Проблемы с OpenVPN на pfSense 2.3.4



  • собственно поставил в голове всей сети сервер (Intel(R) Xeon(TM) CPU 3.20GHz 4 CPUs: 2 package(s) x 1 core(s) x 2 HTT threads)

    pfSense 2.3.4-RELEASE-p1 (i386) built on Fri Jul 14 14:53:03 CDT 2017 FreeBSD 10.3-RELEASE-p19

    Визардом поднял OpenVPN: Remote Access (tls+user auth) UDP / 1194 Device mode TUN, адрес 10.0.8.0/24 алгоритмы Crypto: AES-256-CBC/SHA1 D-H Params: 2048 bits

    Клиент-экспорт работает, выгружаю конфиг, подключаюсь клиентом с Windows 10 и мобильным интернетом (планшет) а так же с мобилки (андроид) - коннектится без проблем, но в локальную сеть НЕ ПУСКАЕТ - точнее, полупускает - в локальной сети сервер на Centos 6 (asterisk) - если добавляю на сервере в админке FreePBX адрес 10.0.8.0/24 в "разрешенные", коннект к телефонии есть, но к виндовым ресурсам не пускает (ни RDP, ни сетевые)

    До этого работал с OpenVPN сервером на самом сервере астериска - в pfSense просто настраивал проброс 1194 порта на адрес сервера, результат - всё работало, на сетевые ресурсы виндовых компов пускало, настройки были по аналогии, в пару кликов.

    Не могу понять куда копать - вроде настроил по гайдам (https://habrahabr.ru/post/312528/, с текущего форума да и общих познаний хватает), но с никсами знаком слабо.

    UPD: Проблема решена

    push "route 192.168.0.0 255.255.255.0";
    push "route-gateway 10.8.0.1";
    

    Проблема в виндовых ресурсах оказалась в действительности в настройках Kaspersky Endpoint Security 10 (сеть 192.168.0.0/24 была "публичная") и даже с отключенным файрволом не пускало если коннект шёл от 192.168.0.1 (пускало при коннекте от 192.168.0.2 и выше)



  • ещё в некоторых гайдах есть ссылка на "— в разделе IPv4 Local network(s) прописываем ресурсы, роутинг до которых должны получить кассы. У меня это например 192.168.100.2/32, 192.168.1.0/24;"

    но при выборе в настройках server mode - Remote Access - раздел IPv4 Local network(s) пропадает, хотя до этого визардом в эту строку всё-же вписывал свою подсеть 192.168.0.0/24

    Так же, предположение - сервер на CentOS при поднятом на нём опенвпн - имея адрес 192.168.0.212 коннектится к другим устройствам в сети с него, а при подключении с pfSense подключение идёт с 192.168.0.1, и возможно как-то по другому обрабатывается виндой?

    т.к. проверил сейчас - при поднятии впн на pfsense я без проблем имею доступ ко всем линуксовым машинам (по SSH), а "винда шлёт на…" хотя касперыч и файрвол тупо вырубаю на время тестов



  • но к виндовым ресурсам не пускает (ни RDP, ни сетевые)

    А если на целевых машинах отключить\настроить брандмауэр?

    в разделе IPv4 Local network(s) прописываем ресурсы, роутинг до которых должны получить кассы.
    Да, это так, только не ресурсы а (под)сети

    Смущает, правда запись вида 192.168.100.2/32, это - одиночный ресурс.

    а "винда шлёт на…"
    Помимо отключенного файрволла,  pfSense - default GW для них?

    касперыч
    Его модуль фильтрации трафика точно выключается при отключении?



  • @pigbrother:

    но к виндовым ресурсам не пускает (ни RDP, ни сетевые)

    А если на целевых машинах отключить\настроить брандмауэр?

    в разделе IPv4 Local network(s) прописываем ресурсы, роутинг до которых должны получить кассы.
    Да, это так, только не ресурсы а (под)сети

    Смущает, правда запись вида 192.168.100.2/32, это - одиночный ресурс.

    а "винда шлёт на…"
    Помимо отключенного файрволла,  pfSense - default GW для них?

    касперыч
    Его модуль фильтрации трафика точно выключается при отключении?

    Вся организация уже благополучно с пару месяцев работает через PF, поднят DHCP сервер, все клиенты сидят на нём. Default GW 192.168.0.1 он же айпишник pf интерфейс lan. DNS серверы принудительно 192.168.0.211 (MS ActiveDirectory) и гугловый 8.8.8.8

    Цель - сейчас на pf поднять OpenVPN для подключения мобильников и планшетов сотрудников - мобилки для доступа к внутренней телефонии, планшеты для доступа к корпоративной сети (проксик висит на 192.168.0.2 пока windows 2000 (да да, он у нас стоит с осени 2000, 85мбит выжимает…) + freeproxy, планирую заменить на pf)

    Итогом моего конфига стало то - что клиенты подключаются и к телефонии доступ есть, но к проксику и другим ресурсам не пускает. Если поднимаю впн штатными средствами сервера телефонии FreePBX то доступ есть ко всему, но нагрузка на сервер телефонии не желательна, вот и развожу.

