Problem z połączeniem się z OpenVPN



  • Moja konfiguracja w sieci:
    alt text

    Od kilku dni siedzę nad problemem połączenia się z OpenVPN na routerze PFSENSE.
    Podczas połączenia na kliencie pojawiają się komunikaty:

    Mon Nov 05 12:32:14 2018 UDP link local (bound): [AF_INET][undef]:1194
    Mon Nov 05 12:32:14 2018 UDP link remote: [AF_INET]80.80.80.11:1196
    Mon Nov 05 12:33:14 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Mon Nov 05 12:33:14 2018 TLS Error: TLS handshake failed
    Mon Nov 05 12:33:14 2018 SIGUSR1[soft,tls-error] received, process restarting

    Na routerze mojego ISP w zakładce NAT zrobiłem przekierowanie portów:
    WAN IP Adres IP Serwera Początkowy_port_zew Końcowy_port_zew Począt_port_wew Począt_port_zew
    80.80.80.11 10.100.0.2 1196 1196 1196 1196

    Na PFSENSIE konfigurację robiłem zgodnie z tutorialami dostępnymi w Internecie. Server mode: ustawiony na Remote Access. W outbound NAT jest przepuszczona podsieć 192.168.1.0/24 (IPv4 Tunnel Network). W rules mam przepuszczony ruch dla portu 1196 po UDP. W OpenVPN jest przepuszczony cały ruch. Robiłem również przekierowanie portów na PFSENSIE, ale to chyba jest niepotrzebne.

    Niestety w dalszym ciągu nie mam komunikacji z zewnątrz.
    Jak próbowałem się połączyć z podsieci wewnętrznej 10.100.0.0/24 to wtenczas komunikacja z serwerem OpenVPN działa,
    czyli ewidentnie jest problem z komunikacją gdzieś po drodze od routera ISP. Jak miałby ktoś jeszcze jakiś pomysł do wypróbowania będę wdzięczny za pomoc.

    Logi z PFSENSA dt. OpenVPN

    Nov 5 11:58:59 openvpn 41436 Initialization Sequence Completed
    Nov 5 11:58:59 openvpn 41436 UDPv4 link remote: [AF_UNSPEC]
    Nov 5 11:58:59 openvpn 41436 UDPv4 link local (bound): [AF_INET]10.100.0.2:1196
    Nov 5 11:58:59 openvpn 41436 /usr/local/sbin/ovpn-linkup ovpns2 1500 1621 192.168.1.1 255.255.255.0 init
    Nov 5 11:58:59 openvpn 41436 /sbin/ifconfig ovpns2 192.168.1.1 192.168.1.2 mtu 1500 netmask 255.255.255.0 up
    Nov 5 11:58:59 openvpn 41436 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
    Nov 5 11:58:59 openvpn 41436 TUN/TAP device /dev/tun2 opened
    Nov 5 11:58:59 openvpn 41436 TUN/TAP device ovpns2 exists previously, keep at program end
    Nov 5 11:58:59 openvpn 41436 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Nov 5 11:58:59 openvpn 41242 library versions: OpenSSL 1.0.2m-freebsd 2 Nov 2017, LZO 2.10
    Nov 5 11:58:59 openvpn 41242 OpenVPN 2.4.4 amd64-portbld-freebsd11.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 16 2018

    Postawiłem na szybko serwer OpenVPN w podsieci 10.100.0.0/24 (bezpośrednio w podsieci połączeniowej pomiędzy ISP i PFSENSEM) i komunikacja z OpenVPN była bezproblemowa, więc na pewno coś nie prawidłowo skonfigurowane jest na samym PFSENSIE.



  • A nie masz możliwości by to router ISP był w trybie Brigde? W efekcie to PFsense będzie routerem brzegowym co znacznie upraszcza konfigurację.

    Zacząłeś konfigurować VPN w trybie Remote Access. Tu żadne reguły w firewall nie działają. Możesz jedynie po wyłączeniu opcji: "Redirect IPv4 Gateway" dopisać w polu "IPv4 Local network(s)" do jakich sieci klient VPN będzie miał dostęp. Włączona opcja "Redirect IPv4 Gateway" oznacza że masz dostęp do wszystkiego.
    Adres IP sieci VPN nie może być siecią którą już masz skonfigurowaną. To musi być inna podsieć np 10.0.150.0/24
    Może właśnie tu tkwi problem.

    Odezwij się na gg jak masz 2101676 to pomogę.