Problem z połączeniem się z OpenVPN

lordflash

Moja konfiguracja w sieci:
alt text

Od kilku dni siedzę nad problemem połączenia się z OpenVPN na routerze PFSENSE.
Podczas połączenia na kliencie pojawiają się komunikaty:

Mon Nov 05 12:32:14 2018 UDP link local (bound): [AF_INET][undef]:1194
Mon Nov 05 12:32:14 2018 UDP link remote: [AF_INET]80.80.80.11:1196
Mon Nov 05 12:33:14 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Nov 05 12:33:14 2018 TLS Error: TLS handshake failed
Mon Nov 05 12:33:14 2018 SIGUSR1[soft,tls-error] received, process restarting

Na routerze mojego ISP w zakładce NAT zrobiłem przekierowanie portów:
WAN IP Adres IP Serwera Początkowy_port_zew Końcowy_port_zew Począt_port_wew Począt_port_zew
80.80.80.11 10.100.0.2 1196 1196 1196 1196

Na PFSENSIE konfigurację robiłem zgodnie z tutorialami dostępnymi w Internecie. Server mode: ustawiony na Remote Access. W outbound NAT jest przepuszczona podsieć 192.168.1.0/24 (IPv4 Tunnel Network). W rules mam przepuszczony ruch dla portu 1196 po UDP. W OpenVPN jest przepuszczony cały ruch. Robiłem również przekierowanie portów na PFSENSIE, ale to chyba jest niepotrzebne.

Niestety w dalszym ciągu nie mam komunikacji z zewnątrz.
Jak próbowałem się połączyć z podsieci wewnętrznej 10.100.0.0/24 to wtenczas komunikacja z serwerem OpenVPN działa,
czyli ewidentnie jest problem z komunikacją gdzieś po drodze od routera ISP. Jak miałby ktoś jeszcze jakiś pomysł do wypróbowania będę wdzięczny za pomoc.

Logi z PFSENSA dt. OpenVPN

Nov 5 11:58:59 openvpn 41436 Initialization Sequence Completed
Nov 5 11:58:59 openvpn 41436 UDPv4 link remote: [AF_UNSPEC]
Nov 5 11:58:59 openvpn 41436 UDPv4 link local (bound): [AF_INET]10.100.0.2:1196
Nov 5 11:58:59 openvpn 41436 /usr/local/sbin/ovpn-linkup ovpns2 1500 1621 192.168.1.1 255.255.255.0 init
Nov 5 11:58:59 openvpn 41436 /sbin/ifconfig ovpns2 192.168.1.1 192.168.1.2 mtu 1500 netmask 255.255.255.0 up
Nov 5 11:58:59 openvpn 41436 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Nov 5 11:58:59 openvpn 41436 TUN/TAP device /dev/tun2 opened
Nov 5 11:58:59 openvpn 41436 TUN/TAP device ovpns2 exists previously, keep at program end
Nov 5 11:58:59 openvpn 41436 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Nov 5 11:58:59 openvpn 41242 library versions: OpenSSL 1.0.2m-freebsd 2 Nov 2017, LZO 2.10
Nov 5 11:58:59 openvpn 41242 OpenVPN 2.4.4 amd64-portbld-freebsd11.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Mar 16 2018

Postawiłem na szybko serwer OpenVPN w podsieci 10.100.0.0/24 (bezpośrednio w podsieci połączeniowej pomiędzy ISP i PFSENSEM) i komunikacja z OpenVPN była bezproblemowa, więc na pewno coś nie prawidłowo skonfigurowane jest na samym PFSENSIE.

Przemyslaw85

A nie masz możliwości by to router ISP był w trybie Brigde? W efekcie to PFsense będzie routerem brzegowym co znacznie upraszcza konfigurację.

Zacząłeś konfigurować VPN w trybie Remote Access. Tu żadne reguły w firewall nie działają. Możesz jedynie po wyłączeniu opcji: "Redirect IPv4 Gateway" dopisać w polu "IPv4 Local network(s)" do jakich sieci klient VPN będzie miał dostęp. Włączona opcja "Redirect IPv4 Gateway" oznacza że masz dostęp do wszystkiego.
Adres IP sieci VPN nie może być siecią którą już masz skonfigurowaną. To musi być inna podsieć np 10.0.150.0/24
Może właśnie tu tkwi problem.

Odezwij się na gg jak masz 2101676 to pomogę.

grandtabi

Mam podobnie. OpenVPN nie może się połączy, ponieważ jak wchodzę na adres założony na NO-IP to zaimast pojawiac się router pojawia się strona modemu Huawei FIOS od INEA. Czekam na odpowiedz z inea czy mi przełączą w bridge mode modem, samemu żeby to zrobic to jakis wielki problem. Jedyne tutoriale jakie znalazłem są po tajlandzku...