Вопросы по pfSense 2.5/Plus

viktor_g

@pigbrother said in Вопросы по pfSense 2.5/Plus:

@viktor_g Вопрос пока такой.
так как

OpenVPN upgraded to 2.5.0

Не будет ли проблем с подключением клиентов предыдущих версий? Не всегда и не на всех клиентах версию OpenVPN можно обновить оперативно или обновить вообще.

Важно чтобы у вас в Custom options не было упразднённых опций OpenVPN, в остальном должно работать, у openvpn вообще неплохо с совместимостью с предыдущими версиями.

см. https://docs.netgate.com/pfsense/en/latest/releases/2-5-0.html#openvpn

особенно:
Data cipher negotiation (Formerly known as Negotiable Cryptographic Parameters, or NCP) is now compulsory. Disabling negotiation has been deprecated.

The GUI now supports renewing certificate manager entries (certificate authorities and certificates)

Этого не хватало. У меня некоторые сертификаты через пару лет истекают.

Достаточно нажать на иконке с закручивающейся стрелкой:

на странице сертификатов

pigbrother

@viktor_g said in Вопросы по pfSense 2.5/Plus:

Достаточно нажать на иконке с закручивающейся стрелкой:

Да, именно в 2.5 это появилось. Тестировал еще в бете на виртуальной машине.

Сильно изменились настройки компрессии. Фактически - осталось 2 режима.
Похоже от компрессии в дальнейшем откажутся вовсе.

Restructured the OpenVPN settings directory layout

    Changed from /var/etc/openvpn[-csc]/<mode><id>.<file> to /var/etc/openvpn/<mode><id>/<x>

        This keeps all settings for each client and server in a clean structure

Надеюсь, при обновлении это произойдет гладко.

We strongly encourage using AEAD ciphers such as AES-GCM, future versions of OpenVPN will require them and will not have configurable cipher lists.

А вот will not have configurable cipher lists. может в будущем стать проблемой совместимости со старыми устройствами.

currentUsername

А может знаете когда IPSec VPN починят? У меня всё плохо. Через несколько секунд пинги не проходят хоть аутентификация успешная да и сам туннель никогда не отключается. Но вот только стоит пользователям мышкой шевельнуть, как всё стопорится. Беда. Обновились до Pfsense+ , перед этим два года всё работало прекрасно, ничего подкручивать не приходилось

viktor_g

@currentusername создайте отдельную тему для обсуждения

PTZ-M

@pigbrother вчера обновился до 2.5. И в итоге до 10 вечера провозился с откатом на стабильно работающий 2.4. Основная проблема в OpenVPN. У меня 3 роутера Zyxel Extra на 3.5.6 клиентских (разной степени свежести железа), после обновления - 2-ва перестали коннектится. Перепробовал все танцы с бубном. Добился, что после отключения опции со сжатием, и третий начал периодически отваливаться. Один раз какой-то из ранее отвалившихся, вдруг появился в таблице как undefined на пару секунд после ребута pfsense.
Жду или версии 2.5.1 или лайф-хака. Ну или просто забить на обновления, всё равно 2.6 на моём железе уже не взлетит, а 2.4 выполняет свои обязанности.

viktor_g

@ptz-m said in Вопросы по pfSense 2.5/Plus:

@pigbrother вчера обновился до 2.5. И в итоге до 10 вечера провозился с откатом на стабильно работающий 2.4. Основная проблема в OpenVPN. У меня 3 роутера Zyxel Extra на 3.5.6 клиентских (разной степени свежести железа), после обновления - 2-ва перестали коннектится. Перепробовал все танцы с бубном. Добился, что после отключения опции со сжатием, и третий начал периодически отваливаться. Один раз какой-то из ранее отвалившихся, вдруг появился в таблице как undefined на пару секунд после ребута pfsense.
Жду или версии 2.5.1 или лайф-хака. Ну или просто забить на обновления, всё равно 2.6 на моём железе уже не взлетит, а 2.4 выполняет свои обязанности.

