Openvpn bahnhof
-
Vid första snabba kontrollen ser jag två grejor som är fel.
1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.
-
Vi får också titta lite på dina brandväggsregler. Du måste se till att rätt trafik kommer till rätt gateway.
Vill du att all trafik i hela huset går via Integrity eller har du delat upp ditt nätverk på något vis?
-
Vid första snabba kontrollen ser jag två grejor som är fel.
1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.
Ok, jag var lite osäker på hur det funkade så jag fixar det direkt när jag kommer hem.
När det kommer till brandväggsregler så är jag fortfarande lite osäker.
Jag har en Asus RT-n66u med DD-WRT som jag satt upp till att skapa två Vlan, ett till hemmet och ett till ett gästhus.
Klarar min hårdvara av att leda all trafik via Integrity så är det lika bra, jag kan ju sedan undanta vissa enheter om jag skulle vilja det.
Kanske är det lika bra att skapa två anslutningar och sedan välja vad som skall gå via vad? -
Ok, jag var lite osäker på hur det funkade så jag fixar det direkt när jag kommer hem.
När det kommer till brandväggsregler så är jag fortfarande lite osäker.
Jag har en Asus RT-n66u med DD-WRT som jag satt upp till att skapa två Vlan, ett till hemmet och ett till ett gästhus.
Klarar min hårdvara av att leda all trafik via Integrity så är det lika bra, jag kan ju sedan undanta vissa enheter om jag skulle vilja det.
Kanske är det lika bra att skapa två anslutningar och sedan välja vad som skall gå via vad?Steg ett är att få igång klienten. Sen kan du fundera på hur du vill skicka trafiken. Jag valde att ha ett separat VLAN för trafiken jag vill skicka via OpenVPN då det blev smidigare för mig. Fördelen med den lösningen är att det blir enklare att köra med specifika DNSer då man kan ange det för varje VLAN (innan gjorde jag det bara för varje klient med specifik IP).
-
Ok, det låter ju vettigt.
Om det hjälper så ser det nu ut så här:
Direkt efter mediaboxen, eller vad den nu kallas sitter ovan nämnda router med två Vlan. En till varje "bostad".
Utgång 1-3 ligger på Vlan1 vilket täcker in två accesspunker och en PS4a
Utgång 4 sköter Vlan 2 som går till gästhuset där en accessrunkt finns.Tanken är att sätta Sensen mellan mediaboxen och Asusroutern och sedan ge åtkomst till Sensen via Vlan1 så jag slipper bryta all nätåtkomst för att göra justeringar.
Men som du sa, först få det att fungera.
-
Så du låter sen pfSense sköta routing och har DDWRT som en "smart switch" för att tagga dina VLAN?
Så gör jag också i princip. pfSense som router, en större smart switch efter det och sist DDWRT som "smarta" accesspunkter utan routing som bara taggar olika VLAN på olika SSIDs/portar.
-
Så du låter sen pfSense sköta routing och har DDWRT som en "smart switch" för att tagga dina VLAN?
Japp, det är tanken!
-
Vid första snabba kontrollen ser jag två grejor som är fel.
1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.
CA bytt till none (username and/or password required)
och hela customrutan är raderad, BÅDA RADERNA.Det funkar fortfarande inte, vad var det du ville veta om brandväggen?
NAT eller Rules? -
CA ska vara den CA du la in (Integrity), som syns på din bild nr 12.
-
Du är fan fantastiskt!
Det CA var redan valt men jag hade lyckats att klistra in fel nyckel. Så jag klistrade in rätt och nu kopplar jag upp mot integrity.
Nu ska jag bara koppla in den och kolla vad jag får för hastighet. -
Inga problem. Då är det brandväggen och NAT kvar. Posta igen om du inte får det att funka.
-
Inte få vad att fungera?
Jag trodde det var klart iomed att integrity.st säger att jag är uppkopplad (deras hemsida alltså) -
Nja. Du får se det som att du nu har "två vägar" till internet. Din egen gateway och VPN-tunneln till Integrity.
Om du bara startar OpenVPN-klienten utan att styra om trafiken kommer du fortfarande använda din egen gateway ut. Du kan kontrollera om du går via din ISP eller via Integritytunneln t.ex. på denna länken: https://wtfismyip.com
Du vill där se att ditt hostname är från Integrity, inte från Bahnhof (om det är Bahnhof du har som ISP). Testa först att gå till länken med OpenVPN-klienten stoppad för att se hur det ser ut då. Starta sen OpenVPN-klienten och ladda om sidan. Då ska du få ett helt annat IP som leder till ett Integrity-hostname.
Annars får vi fixa till din routing/brandvägg.
-
NAT och rules.
Samma IP av som på men jag är inte i Gbg
-
Du saknar någon regel som styr trafiken till Integrity, därför ändras inget när du kör igång OpenVPN-klienten.
För att testa kan du t.ex. skapa en regel på ditt WAN-interface.
Pass, IPV4, any på allt. Klicka sedan på "Display Advanced" när du sätter upp regeln. Där, ganska långt ner, har du en dropdown där du kan välja gateway. Välj Integrity VPN i den menyn.
Om du mot förmodan inte har något Integrity att välja där får du sätta upp en gateway under System > Routing > Gateways men jag har för mig att den skapas per automatik.
-
Så där ja!
Hastigheten med TP-test är lite sämre. På en 100/10-lina får jag ut 20,48/9,92 mbit/s
-
Det ser bättre ut ja. Nu kan du själv styra i brandväggen vilka klienter/subnät/VLAN som ska skickas ut via OpenVPN och vilka som ska ta den vanliga gatewayen via Bahnhof.
Jag har också Bahnhof. Jag bor i södra Skåne och får normalt sett ut lite mer än angivna 100/100. Med Integrity fick jag ut mellan 30-60% av det medan jag överlag inte tappar någon hastighet alls med OVPN. Vad gäller hastigheten måste man tänka på att krypteringen kräver lite av CPU på pfSense-maskinen så om den inte hänger med får man alltså ut lägre hastighet. Det behöver alltså inte vara Integritys "fel" om du inte maxar linan.
Fint att det funkar!
Om du är paranoid kan du också fundera lite över vilken väg din DNS-trafik går. Potentiellt kan någon "spåra dig" och lägga lite pussel med vilken DNS du använder, vilka sidor du surfar till och vilka filer du tar emot. Å andra sidan tror jag inte att någon är skyldig att logga DNS-data per idag och jag tror inte heller att det i praktiken är en reell risk. Notera att jag på inget vis har djupare kunskap så ta detta med en nypa salt.
-
Ok, jag har en lite kraftigare fyrkärnig stationär PC med. Jag skall göra en installation på den med och testa skillnaden. Även kolla att jag har full hastighet i uttaget med såklart.
-
Jämför också med/utan OpenVPN-klienten igång, det är själva krypteringen som kan vara tung för CPUn. Snabbt kollat utan att dra om sladdar menar jag.
-
Ska kolla det med.
Samt ringa Bahnhof, TP direkt i uttaget gav bara 66mbit/s