    По виндовым ресурсам - касперыча вырубаю полностью, так же нет доступа и к компам без касперыча.



  • почерпнув из соседних топиков
    "На сервере:
          route 192.168.0.0 255.255.255.0;
          push "route 192.168.1.0 255.255.255.0";"
    в итоге добавил:

    route 192.168.0.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";
    push "route-gateway 10.8.0.1";

    результат тот же… С андроида по ssh подключаюсь к линуксам, RDP отсутствует...
    Хотя тут же переподключаюсь к впн серверу на телефонии, и RDP есть.



  • Что-то не так (с).
    Использую OpenVPN на pfSense как корпоративный VPN уже несколько лет. Доступ в LAN центрального офиса и сети филиалов. Клиенты работают  на всем, начиная с айфонов и заканчивая домашними роутерами.
    Прокси нет.
    В сетях разные ОС, от ХР до Линуксов, все доступны клиентам OpenVPN.

    С андроида по ssh подключаюсь к линуксам, RDP отсутствует…

    Линуксы и RDP в одной подсети?

    Правило на OpenVPN
    IPv4 * * * * * * none   All OVPN traffic permit
    Визард создал?



  • @pigbrother:

    Что-то не так (с).
    Использую OpenVPN на pfSense как корпоративный VPN уже несколько лет. Доступ в LAN центрального офиса и сети филиалов. Клиенты работают  на всем, начиная с айфонов и заканчивая домашними роутерами.
    Прокси нет.
    В сетях разные ОС, от ХР до Линуксов, все доступны клиентам OpenVPN.

    Ураааа, таки работает, в последнем тесте выбрал старый файл профиля, без прописанных гв

    в итоге решение проблемы в моём случае:

    route 192.168.0.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";
    push "route-gateway 10.8.0.1";
    


  • отсюда возник следующий вопрос - далее я подключу два филиала, на них будет тоже pfSense

    Сервер на другом порте подниму Site-to-Site PKI, там тоже придётся добавлять маршруты? И их подсети тоже придётся добавить в текущий конфиг, чтоб были маршруты, с одиночных клиентов или как?



  • push "route-gateway 10.8.0.1";
    Странно, обычно если default GW сети - машина с pfSense такого делать не требуется.

    Тогда уж попробуйте тогда совместить два правила, вместо
    push "route 192.168.0.0 255.255.255.0";
    push "route-gateway 10.8.0.1";

    передавать одно:
    push "route 192.168.0.0 255.255.255.0 10.8.0.1";

    https://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-client-with-a-different-gateway

    Сервер на другом порте подниму Site-to-Site PKI, там тоже придётся добавлять маршруты? И их подсети тоже придётся добавить в текущий конфиг, чтоб были маршруты, с одиночных клиентов или как?

    На "центральном" сервере - route (или IPv4 Local network(s) ) в эти сети,
    Клиентам -  добавить push "route… в эти сети.

    и да:
    если добавляю на сервере в админке FreePBX адрес 10.0.8.0/24
    и
    push "route-gateway 10.8.0.1"

    ?



  • Доброе.

    всё-же вписывал свою подсеть 192.168.0.0/24

    Отвратительно. Миллион раз говорено - не использовать эту сеть на работе. Меняйте адресацию. Проблем не оберетесь, когда у клиентов сеть будет (а она будет) с такой же адресацией.

    route 192.168.0.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    Зачем Вы объявляете сетям за pf (директива route …) и клиентам (директива push "route …" ) одну и туже подсеть 192.168.0.0/24 ?  Бред же. Если надо клиентам передать маршрут в сеть за пф, то достаточно только push "route …" . Удаляйте лишнее.

    в локальной сети сервер на Centos 6 (asterisk) - если добавляю на сервере в админке FreePBX

    https://www.freepbx.org/downloads/ Есть повод обновиться. Изменения - глобальные.

    собственно поставил в голове всей сети сервер (Intel(R) Xeon(TM) CPU 3.20GHz 4 CPUs: 2 package(s) x 1 core(s) x 2 HTT threads)

    Использовать такие мощности только для пф - это как топить печь ассигнациями. Виртуализируйте (https://forum.pfsense.org/index.php?topic=136398.0) . Сплошные плюсы же. Всю вашу инфаст-ру можно уместить на этом сервере.