Лучше создать отдельную тему с обсуждением,
В новом OpenVPN обновлён до версии 2.5, надо смотреть логи

pigbrother

@viktor_g said in Вопросы по pfSense 2.5/Plus:

В новом OpenVPN обновлён до версии 2.5, надо смотреть логи

Да, претензии к несовместимости скорее нужно адресовать не к pfSense. Однако от этого не легче, если на удаленных площадках устройства, обновления OpenVPN для которых ожидать можно долго или не получить никогда.

@ptz-m said in Вопросы по pfSense 2.5/Plus:

Жду или версии 2.5.1 или лайф-хака

Кажется маловероятным. Остается надеяться на обновления для вашего Keenetic Extra (KN-1710).

Наткнулся на такую директиву:
--disable-occ – Этот параметр позволяет взаимодействовать двум разным версиям OpenVPN. Это очень удобно в том случае, если вы поддерживаете удаленных пользователей, которые по каким-либо причинам не получают обновления ПО.
Попробуйте, вдруг поможет. Ну и компрессию - отключить.

Почитал про новое в OpenVPN 2.5:
https://github.com/OpenVPN/openvpn/blob/release/2.5/Changes.rst
Не очень понятен смысл:
Since PF is going away in 2.6.0, this is just turning the crash into a well-defined program abort, and no further effort has been spent in rewriting the PF plugin error handling

On Windows, OpenVPN can now use wintun devices. They are faster than the traditional tap9 tun/tap devices, but do not provide --dev tap mode - so the official installers contain both. To use a wintun device, add --windows-driver wintun to your config (and use of the interactive service is required as wintun needs SYSTEM privileges to enable access).

https://www.wintun.net
Wintun is a very simple and minimal TUN driver for the Windows kernel, which provides userspace programs with a simple network adapter for reading and writing packets. It is akin to Linux's /dev/net/tun and BSD's /dev/tun. Originally designed for use in WireGuard, Wintun is meant to be generally useful for a wide variety of layer 3 networking protocols and experiments

werter

@ptz-m
Попробуйте прошивку padavan для вашего Кинетика. Она интереснее стоковой.
Возможно, в ней овпн версии 2.5.
Как собрать под ваш роутер есть на форуме 4pda

Зы. Про ваш роутер https://4pda.ru/forum/index.php?showtopic=902584
Есть еще вариант попробовать родную прошивку 3.6, но она тестовая.

Dr_Mat

Всем привет. Есть вопрос по версии 2.5 pfsense.
В центре сертефикацит, насколько есть смысл ставить галочки на пункты Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ? Прошу не пинать, я пока на стартовом пути понимания OpenVPN и не смог найти ответы на свои вопросы .

viktor_g

@dr_mat said in Вопросы по pfSense 2.5/Plus:

Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ?

Нет, по-умолчанию для каждого нового сертификата используется следующий номер:
"When enabled, if this CA is capable of signing certificates then serial numbers for certificates signed by this CA will be automatically randomized and checked for uniqueness instead of using the sequential value from Next Certificate Serial."

В Trust Store обычно нужно добавлять сертификаты если на вышестоящем прокси/файрволле используется SSL Bumping (просмотр шифрованного трафика). В таком случае CA сертификат SSL MITM устройства добавляется в доверенные и весь HTTPS трафик, в т.ч. идущий с самого pfSense (например обновления) будет просматриваться.

pavelmil

У меня при обновлении до 2.5 просто накрылся загрузчик на диске.
2 машины до этого обновились нормально. На этой много чего накручено было ( хорошо диск клонировал).

pigbrother

@pavelmil said in Вопросы по pfSense 2.5/Plus:

хорошо диск клонировал

Если не секрет- чем клонировали? Или имеется в виду снэпшот виртуальной машины с pf?

pavelmil

Clonezilla. Никаких проблем с ней нет.

pigbrother

@pavelmil said in Вопросы по pfSense 2.5/Plus:

Clonezilla

Клонирует поблочно (быстро) или долго (dd)?
Тут

https://qna.habr.com/q/319828

Пишут, что только dd.

