Доступ к сайтам из списка через VPN
-
Добрый день.
Имеется pf 2.3.2-RELEASE (amd64)
WAN - статика от провайдера
LAN - 172.22.2.0/24
OpenVPN clients - 172.22.3.0/28
OpenVPN Access Server (собственный, доступ к серверу есть)Возможно ли сделать следующее:
- При открытии определенного сайта из LAN subnet, например site.ru, он должен открываться через VPN туннель до OpenVPN AS
- Клиенты OpenVPN subnet должны ходить в интернет полностью через OpenVPN AS и иметь привычный доступ к LAN subnet на pf
Что сделал на данный момент:
- OpenVPN AS опробован на iPhone/iPad с autologin профайлом - работает на ура
- На pf был добавлен CA с OpenVPN AS
- На pf был добавлен клиентский Cert с OpenVPN AS
- Создан клиент OpenVPN на pf, IP никакие не указывал, все поля пустые, клиент подключился успешно, получил IP адрес с OpenVPN AS из раздела Dynamic IP Address Network
- Добавлен интерфейс VPN с типом ovpnc
- В шлюзах появилось 2 новых шлюза для IPv4/6, IPv6 шлюз деактивировал за ненужностью. При этом шлюз не имеет IP адреса.
Не уверен в 4 пункте, нужно ли там все же прописать сети? Почему gateway не получает IP?
Далее я так понимаю нужно настроить NAT Outbound в режиме Hybrid с source сетью LAN subnet и pfSense OpenVPN client subnet и NAT Address выбрать это новый VPN интерфейс?
Далее в правила FW LAN указать target сайт и выбрать шлюз VPN? -
_Возможно ли сделать следующее:
- При открытии определенного сайта из LAN subnet, например site.ru, он должен открываться через VPN туннель до OpenVPN AS_
OpenVPN AS - это собственный сервер в вашей LAN для подключения клиентов извне? Тогда не понятно, о каком туннеле для открытия site.ru идет речь? Для этого нужно поднять на pfSense клиент к внешнему (Open) VPN серверу, и тогда да, вы получите туннель, в который можно перенаправлять трафик, как из LAN, так и клиентов OpenVPN AS.
2) Клиенты OpenVPN subnet должны ходить в интернет полностью через OpenVPN AS и иметь привычный доступ к LAN subnet на pf
Это делается директивой push "redirect-gateway def1" или, что то же самое, включением Redirect Gateway в настройках сервера. - При открытии определенного сайта из LAN subnet, например site.ru, он должен открываться через VPN туннель до OpenVPN AS_
-
_Возможно ли сделать следующее:
- При открытии определенного сайта из LAN subnet, например site.ru, он должен открываться через VPN туннель до OpenVPN AS_
OpenVPN AS - это собственный сервер в вашей LAN для подключения клиентов извне? Тогда не понятно, о каком туннеле для открытия site.ru идет речь? Для этого нужно поднять на pfSense клиент к внешнему (Open) VPN серверу, и тогда да, вы получите туннель, в который можно перенаправлять трафик, как из LAN, так и клиентов OpenVPN AS.
2) Клиенты OpenVPN subnet должны ходить в интернет полностью через OpenVPN AS и иметь привычный доступ к LAN subnet на pf
Это делается директивой push "redirect-gateway def1" или, что то же самое, включением Redirect Gateway в настройках сервера.-
Сервер OpenVPN AS внешний на DigitalOcean, но собственный в плане того, что доступ для настроек есть. Клиент работает, ip светится, но шлюз в состоянии Pending
-
Директива стоит, ходят через pf интернет, но не через туннель, но я так понимаю нужно просто правило в FW на VPN интерфейсе с указанием шлюза и источником 172.22.3.0/28?
- При открытии определенного сайта из LAN subnet, например site.ru, он должен открываться через VPN туннель до OpenVPN AS_
-
Делал в свое время для LAN так (хотя задача стояла несколько иная):
1. Объявил интерфейс OVPN-клиента
2. Добавил правило Outbound NAT c указанием OVPN-интерфейса в Manua\Hybrid NAT
3. На LAN, выше чем Default allow LAN to any rule создал правило, где Destination=IP нужного сайта c указанием шлюзом OVPN. Нужные сайты можно внести в алиас и использовать этот алиас как Destination.Для подсети OpenVPN clients, вероятно, нужно будет проделать аналогичные действия в Outbound NAT и в Firewall: Rules:OpenVPN c Destination=any
-
Делал в свое время для LAN так (хотя задача стояла несколько иная):
1. Объявил интерфейс OVPN-клиента
2. Добавил правило Outbound NAT c указанием OVPN-интерфейса в Manua\Hybrid NAT
3. На LAN, выше чем Default allow LAN to any rule создал правило, где Destination=IP нужного сайта c указанием шлюзом OVPN. Нужные сайты можно внести в алиас и использовать этот алиас как Destination.Для подсети OpenVPN clients, вероятно, нужно будет проделать аналогичные действия в Outbound NAT и в Firewall: Rules:OpenVPN c Destination=any
Спасибо, вроде заработало. А можно ли как-то обойтись без галочки Should client Internet traffic be routed through the VPN на стороне OpenVPN AS? Получается с ней весь трафик интернета на pfSense начинает лезть через туннель VPN, так как в таблице маршрутов шлюз OpenVPN AS вылазиет в самый вверх и тогда приходится на всех правилах жестко указывать используемый шлюз. А без нее инет не хочет работать.
-
так как в таблице маршрутов шлюз OpenVPN AS вылазиет в самый вверх . А без нее инет не хочет работать.
Да, без Should client Internet traffic be routed through the VPN интернета в туннеле не будет.
и тогда приходится на всех правилах жестко указывать используемый шлюз
Да, а как иначе pf узнает кого через какой шлюз пускать в интернет?
https://en.wikipedia.org/wiki/Policy-based_routingНа LAN обычно не так много правил. Особенно если использовать алиасы.
Для мобильных клиентов Redirect Gateway можно передавать индивидуально, через OpenVPN: Client Specific Overrides.