  • @werter:

    Доброе.

    всё-же вписывал свою подсеть 192.168.0.0/24

    Отвратительно. Миллион раз говорено - не использовать эту сеть на работе. Меняйте адресацию. Проблем не оберетесь, когда у клиентов сеть будет (а она будет) с такой же адресацией.

    route 192.168.0.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0";

    Зачем Вы объявляете сетям за pf (директива route …) и клиентам (директива push "route …" ) одну и туже подсеть 192.168.0.0/24 ?  Бред же. Если надо клиентам передать маршрут в сеть за пф, то достаточно только push "route …" . Удаляйте лишнее.

    в локальной сети сервер на Centos 6 (asterisk) - если добавляю на сервере в админке FreePBX

    https://www.freepbx.org/downloads/ Есть повод обновиться. Изменения - глобальные.

    собственно поставил в голове всей сети сервер (Intel(R) Xeon(TM) CPU 3.20GHz 4 CPUs: 2 package(s) x 1 core(s) x 2 HTT threads)

    Использовать такие мощности только для пф - это как топить печь ассигнациями. Виртуализируйте (https://forum.pfsense.org/index.php?topic=136398.0) . Сплошные плюсы же. Всю вашу инфаст-ру можно уместить на этом сервере.

    Спасибо - сеть действительно поменяю (правда перевод будет долгим и тяжким - 35 телефонов надо будет перенастроить на новый IP сервера, да и есть часть компов со статикой и таблицы маршрутизации), по push "route …" ) убрал, работать осталось =)) просто нашёл в соседнем посте по похожей проблеме данное решение.

    По поводу виртуализации - организация хоть и не большая, но для всего выделяется своё железо (в наличии 6 стоечных и 1 fulltower серверов), так сказать если сдохнет - то что-то одно (хотя вариант собрать отказоустойчивую виртуализацию, но тут уже иная история)

    Астериск обновлять не планируем - т.к. возникли в последней версии проблемы с нашими телефонами - отваливается регистрация (без причин в логах) до перезагрузки аппарата. Сидим на фрипбиксе STABLE (LEGACY) 10.13.66-64bit

    Возник другой вопрос - пока сетью управлял наш недостопочтенный контроллер домена Великийсофт ActiveDirectory (он же DHCP + DNS сервер + NAT (на нём был WAN с белым IP от провайдера))  - проблем с DNS не было - точнее имея один внешний айпишник, при запросе у сервера admin.тут имя моего домена.ru запросы улетали на сервер астериска, при запросах dell1.тут имя моего домена.ru и dell2.тут имя моего домена.ru улетали на соответствующие сервера (соответственно с поддоменами например царьибогadmin.dell1.тут имя моего домена.ru)

    Как мне реализовать данную возможность на PF? Ощущаю всеми фибрами своей души, что копать нужно в dns forwarder или resolver, но вот не могу даже правильно сформулировать запрос для поиска в гугле…



  • Доброе.

    По поводу виртуализации - организация хоть и не большая, но для всего выделяется своё железо (в наличии 6 стоечных и 1 fulltower серверов), так сказать если сдохнет - то что-то одно (хотя вариант собрать отказоустойчивую виртуализацию, но тут уже иная история)

    Если что-то сдохнет и нет бэкапов - крайним окажитесь Вы. И за простОй - тоже Вы. И за то, что не организовали отказоустойчивость\быстрое восстановление.

    Выберите самый мощный из серверов, разверните на нем Proxmox и мигрируйте всё на него.

    Proxmox умеет асинхронную кластеризацию, т.е по расписанию (да хоть каждые 5-10-xx минут!) ВМ с одного хоста прозрачно мигрирует на другой. Лишь бы сеть позволяла это делать быстро.

    Задумайтесь. Отвечать-то Вам.

    Зы. Вот так у меня выглядит бэкап по расписанию. Могу восстановить полностью ВМ за 10-20 мин.

    ![2017-10-10 17_11_53.png](/public/imported_attachments/1/2017-10-10 17_11_53.png)
    ![2017-10-10 17_11_53.png_thumb](/public/imported_attachments/1/2017-10-10 17_11_53.png_thumb)



  • @werter:

    Доброе.

    По поводу виртуализации - организация хоть и не большая, но для всего выделяется своё железо (в наличии 6 стоечных и 1 fulltower серверов), так сказать если сдохнет - то что-то одно (хотя вариант собрать отказоустойчивую виртуализацию, но тут уже иная история)

    Если что-то сдохнет и нет бэкапов - крайним окажитесь Вы. И за простОй - тоже Вы. И за то, что не организовали отказоустойчивость\быстрое восстановление.

    Выберите самый мощный из серверов, разверните на нем Proxmox и мигрируйте всё на него.

    Proxmox умеет асинхронную кластеризацию, т.е по расписанию (да хоть каждые 5-10-xx минут!) ВМ с одного хоста прозрачно мигрирует на другой. Лишь бы сеть позволяла это делать быстро.

    Задумайтесь. Отвечать-то Вам.

    Зы. Вот так у меня выглядит бэкап по расписанию. Могу восстановить полностью ВМ за 10-20 мин.

    у меня бюджетная организация, и по этому я отвечаю только за работу "в целом" а за выход конкретной единицы оборудования - извините, денег нет но вы держитесь не моя проблема =) к тому же каждый сервер имеет бекап в виде второго сервера и регулярных копий БД, сделано колхозно но пашет Т_Т я только заменил маршрутизатор Длинк на помощнее ))



  • я только заменил маршрутизатор Длинк на помощнее )

    Длинк поднимает соединение  (PPPOE\etc) и стоит перед WAN pfSense?
    Золотой стандарт - перевести  его (как и любой другой роутер) в режим бриджа т поднимать линк непосредственно на pfSense. Тогда "мощность" роутера практически не имеет значения, он превращается в тупой преобразователь среды +отсутствие двойного NAT и т.п.



  • Доброе.

    @MythOfTheLight:

    у меня бюджетная организация, и по этому я отвечаю только за работу "в целом" а за выход конкретной единицы оборудования - извините, денег нет но вы держитесь не моя проблема =) к тому же каждый сервер имеет бекап в виде второго сервера и регулярных копий БД, сделано колхозно но пашет Т_Т я только заменил маршрутизатор Длинк на помощнее ))

    Отговорки. (Очень) зря вы. Это ж еще и опыт(!) получите. Я карьеру начинал тоже в госструктуре и только самообучение мне помогло набраться опыта. Иначе так бы и "подавал бы ключи" до сих пор.

    P.s. После того как ушел из госсектора, лет через 7 встретил бывшего коллегу. Начал я спрашивать про виртуализацию, про *nix, про что нового-интересного внедрили - тот только плечами пожимал  :-\

    Подумайте. Пока есть время и возможность.



  • @pigbrother:

    я только заменил маршрутизатор Длинк на помощнее )

    Длинк поднимает соединение  (PPPOE\etc) и стоит перед WAN pfSense?
    Золотой стандарт - перевести  его (как и любой другой роутер) в режим бриджа т поднимать линк непосредственно на pfSense. Тогда "мощность" роутера практически не имеет значения, он превращается в тупой преобразователь среды +отсутствие двойного NAT и т.п.

    так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай для моего мобильника и сразу pfSense, в длинке pf запихал в DMZ и всё, просто из-за большого количества компов работающих с сетью длинк потупливал, да интерфейсы на нём 100мбит, и 4 коммутатора были воткнуты в него напрямую…. т.е. весь трафик в сети летал через бедолагу за 600 рублей.

    PF подключил напрямую к Dlink DGS-1510-52 из него пока езернет в ещё два таких же, позже оптику поставлю между DGSами

    По поводу опыта - потихоньку набираюсь, итак уже один из всех подведомственных организациях цифровую телефонию внедрил полностью сам с нуля, хоть и на простом FreePBX из коробки, MS AD поднял и настроил вместе с средствами защиты от несанкционированного доступа, все с eToken ходят, даже аттестацию ФСТЭК провели =)

    Пока ещё не дошли руки связать pf + MS AD, пока просто pf раздаёт в качестве DNS сервера IP от сервака с доменом, а на том статика на яндекс и резерв гугл.



  • так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай

    Я предлагал как раз обратное - поднимать PPPoE НЕ на роутере, а на pfSense, и указал чем это предпочтительнее.
    Единственный плюс вашего решения - возможность использовать Wi-Fi роутера.

    Пока ещё не дошли руки связать pf + MS AD
    Если не планируете использовать прокси с авторизацией\управлением доступом в интернет\VPN и т.п - связь  pf + MS AD вам ничего особенного не даст.



  • @pigbrother:

    так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай

    Я предлагал как раз обратное - поднимать PPPoE НЕ на роутере, а на pfSense, и указал чем это предпочтительнее.
    Единственный плюс вашего решения - возможность использовать Wi-Fi роутера.

    Пока ещё не дошли руки связать pf + MS AD
    Если не планируете использовать прокси с авторизацией\управлением доступом в интернет\VPN и т.п - связь  pf + MS AD вам ничего особенного не даст.

    Вот как раз в целях опыта и хочу связать =) больше знаю меньше сплю так сказать ))) отрабатываю разные варианты применения