@pavelmil said in Вопросы по pfSense 2.5/Plus:

хорошо диск клонировал

Образ развернулся без проблем?

werter

Добрый.
@pavelmil
Посмотрите в сторону виртуализации пф.
Перед обновлением делается снепшот и в течение минуты возвращается обратно.

Зы. Даже скрипт можно написать (писал для proxmox ve как-то).
Руками делаем снепшот ВМ с пф и обновляем пф.
Скриптом ребут ВМ с пф и если в течение N-минут с прокса нет пинга до 8.8.8.8 - откат пф по снепшоту. Просто и действенно. Можно пользовать для удаленных филиалов без вмешательства на той стороне.

testsia

Привет
Никак не моду решить проблему с исключением не нужных подсеток в OSPF.
Обновил pfsense до версии 2.5 и после чего понял что Quaga больше не доступна. Установил пакет frr так как там обнаружил OSPF, Удалось засести это дело и динамическая маршрутизация заработала.
Но как добавить исключения, сетей которые мне не нужно передавать на удаленный хост?
Пробовал сделать с помощью Access Lists не получилось
через Route Maps тоже не получается
Кто делал помогите !!!

PTZ-M

@pigbrother нашли косяк 2015 года, ждём уже скоро 2.5.1 там поправят или можно самостоятельно - https://forum.netgate.com/topic/161398/openvpn-with-laptop-clients-failing-after-pfsense-upgrade-to-2-5-0/11
т.ч. насиловать кенетик слава богу не надо :-)

viktor_g

@ptz-m

2.5.1 в процессе:
https://redmine.pfsense.org/versions/61

werter

Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.

forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones

Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html

Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.

Зы2. Сыроват 2.5 ( Поспешили.

testsia

@werter said in Вопросы по pfSense 2.5/Plus:

Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.

forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones

Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html

Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.

Зы2. Сыроват 2.5 ( Поспешили.

Удалось разобраться, все стало намного сложнее чем у Quaga, получился просто нужно в FRR походить по веб интерфейсу и в разных местах подбавлять настройки, в результате мы должны получить Raw Config такой же как был в Quaga вот такой:

!
frr defaults traditional
hostname gw-main01.XXX.com.ua
hostname gw-main01.XXX.com.ua
password HrXVubpS1wyn
log syslog
service integrated-vtysh-config
!
ip router-id 194.XXX.XX.XX
!
interface ovpnc13
 description "ospfd: vpn_01_XXX01_XXX01_Volz"
 ip ospf network point-to-point
 ip ospf cost 5
 ip ospf area 1.1.1.1
interface ovpnc12
 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX"
 ip ospf network point-to-point
 ip ospf cost 15
 ip ospf area 1.1.1.1
interface ovpns6
 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01"
 ip ospf network point-to-point
 ip ospf cost 5
 ip ospf area 1.1.1.1
interface ovpns7
 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01 - ospfd: vpn_01_zln01_XXX01"
 ip ospf network point-to-point
 ip ospf cost 5
 ip ospf area 1.1.1.1
!
router ospf
 ospf router-id 192.XXX.XX.XX
 log-adjacency-changes detail
 redistribute connected route-map ACCEPTFILTERS
 area 1.1.1.1 shortcut default
!
access-list all permit any
!

ip prefix-list ACCEPTFILTERS seq 18 deny XXX.XXX.XX.XX.0/24 
ip prefix-list ACCEPTFILTERS seq 19 deny XXX.XXX.XX.XX.0/24 
ip prefix-list ACCEPTFILTERS seq 20 deny 10.10.14.8/29 
ip prefix-list ACCEPTFILTERS seq 21 permit any 
!
route-map ACCEPTFILTERS permit 10
 match ip address prefix-list ACCEPTFILTERS
!
line vty
!
end

И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее.