PfSense+VPN по 80 порту для определенных сайтов

werter

Доброго.
@Tolyan63:

Не то чтобы за нас сделать, но помощь Ваша нужна и важна))

Цикл статей по настройке пф https://nguvu.org/. Там и про опенвпн есть. В закладки.

Tolyan63

всем доброго времени суток. Не могу ни как правильно создать VPN-OpenVPN-Clients. Подскажите пожалуйста:
использую для пробы и тд ресурс http://www.vpnbook.com/freevpn
взял для пробы конфиг:

client -это я думаю обозначения  клиент
dev tun0 - режим работы
proto udp - протокол
remote 37.187.158.97 53 -сервера и порт
remote fr1.vpnbook.com 53 -сервера и порт
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass метод авторизации , запрашивать логин\пароль
comp-lzo
verb 3
cipher AES-128-CBC -тип шифрования
fast-io
pull
route-delay 2
redirect-gateway

Собственно остальное куда вписывать ?
не поднимается у меня соединения когда захожу в Status\OpenVPN

Помогите пожалуйста разобраться …

werter

Доброго.
Скрины того, что настраивали. Логи покажите.

Tolyan63

Скрины того что вписал в настройки

werter

У вас стоит галка на Automatic generate tls key. Снимите ее. Внесите key, к-ый предоставляет провайдер. Он в файле настроек –---BEGIN RSA PRIVATE KEY-----
Директивы в Advanced configuration разделяются ; , а не новой строкой (там об этом написано)
Оставьте в Advanced configuration только pull; route-delay 2; redirect-gateway
Поставьте галку на UDP fast i\o
Send\Receive buffer 512 KiB (поиграться в процессе)
Verbosity level 3\5

И да. Redirect-gateway в Advanced configuration завернет весь трафик в туннель.

Tolyan63

@werter:

У вас стоит галка на Automatic generate tls key. Снимите ее. Внесите key, к-ый предоставляет провайдер. Он в файле настроек –---BEGIN RSA PRIVATE KEY-----

Спасибо
Теперь я так понимаю в поле TLS Key я вставляю из файла настроек ключ начинающийся с –---BEGIN RSA PRIVATE KEY-----
но тогда появляется ниже поле Shared Key которое уже заполнено, при попытке сохранить настройки, ругается на "The field 'TLS Key' does not appear to be valid"
Что я опять делаю не так ?

werter

Доброго.
Похоже, что мой промах. Попробуйте галку c TLS вообще снять.
https://forum.pfsense.org/index.php?topic=131255.0
https://forum.pfsense.org/index.php?topic=130713.0
https://forum.pfsense.org/index.php?topic=105810.0

Tolyan63

@werter:

Доброго.
Похоже, что мой промах. Попробуйте галку c TLS вообще снять.
https://forum.pfsense.org/index.php?topic=131255.0
https://forum.pfsense.org/index.php?topic=130713.0
https://forum.pfsense.org/index.php?topic=105810.0

Спасибо за помощь!, воспользовался другим ресурсом vpn подключение поднялось, единственное не понимаю зачем копии правил нужны в Firewall\NAT\Outbound? если я отдельно правила для lan с указанием шлюза создаю
Сейчас так
Firewall\NAT\Outbound

а в разделе правил создал два правила, одно все через pppoe_gateway, второе на запрещенные сайты через opnvpn

На данный момент все работает как и хотел, трафик ходит на прямую, кроме перечня ресурсов, которые я добавил в алиас.
Все верно мной сделано ? или что то не так ?

pigbrother

OPT1 - это интерфейс OVPN-клиента?
Если так - вероятно, переключение в Manual outbound было нажато после создания OVPN-клиента.
Поэтому в списке правил  Manual outbound и появилось автоматически созданное правило
Auto created rule для OPT1.

Tolyan63

@pigbrother:

OPT1 - это интерфейс OVPN-клиента?
Если так - вероятно, переключение в Manual outbound было нажато после создания OVPN-клиента.
Поэтому в списке правил  Manual outbound и появилось автоматически созданное правило
Auto created rule для OPT1.

ОРТ1 да, это интерфейс опен впн
Правила копированием я создавал сам и менял интерфейс с wan на opt1.
Без них не работал впн туннель. Создал правила , весь трафик пошел в туннель . Потом уже в разделе правила создал два правила из lan весь трафик pppoe, а над ним из lan в alias через opt1

werter

Должно работать и без явного создания vpn-интерфейса.

pigbrother

единственное не понимаю зачем копии правил нужны в Firewall\NAT\Outbound? если я отдельно правила для lan с указанием шлюза создаю
Правила копированием я создавал сам и менял интерфейс с wan на opt1.

Вас же не удивляет необходимость Outbound NAT для WAN?
OPT1, в данном случае, - еще один псевдо-WAN, и для выхода в интернет через него тоже нужны правила Outbound NAT.

Правила на LAN разрешают\запрещают ходить трафику, а правило Outbound NAT дает техническую возможность этому трафику ходить через OPT1.

pigbrother

@werter:

Должно работать и без явного создания vpn-интерфейса.

В случае единственного OVPN-клиента - вероятно, да.
А если имеем несколько экземпляров OVPN-серверов с подключенными к ним сетями site-to-site и удаленными клиентами?

werter

Доброго.

А если имеем несколько экземпляров OVPN-серверов с подключенными к ним сетями site-to-site и удаленными клиентами?

Это легко проверить. Попробуйте.