PfSense OpenVPN Server + Linux-client
-
Поправил свой пост выше.
Исторически копий 2.
Так сложилось из-за необходимости работы с Микротик, который не поддерживает UDP
Эта копия - Site-to-Site.
Вторая - Remote Acess SSl/TLS +User Auth. -
Понятно, значит Peer-to-Peer (SSL/TLS) - это как раз-таки Site-to-Site копия, именно для филиальных шлюзов (на linux и т.д.)?
а Remote Access (SSL/TLS) именно для "виндовых" клиентов? -
Remote Access (SSL/TLS) именно для "виндовых" клиентов?
Не совсем.
Клиент (как удаленный "сервер-клиент так и физический пользователь) сможет подключится к любому типу сервера.
Справедливо для любых ОС клиентаПросто Remote Acess SSl/TLS сразу предлагает максимум доступных из GUI настроек, а +User Auth добавляет возможность задействовать имя\пароль.
Резюме - к Remote Acess SSl/TLS смогут подключится все, как удаленный "сервер-клиент, так и физический пользователь, при этом ОС на которой они работают значения не имеет.
-
Значит, Remote Access (SSL/TLS) - мой выбор. На "виндовом" клиенте он у меня завёлся. Теперь нужно разобраться, как завести его на Linux-клиенте (Debian).
-
нужно разобраться, как завести его на Linux-клиенте (Debian).
В интернете зиллионы инструкций на эту тему.
Установите в pfSense пакет OpenVPN Client Export Utility и через нее экспортируйте готовый конфиг практически для любого клиента, а для Windows утилита генерит готовый дистрибутив - с конфигом, сертификатми, ключами и всем необходимым софтом..
Понятно, значит Peer-to-Peer (SSL/TLS) - это как раз-таки Site-to-Site копия, именно для филиальных шлюзов (на linux и т.д.)?
а Remote Access (SSL/TLS) именно для "виндовых" клиентов?Можно поступить и так. Получится 2 независимых сервера (на разных! портах) , которые можно включать\администрировать\управлять правилами на файрволле по-отдельности. А можно обойтись одним, все зависит от вашего выбора, поставленных целей, дальнейшей перспективы использования.
-
Client Export Utility генерит серты под всё, кроме Linux (насколько я понял), поэтому тут нужно другим методом, как-то напрямую с pfSense генерить их, что я уже пробовал сделать, но почему-то не завелось
-
в Client Export Utility варианты
Archive
Config Only
Можно попробовать Others.Дают конфиг, требующий минимальных правок.
Набор директив конфига на 99% не зависит от версии ОС
Расширение .ovpn сменить на .configСам pfSense не генерит конфиги для клиента.
-
в Client Export Utility варианты
Archive
Config Only
Можно попробовать Others.Дают конфиг, требующий минимальных правок.
Набор директив конфига на 99% не зависит от версии ОС
Расширение .ovpn сменить на .configСам pfSense не генерит конфиги для клиента.
Если делать "Others", то он выдает один файл с расширением .ovpn, меняю расширение на .config и даю скушать Debian'у (клиенту) но выдает ошибку при старте OpenVPN:
root@stk-test:/etc/openvpn# service openvpn start Mar 2 17:45:25 stk-test ovpn-linux[13255]: Re-using SSL/TLS context Mar 2 17:45:25 stk-test ovpn-linux[13255]: LZO compression initialized Mar 2 17:45:25 stk-test ovpn-linux[13255]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Mar 2 17:45:25 stk-test ovpn-linux[13255]: Socket Buffers: R=[229376->131072] S=[229376->131072] Mar 2 17:45:25 stk-test ovpn-linux[13255]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mar 2 17:45:25 stk-test ovpn-linux[13255]: Local Options hash (VER=V4): '41690919' Mar 2 17:45:25 stk-test ovpn-linux[13255]: Expected Remote Options hash (VER=V4): '530fdded' Mar 2 17:45:25 stk-test ovpn-linux[13255]: UDPv4 link local: [undef] Mar 2 17:45:25 stk-test ovpn-linux[13255]: UDPv4 link remote: [AF_INET]MY_OPENVPNSERVER_IP:1197 Mar 2 17:46:25 stk-test ovpn-linux[13255]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 2 17:46:25 stk-test ovpn-linux[13255]: TLS Error: TLS handshake failed Mar 2 17:46:25 stk-test ovpn-linux[13255]: TCP/UDP: Closing socket Mar 2 17:46:25 stk-test ovpn-linux[13255]: SIGUSR1[soft,tls-error] received, process restarting Mar 2 17:46:25 stk-test ovpn-linux[13255]: Restart pause, 2 second(s) Mar 2 17:46:27 stk-test ovpn-linux[13255]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Mar 2 17:46:27 stk-test ovpn-linux[13255]: Re-using SSL/TLS context Mar 2 17:46:27 stk-test ovpn-linux[13255]: LZO compression initialized Mar 2 17:46:27 stk-test ovpn-linux[13255]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Mar 2 17:46:27 stk-test ovpn-linux[13255]: Socket Buffers: R=[229376->131072] S=[229376->131072] Mar 2 17:46:27 stk-test ovpn-linux[13255]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mar 2 17:46:27 stk-test ovpn-linux[13255]: Local Options hash (VER=V4): '41690919' Mar 2 17:46:27 stk-test ovpn-linux[13255]: Expected Remote Options hash (VER=V4): '530fdded' Mar 2 17:46:27 stk-test ovpn-linux[13255]: UDPv4 link local: [undef] Mar 2 17:46:27 stk-test ovpn-linux[13255]: UDPv4 link remote: [AF_INET]MY_OPENVPNSERVER_IP:1197 Mar 2 17:47:27 stk-test ovpn-linux[13255]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 2 17:47:27 stk-test ovpn-linux[13255]: TLS Error: TLS handshake failed Mar 2 17:47:27 stk-test ovpn-linux[13255]: TCP/UDP: Closing socket Mar 2 17:47:27 stk-test ovpn-linux[13255]: SIGUSR1[soft,tls-error] received, process restarting Mar 2 17:47:27 stk-test ovpn-linux[13255]: Restart pause, 2 second(s) Mar 2 17:47:29 stk-test ovpn-linux[13255]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Mar 2 17:47:29 stk-test ovpn-linux[13255]: Re-using SSL/TLS context Mar 2 17:47:29 stk-test ovpn-linux[13255]: LZO compression initialized:138 EF:38 EB:0 ET:0 EL:0 ] Mar 2 17:47:29 stk-test ovpn-linux[13255]: Socket Buffers: R=[229376->131072] S=[229376->131072] Mar 2 17:47:29 stk-test ovpn-linux[13255]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mar 2 17:47:29 stk-test ovpn-linux[13255]: Local Options hash (VER=V4): '41690919' Mar 2 17:47:29 stk-test ovpn-linux[13255]: Expected Remote Options hash (VER=V4): '530fdded' Mar 2 17:47:29 stk-test ovpn-linux[13255]: UDPv4 link local: [undef] Mar 2 17:47:29 stk-test ovpn-linux[13255]: UDPv4 link remote: [AF_INET]MY_INET_IP:1197 Mar 2 17:48:29 stk-test ovpn-linux[13255]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 2 17:48:29 stk-test ovpn-linux[13255]: TLS Error: TLS handshake failed Mar 2 17:48:29 stk-test ovpn-linux[13255]: TCP/UDP: Closing socket Mar 2 17:48:29 stk-test ovpn-linux[13255]: SIGUSR1[soft,tls-error] received, process restarting Mar 2 17:48:29 stk-test ovpn-linux[13255]: Restart pause, 2 second(s) Mar 2 17:48:31 stk-test ovpn-linux[13255]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Mar 2 17:48:31 stk-test ovpn-linux[13255]: Re-using SSL/TLS context Mar 2 17:48:31 stk-test ovpn-linux[13255]: LZO compression initialized Mar 2 17:48:31 stk-test ovpn-linux[13255]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Mar 2 17:48:31 stk-test ovpn-linux[13255]: Socket Buffers: R=[229376->131072] S=[229376->131072] Mar 2 17:48:31 stk-test ovpn-linux[13255]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mar 2 17:48:31 stk-test ovpn-linux[13255]: Local Options hash (VER=V4): '41690919' Mar 2 17:48:31 stk-test ovpn-linux[13255]: Expected Remote Options hash (VER=V4): '530fdded' Mar 2 17:48:31 stk-test ovpn-linux[13255]: UDPv4 link local: [undef] Mar 2 17:48:31 stk-test ovpn-linux[13255]: UDPv4 link remote: [AF_INET]MY_OPENVPNSERVER_IP:1197 Mar 2 17:49:31 stk-test ovpn-linux[13255]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 2 17:49:31 stk-test ovpn-linux[13255]: TLS Error: TLS handshake failed Mar 2 17:49:31 stk-test ovpn-linux[13255]: TCP/UDP: Closing socket Mar 2 17:49:31 stk-test ovpn-linux[13255]: SIGUSR1[soft,tls-error] received, process restarting Mar 2 17:49:31 stk-test ovpn-linux[13255]: Restart pause, 2 second(s) -
Редактировать конфиг клиента вам, увы, придется самому.
В сети тысячи мануалов по настройке Open VPN для любых Линукс. Со стороны pfSense Open VPN-сервер совершенно стандартен. -
Доброе.
Покажите конфиг Вашего клиента. -
Добрый день! Проверьте настройки пользователя (которому предоставлен доступ к ВПН) в части User Certificates. У вас скорее всего не совпадают настройки (Key length и\или Digest Algorithm) в сертификате пользователя и сервера ВПН (DH Parameters Length и\или Auth Digest Algorithm).
-
Добрый вечер, два дня штудировал темы про openvpn, однако все в полном объеме настроить не удалось.
Начну из далека, вот попалась эту фраза:Понятно, значит Peer-to-Peer (SSL/TLS) - это как раз-таки Site-to-Site копия, именно для филиальных шлюзов (на linux и т.д.)?
а Remote Access (SSL/TLS) именно для "виндовых" клиентов?Можно поступить и так. Получится 2 независимых сервера (на разных! портах) , которые можно включать\администрировать\управлять правилами на файрволле по-отдельности. А можно обойтись одним, все зависит от вашего выбора, поставленных целей, дальнейшей перспективы использования.
В связи с этим возник вопрос есть ли проверенный вариант настроек когда поднято ДВА openvpn сервера, один Peer-to-Peer (shared key) по которому объединены две сети (192.168.1.0/24 - главная сеть и 192.168.87.0/24 - удаленная, а второй openvpn сервер Remote access SSL/TSL для мобильных клиентов.
Планирую подключить к главной еще одну удаленную есть и важно обеспечить обмен данными между всеми сетями и клиентами, не зависимо кто где находится и как подключен.
На стороне удаленных сетей использую роутер с прошивкой http://tomato.groov.pl/
В главной сети есть еще одна типа DMZ сеть - 192.168.12.0/24 - web сервер- это для справки.Проблема в том, что мобильные клиенты не могут получить доступ в удаленную сеть. Из главной сети в удаленную и обратно все бегает.
Как я понял не создается маршрут вторым сервером в удаленную сеть или должна образоваться связь между openvpn серверами? но её так же нет в роутах, так же как и нет связи между мобильными клиентами.
Скрины ниже, wan порты открыты, т.е. сам канал поднимается, в логах криминала не наблюдаю.
Куда копать помогите пожалуйста.
1.JPG)
1.JPG_thumb)
1.JPG)
1.JPG_thumb)
2.JPG)
2.JPG_thumb)
3.JPG)
3.JPG_thumb)
 -
Не вижу в client specific overrides директивы iroute или записи в IPv4 Remote Network с указанием сети за клиентом.
iroute х.х.1.х 255.255.255= IPv4 Remote Network х.х.1.х/24
-
Не вижу в client specific overrides директивы iroute или записи в IPv4 Remote Network с указанием сети за клиентом.
iroute х.х.1.х 255.255.255= IPv4 Remote Network х.х.1.х/24
Дописал в client specific overrides для одного из клиентов - результат нуль, прикладываю файл с скриншотом.
Более того сегодня днем обнаружил, что из главной сети не могу пропинговать машины в удаленной сети, вчера поскольку машины все были выключены проверял связь между сетями только через наличие доступа к вебморде роутера, т. е. к админке роутера из главной сети доступ есть, а дальше нет. маршруты на роутере так же прилагаю.
Какой-то ступор…
 -
Добрый день! В настройках
второй openvpn сервер Remote access SSL/TSL для мобильных клиентов
В разделе Tunnel Settings -> IPv4 Local Network/s допишите через запятую в какие сети хотите предоставить доступ аля: 192.168.1.0/24,192.168.12.0/24,(remoute network/mask)
А из раздела Advanced Settings -> Advanced удалите всю "какафонию" с роутами.
После, сделайте реконнект мобильных клиентов и посмотрите роуты на клиентах (или просто доступность что пытали открыть)
И покажите пожалуйста правила фаервола для DMZ (чтоб понимать картину происходящего) -
Добрый день! В настройках
второй openvpn сервер Remote access SSL/TSL для мобильных клиентов
В разделе Tunnel Settings -> IPv4 Local Network/s допишите через запятую в какие сети хотите предоставить доступ аля: 192.168.1.0/24,192.168.12.0/24,(remoute network/mask)
А из раздела Advanced Settings -> Advanced удалите всю "какафонию" с роутами.
