил PPTP - работает (но говорят он не безопасен)
OpenVPN настраивать бессмысленно , он не встроен в винду и поэтому манагерам объяснять , что к чему - это тупик
L2TP - не подымается , вычитал что нужно ipsec отключить в винде через реестр . -не пробовал-

Отдельно ipsec - не понял , как вообще работает , в винде нет его в чистом виде - как бы - в любом случае нужно указывать - пользователь и пароль.

В винде есть L2TP - ipsec связка , вот тут вопрос уважаемые знатоки –

-- Правильно ли я понял что для поднятия такого туннеля в Pfsense 2.2.5 нужно настроить и ipsec и L2TP

по этой инструкции http://shop.nativepc.ru/content/75-pfsense-2-cookbook-4 не получается , в гуггле нечего практичного не нашел .
Помогите разобраться

werter · Nov 26, 2015, 10:44 AM

OpenVPN настраивать бессмысленно , он не встроен в винду и поэтому манагерам объяснять , что к чему - это тупик

Ярлык на раб. стол. В чем проблема ? Я бы и по логину и паролю еще пускал, а не просто по сертификату.
Вы им и Ворд с Экселем ходите и запускатете лично ?

Настроил PPTP - работает (но говорят он не безопасен)

Не говорят - доказано. В 2.3 и далее его вообще не будет.

dqdima · Nov 26, 2015, 11:30 AM

Согласен с вами , поделитесь доками .
Сделал как вы сказали , поставил еще OpenVPN Client Export Utility
Домашний комп соединение подымает , пользователя завел - коннектится , Но нечего не пингуется , RDP не работает , шары не открывает .

pigbrother · Nov 26, 2015, 1:06 PM

Клиента запускаете с правами админа? Вот на 99% правильная инструкция.
https://forum.pfsense.org/index.php?topic=99694.0

Я бы и по логину и паролю еще пускал, а не просто по сертификату.

Полностью согласен, у себя сделал именно так. Кстати, авторизация через AD(Домен) тоже делается довольно просто, хотя у себя ее принципиально не задействовал.

На reddit (интересная ветка), вроде участвуют и разработчики pfSense:
https://www.reddit.com/r/PFSENSE/
написали про двухфакторную авторизацию так:
something you have (ключи\сертификаты) и something you know (логин\пароль)

dqdima · Nov 26, 2015, 2:03 PM

??? все делаю по инструкции , результат

Thu Nov 26 17:05:11 2015 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Russia, L=Moscow, O=xxxx, emailAddress=xxxxxxxxxxxxxxxxx, CN=vpn-server
Thu Nov 26 17:05:11 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Nov 26 17:05:11 2015 TLS Error: TLS object -> incoming plaintext read error
Thu Nov 26 17:05:11 2015 TLS Error: TLS handshake failed
Thu Nov 26 17:05:11 2015 SIGUSR1[soft,tls-error] received, process restarting
Thu Nov 26 17:05:13 2015 UDPv4 link local (bound): [undef]

pigbrother · Nov 26, 2015, 2:18 PM

все делаю по инструкции

Явно при создании\использовании сертификатов ошибка. Удалите все сертификаты, и создайте всю цепочку заново:
CA->Server
CA->User

dqdima · Nov 27, 2015, 9:31 AM

;) В итоге , я рукожоп еще тот ))))
Первое обращайте внимание на разрядность винды у клиента )))
Второе - Если изначально сервер OpnVPN настраивали через визард , то вашу инструкцию нужно продолжать с момента создания корневого сертификата. У меня история такая - пробовал и настраивал через визард - Не получилось - удалил в ручную все сертификаты , и создавал
все вручную - ОШИБКА - какимто образом старый сертификат остается - и клиент выдает ошибку .

Заработало так -

Удалил все сертификаты , которые создавал - НЕ УДАЛИТЕ СОЗДАННЫЙ ВЕБ СЕРТИФИКАТ , А ТО НЕ БУДЕТЕ ПОДКЛЮЧАТЬСЯ К ВЕБ МОРДЕ -
С помощью визарда - создал новый корневой сертификат и сертификат OpenVPN.
Вручную создал сертификат клиента - по вашей инструкции , выгрузил его - и УРРА заработало )))

pigbrother · Nov 27, 2015, 12:56 PM

Рад, что все ОК.
А за инструкцию благодарить надо StanislawK, хотя он тут появляться и перестал.

dqdima · Nov 27, 2015, 1:31 PM

;) Спасбо вам большое , и хороших выходных )))

werter · Nov 27, 2015, 3:04 PM

@dqdima:

;) В итоге , я рукожоп еще тот ))))
Первое обращайте внимание на разрядность винды у клиента )))\

Всегда ставлю 32-х разр. версию. Даже на 64-х разр. систему.

P.s. У 64-х разр. Win есть нюансы с установкой неподписанных MS официально драйверов. Иногда приходится откл. это.

pigbrother · Nov 27, 2015, 5:53 PM

Cам драйвер единый для х86-х64, с ним в последних версиях проблем с подписью уже нет, его можно установить отдельно, отличия только в поддержке NDIS, NDIS 5 - XP, NDIS 6 - Vista и выше, разрядность при выборе собственно драйвера отсутствует:

OpenVPN uses TAP-windows to provide virtual tap device functionality on Windows. Normally you don't need to install TAP-windows separately, as OpenVPN installers include it. The tap-windows driver comes in two flavours: the NDIS 5 driver for Windows XP and NDIS 6 for Windows and above.

https://openvpn.net/index.php/open-source/downloads.html

Разрядность, похоже, относится исключительно к GUI\management\работе в виде сервиса.

Сама Client Export Utility создает индивидуально для каждого клиента полноценный компактный дистрибутив с драйвером, интегрированным конфигом, что очень удобно.
А вот предлагаемый ею Management Interface OpenVPNManager ставить не рекомендую, особого удобства не дает, интерфейс имеет запутанный и страшный, мешает переустановке Open VPN, удаляется только вручную, через командную строку с правами админа:

sc delete OpenVPNManager