PfSense 2.3.4 + OpenVPN (внутри Proxmox)

sirbusby

Приветствую.
Настроил OpenVPN, но как-то не до конца. Подключение происходит, но доступ в интернет закрывается, хосты в интернете и локальной сети за pfSense не пингуются и доступа нет.

Конфиг сервера:

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local внешний_ip_сервера
engine cryptodev
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'openvpn-server' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 20
push "route 192.168.10.0 255.255.255.0"
push "block-outside-dns"
push "redirect-gateway def1"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
topology net30

Конфиг клиента:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote внешний_ip_сервера 1194 udp
verify-x509-name "openvpn-server" name
pkcs12 vpn-udp-1194-openvpn-user1.p12
tls-auth vpn-udp-1194-openvpn-user1-tls.key 1
remote-cert-tls server
comp-lzo adaptive

ipconfig с машины с которой происходит подключение

адаптер Ethernet Ethernet 3:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-51-48-68-A8
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.0.8.6(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 5 июня 2017 г. 19:06:32
   Срок аренды истекает. . . . . . . . . . : 5 июня 2018 г. 19:06:32
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.0.8.5
   NetBios через TCP/IP. . . . . . . . : Отключен

sirbusby

Есть мысли? или кого-то смущает Proxmox?

pigbrother

Вижу в конфиге сервера
push "redirect-gateway def1"
Зачем тогда push "route 192.168.10.0 255.255.255.0",
ведь "redirect-gateway def1 направит и так весь трафик клиента, включая интернет-трафик через OVPN сервер.
Если весь трафик перенаправлять не надо - "redirect-gateway def1 не нужен

Далее
push "block-outside-dns" отключает от клиента все DNS, кроме передаваемых ч-з OVPN, но при этом никаких DNS вы клиенту не передаете. Или передаете в Client Specific Overrides?

Далее
topology net30 имеет смысл для клиентов Виндовс XP и древнее

Далее
engine cryptodev - вы уверены, что оно полноценно поддерживается вашей системой? В любом случае для AES-256-CBC и OVPN младше 2.4 это не дает ускорения.

И последнее.
Клиента OVPN младше 2.4.0 надо запускать от администратора, иначе маршруты в систему не добавятся.

sirbusby

Исправил конфиг согласно вашим примечаниям. Убрал галочку Redirect Gateway (Force all client generated traffic through the tunnel.)
Интернет есть, но до хостов за pfsense достучаться не могу. Может быть какое-то правило на фаерволе надо?

pigbrother

1.Правило в  Firewall Rules OpenVPN
IPv4 * * * * * * none
есть?
2. PfSense - шлюз по умолчанию для пингуемых ресурсов?
3. Файрволл на пингуемых ресурсах выключен?