После, сделайте реконнект мобильных клиентов и посмотрите роуты на клиентах (или просто доступность что пытали открыть)
И покажите пожалуйста правила фаервола для DMZ (чтоб понимать картину происходящего)Уточните пожалуйста куда внести правки.
У меня два openvpn сервера, в настройках сервера peer to peer все указано, в настройке remote access так же указаны локальные сети 192.168.1.0/24 и 192.168.12.0/24.
На клиентских настройках client cpecific overrides в разделе IPv4 Local Network/s - 192.168.1.0/24 в разделе advanced push "route 192.168.1.0 255.255.255.0";push "route 192.168.87.0 255.255.255.0";push "route 192.168.12.0 255.255.255.0"; что по сути одно и то же. Клиенты получают маршруты во все указанные сети, но доступа кроме главной сети нет. Я понял так, что у меня не прописывается маршрут на сервере ovpns2, на скриншоте ROUTES видно, что нет маршрута связывающего сеть 10.0.16.0/24 с сетью 192.168.87.0/24
-
В связи с этим возник вопрос есть ли проверенный вариант настроек когда поднято ДВА openvpn сервера, один Peer-to-Peer (shared key) по которому объединены две сети (192.168.1.0/24 - главная сеть и 192.168.87.0/24 - удаленная, а второй openvpn сервер Remote access SSL/TSL для мобильных клиентов.
Из своего опыта, у меня 2 офисса, между ними два канала от провайдеров, по каждому каналу поднят отдельный openvpn сервер Peer-to-Peer (shared key) (т.е 2 шт) и поверх этих openvpn серверов настроенно Quagga OSPF. Плюс на главном офиссе еще есть 2 openvpn сервер Remote access SSL/TSL для мобильных клиентов. И все прекрасно работает, мобильные лиенты видят удаленный офис.
Проблема в том, что мобильные клиенты не могут получить доступ в удаленную сеть.
В настроках openvpn сервера для мобильных клиентов (см скрин):
В разделе Tunnel Settings -> IPv4 Local Network/s допишите через запятую в какие сети хотите предоставить доступ аля: 192.168.1.0/24,192.168.12.0/24,192.168.87.0/24. Пускай openvpn сервер сам определяет маршрутизацию. И удалите advanced push "route 192.168.1.0 255.255.255.0";push "route 192.168.87.0 255.255.255.0";push "route 192.168.12.0 255.255.255.0" - стоит попробывать.2.jpg)
2.jpg_thumb) -
Доброе.
2 Tano
Снимите галку с Server definitions в Client Specific …
Покажите скрины Certificates на pfsenseт. е. к админке роутера из главной сети доступ есть, а дальше нет
У всех машин в удал. сети шлюзом должен быть роутер с tomato. Проверьте этот момент.
И исп. команду tracert для понимания , где в прохождение пакетов затык. -
Доброе.
2 Tano
Снимите галку с Server definitions в Client Specific …
Покажите скрины Certificates на pfsenseт. е. к админке роутера из главной сети доступ есть, а дальше нет
У всех машин в удал. сети шлюзом должен быть роутер с tomato. Проверьте этот момент.
И исп. команду tracert для понимания , где в прохождение пакетов затык.Убрал галку, скрин. во вложении.
Проверил, поскольку адреса выдаются по DHCP шлюз у всех 192.168.87.1.Внес изменения как советовал timon12, теперь настройки сервера remoute access выгладят как во вложении см. файл SERVER remote access
Для эксперимента по вай-фай через мобильный телефон подключил ноут, таким образом имитирую подключение мобильного клиента в сетям.
Поднял канал, это клиент client cpecific overrides - common name - 16_VPN_C1, его настройки так же во вложении. см файл Client_C1.
В итоге имею доступ с этого ноута в главную сеть, но все так же нет доступа в удаленную сеть. трасерт с ноута на одну из машин в этой сети прикладываю.
Так же нет доступа из главной сети в удаленную, на машины расположенные за роутером (на сам роутер доступ есть). Трасерт из главной сети в удаленную так же во вложении см. файл tracert from main net
Из удаленной сети в главную доступ есть и Pfsense и ресурсам сети.
-
Последний скрин - уберите всё в Advanced.
Там же - уберите tunnel network.На клиенте запускайте Openvpn от им. Администратора, т.е. прав. кн. мыши - Запустить от им. Адм-ра.
Покажите route print на проблемном клиенте после поднятия туннеля.
