Открыть порты для OpenVPN.



  • Добрый день! на pfSense на работе настроен OpenVPN, из дома подключаюсь вижу всю локальную сеть все работает замечательно, есть необходимость подключаться на АТСку через определенное ПО, сам IP адрес АТС пингуется из дома но через ПО я на нее зайти не могу (Web интерфейса у нее нет), работает ПОшка через определенный порт, я так понимаю нужно какое то разрешающее правило на этот порт настроить? в правилах WAN или в правилах OpenVPN ?



  • @guf-rolex-x доброго дня
    уверены,что проблема в pf ? может софт на атс настроен на доступ с определенных сетей ?
    для успокоения , покажите правила на опенвпн интерфейсе
    на wan должен быть открыт только 1194 ( или любой другой который использует openvpn сервер)



  • @konstanti не уверен, WAN порт 1194 открыт, ПО для АТС работает по порту UDP 4127 и 22333, получается когда я подключаюсь через OpenVPN я вижу всю свою локальную сеть, но зайти на АТС через это ПО не могу, вот и предположил что где то нужно разрешить эти порты. alt text еще такой нюанс, в локальной сети пытаюсь проверить доступность этого порта командой telnet, не удалось установить подключение к этому узлу, может и не в pf вовсе дело.



  • @guf-rolex-x Мое мнение , субъективное, дело не в PF
    Скорее всего , в софте АТС
    По правилам все ок
    Ради интереса , можете использовать NMAP для того , чтобы понять , какие UDP порты открыты у АТС
    Telnet работает с UDP ?



  • @konstanti сканировал nmap-ом, там вообще нет такого порта UDP 4127 (хотя в ПОшке указывается что 4127 базовый управляющий порт), отображает только порты ftp, blackice-icecap, h.323-gatekeeper



  • @guf-rolex-x said in Открыть порты для OpenVPN.:

    blackice-icecap

    Уверены , что udp порты сканировали ?
    Ftp - tcp
    blackice-icecap - tcp
    NMAP же при выводе пишет
    порт/протокол
    nmap -sU адрес хоста - сканирование UDP портов



  • @konstanti да ошибся, не пользовался не когда nmap, сканировал именно так nmap -sU 192.168.XX.XX, так после сканирования вообще не отображается не каких UDP портов, из руководства alt text скрин скана nmap alt text



  • @guf-rolex-x
    Вот что выдает инет по поводу 4127
    0_1544701797539_460adb89-320a-4497-ab68-3e404f2492c6-image.png

    Если мы говорим от IP АТС Агат
    Больше ничего не скажу об этой АТС , не знаю ее
    Но , если это действительно так ,что нельзя из разных сетей подсоединяться
    То понятно , почему Вы не можете соединиться
    Я бы рекомендовал бы Вам попробовать НАТить 4127 на Lan интерфейсе
    Вот как-то так
    0_1544702636361_c1dd505d-94c5-4c87-879a-91d9999e3a55-image.png



  • Добрый.

    Начните с начала.
    Вкл. логирование на пф. Запустите свой софт. Смотрите, что в логах пф.
    Если там ничего, то имеется возможность надампить пакетов прямо из вебки пф.

    Зы. Как вариант, ваша АТС-ка не позволяет с ней работать с адресов, отличных от локальных. Попробуйте у нее в настройках это изменить.



  • @werter said in Открыть порты для OpenVPN.:

    Как вариант, ваша АТС-ка не позволяет с ней работать с адресов, отличных от локальных

    В общем то это и предполагалось в ответе @Konstanti . Как и вариант использования NAT



  • спасибо за советы, буду пробовать.



  • @konstanti попробовал по вашему примеру, не работает. alt text



  • @guf-rolex-x а порт почему не 4127 ??????



  • @konstanti подключение к АТС происходит по двум ПО одно ПО конфигурационное, второе что бы перезагрузить/выключить АТС, восстановление и обновление ПО АТС, так вот оно работает по порту 22333, решил на нем и попробовать.



  • @guf-rolex-x 0_1545203313352_dd9dbc40-7dd5-491f-847b-bc80e51dbfd0-image.png

    Об этом идет речь ? Если об этом , обратите внимание на протокол
    попробуйте в НАТе поменять протокол
    Или как вариант
    Попробуйте для начала НАТить все пакеты от 10.0.1.0/24 , независимо от протокола и порта



  • @konstanti alt text нет там именно UDP, скрин из руководства



  • @guf-rolex-x Какой ip адрес у атс ?
    какой ip у lan интерфейса ?



