nat + openvpn client
-
Доброго времени суток.
На pfsense настроен клиент openvpn. Сделаны правила в manual outbound nat для интерфейса. Сделано правило + алиас для LAN файрволла, посылать в гейтвей openvpn соединения на определенные алиасом сайты.
На сервере openvpn включен форвард пакетов и нат для подсети 10.8.0.0.НО! Траффик не идёт. В tcpdump на интерфейсе сервера tun0 тишина. tracert с самого pfsense на сайт из списка в алиасе не уходит в туннель, идёт по дефолт гейтвею.
Куда копать?
-
@den-yoz said in nat + openvpn client:
Куда копать?
Организовывал когда то доступ через openvpn через коммерческого провайдера.
Вероятно - проблема в назначения шлюза Open VPN "шлюзом для интернета" (redirect-gateway def1). По идее, эту директиву вам должен передавать сервер Open VPN. Попробуйте добавить ее вручную в Advanced Configuration.@den-yoz said in nat + openvpn client:
на сайт из списка в алиасе
Не уверен, что фильтрация по спискам в алиасах будет работать, пусть меня поправят.
-
@den-yoz
ЗдрО каких сайтах идет речь ???? Можете привести пример ?
Если речь о сайтах , типа , Netflix , Youtube и тд и тп , то такая схема не будет работать -
@konstanti said in nat + openvpn client:
О каких сайтах идет речь ???? Можете привести пример ?
О заблокированных на территории рф, lostfilm.tv, rutracker.org ну и разные.
@pigbrother said in nat + openvpn client:
Не уверен, что фильтрация по спискам в алиасах будет работать, пусть меня поправят.
https://open-networks.ru/d/37-pfsense-openvpn-firewall
Относительно свежий гайд, думаю не писали бы, если бы не работало.
-
This post is deleted! -
@den-yoz said in nat + openvpn client:
tracert с самого pfsense на сайт из списка в алиасе не уходит в туннель, идёт по дефолт гейтвею.
pfSense для себя использует только шлюз по умолчанию. Проверяйте из локальной сети.
@den-yoz said in nat + openvpn client:
включен форвард
О каком форварде идет речь?
-
@pigbrother said in nat + openvpn client:
О каком форварде идет речь?
net.ipv4.ip_forward = 1
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
DEFAULT_FORWARD_POLICY="ACCEPT"@pigbrother said in nat + openvpn client:
pfSense для себя использует только шлюз по умолчанию. Проверяйте из локальной сети.
В packet capture на openvpn интерфейсе самого pfsense есть следы, но в одну сторону.
20:56:53.173850 IP 10.8.0.6.6024 > 185.85.121.13.80: tcp 0
20:56:53.173883 IP 10.8.0.6.10788 > 185.85.121.13.80: tcp 0
20:56:53.323981 IP 10.8.0.6.49568 > 185.85.121.13.80: tcp 0
10.8.0.6 - адрес openvpn клиента pfsense.
185.85.121.13.80 - сайт lostfilmТ.е. какая то шляпа с прохождением пакетов обратно от openvpn сервера в локальную сеть видимо. Но не знаю куда смотреть, правила разрешающие есть.
-
@den-yoz said in nat + openvpn client:
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
DEFAULT_FORWARD_POLICY="ACCEPT"А это каким образом относится к pfSense?
-
@den-yoz
С этими доменами проблем быть не должно. Это явно доказывается тем, что уходят syn пакеты через туннель в сторону сервера. Вопрос в том , почему сервер не отвечает. Проверьте все Настройки . Какой vpn провайдер ? Как правило , у хороших провайдеров на сайте есть инструкция , как настраивать pfsense как клиента openvpn -
@pigbrother said in nat + openvpn client:
А это каким образом относится к pfSense?
Это на openvpn сервере.
@konstanti said in nat + openvpn client:
С этими доменами проблем быть не должно. Это явно доказывается тем, что уходят syn пакеты через туннель в сторону сервера. Вопрос в том , почему сервер не отвечает. Проверьте все Настройки . Какой vpn провайдер ? Как правило , у хороших провайдеров на сайте есть инструкция , как настраивать pfsense как клиента openvpn
Сервер openvpn свой. Конфиг абсолютно типовой, через обычный клиент на винде всё ходит нормально.
-
@den-yoz
Так если свой , то разбираться надо , что происходит на сервере
Почему он не отправляет обратно пакеты
То что Вы показали , говорит о том , что пакет ушел на сервер ,
а вот дальше сервер не отвечает .
Nat исходящий на сервере , смотрю , настроен .
Запускайте tcpdump на своем Linux сервере и смотрите , что происходит ,для начала, на интерфейсе eth0 для хоста , например , 185.85.121.13Я для своих целей в связке Linux+ PFSense / Freebsd использую GRE over IPSEC , можно использовать VTI .
Это работает несколько быстрее , чем OpenVPN . Удаленные клиенты тоже соединяются через IPSEC -
Всё оказалось проще. Как обычно и бывает, какая то мелочь проскочила незамеченной.
И на сервере и на клиенте было отключено сжатие траффика (закомменчено в конфиге сервера и не выбрано в настройках клиента). Но, почему то, сервер все равно считал, что оно включено.
Ошибок в логах при этом нет, сам клиент подключается и считает, что всё ок.