  • @konstanti АТС 192.168.88.13 LAN 192.168.88.6



  • @guf-rolex-x Вы чуть выше показывали работу Nmap
    с другим адресом - там не было ошибки ?
    Давайте еще раз
    Из сети 192.168.88.0/24 с любого хоста locator соединяется нормально ?
    а из сети 10.0.1.0/24 не соединяется ? Верно ?
    Попробовали Натить все пакеты без указания протокола и порта? Оставляете только источником сеть OPenvpn .
    Tcpdump использовать умеете ?
    В PF - раздел Diagnostics
    Покажите весь трафик на lan интерфейсе для 192.168.88.13 , когда пытаетесь из 10.0.1.0 до него достучаться
    И еще просьба - если хотите , чтобы Вам помогли , лучше показывать нормальные текущие настройки , а не картинки из документации .



  • @konstanti да ошибся это другая подсеть, 192.168.50.13 и 192.168.50.6 - вот эти IP, из сети 192.168.50.0/24 с любого хоста работает нормально, все верно из сети 10.0.1.0/24 не работает, все пакеты натить не пробовал, попробую, Tcpdump не пользовался, не установлен такой пакет у меня, в разделе Diagnostics нет такого.



  • @guf-rolex-x packet capture. Должно быть. Как вы ищите АТС? По ip? Или оставляете поле пустым?



  • @konstanti да есть такое, не понял вопроса, ищите где?



  • @guf-rolex-x в locator. Вот запускайте packet capture и показывайте все пакеты к и от АТС на лан интерфейсе. При этом запустив locator на удалённом компе



  • This post is deleted!




  • @guf-rolex-x файл пустой (24 байта) . в Wireshark не открывается
    достаточно картинку показать , какие пакеты бегают , сразу видно будет.



  • @konstanti да вот и дело что когда просмотр нажимаешь с pf он ничего не открывает (пришлось скачать), открываю Wiresharkом пусто ничего нет, попробую сейчас еще раз.



  • @guf-rolex-x Вот такая картинка нужна ( аналог) из самого PF
    0_1545221385697_c00d37ec-2e72-4240-8f84-28e7bbcf4a80-image.png



  • @konstanti Вот как это должно быть в Вашем случае
    0_1545221605565_96315b2f-6043-4b12-92bf-1e41f7cd2e53-image.png

    И запускаете одновременно locator на удаленном хосте ( на том откуда не получается подключиться)



  • @konstanti если по прежнему вывод будет пуст, тоже самое проделайте на openvpn интерфейсе pf, только поле host оставьте пустым. У меня есть подозрение, что этот locator шлёт широковещательные пакеты. И они не доходят до адресата.
    PS если это так , то надо экспериментировать с OPENVPN BRIDGE (tap mode). Тогда будет создан мост с Lan и будет передаваться весь широковещательный трафик , а Ваш хост получит адрес от DHCP сервера Lan и будет иметь ip из сети 192.168.50.0/24



  • @konstanti по прежнему не могу просмотреть на LAN интерфейсе, на интерфейсе OpenVPN https://yadi.sk/i/7caH0gQAq9t1xQ PS 50.5 мой рабочий комп



  • @guf-rolex-x said in Открыть порты для OpenVPN.:

    LAN интерфейсе

    Доброе утро
    А скажите пож , все-таки к АТС из locator Вы обращаетесь по ip адресу ? ( в настройках) . Или поле ip адрес остается пустым ? Протокол в Packet Capture выставляли любой ? Верно ?
    Попробуйте поставить галочку в настройках Openvpn сервера
    0_1545281659032_71bcb3d6-5d02-4d5d-8d2f-374063a96d00-image.png

    И попробуйте еще раз захватить трафик на openvpn интерфейсе .
    Запустили захват , после этого запустили locator . Больше ничего запускать не надо
    Или можно запустить WireShark на 10.0.1.2 и запустить locator и показать вывод
    Но я все-таки склоняюсь к мысли о широковещательных пакетах , которые в tun режиме не передаются



  • @konstanti доброе, да к локатору обращаюсь по ip адресу, протокол выставлял любой. https://yadi.sk/i/HEoM4U5e0zHHqw



  • @guf-rolex-x тогда, как вариант, мост пробовать. Тар.



  • @konstanti подскажите пожалуйста как это попробовать.