OpenVPN sotto router a cascata



  • Ciao,
    Credo che sia giunto il momento di provare OpenVPN sul mio firewall pfsense.
    Il problema è che il pc su cui è installato è collegato a un router che a sua volta è collegato al modem/router Vodafone. Sul secondo router ho impostato la porta WAN di pfsense con IP statico e in DMZ. QUindi ci sono 3 subnet differenti modem Vodafone->router personale (DD-WRT)->PC con pfsense.
    Mi chiedevo se in questo condizioni posso installare OpenVPN e quali problematiche mi troverei ad affrontare per farlo funzionare correttamente su pfsense.
    Grazie


  • LAYER 8

    openvpn per fare cosa? collegarti a un servizio vpn che hai acquistato o deve fare da server per accettare connessioni da client esterni ? in ogni caso non dovresti riscontrare problematiche insormontabili



  • @kiokoman
    ah si, scusa.
    Deve fare da server per permettere ai client di accedere alle risorse di rete e magari a un programma che gira con Apache, php eccetera, di quelli accessibili da browser.


  • LAYER 8

    non ricordo adesso, forse me lo avevi gia' detto in un altro post ma quel dd-wrt a cosa ti serve?



  • @kiokoman
    L'ho messo per separare la mia rete interna. Il modem Vodafone non è mio, appartiene ad un mio parente con cui condivido la casa. Potrei anche toglierlo, ma per varie ragioni preferisco così se è possibile. Grazie


  • LAYER 8

    io userei pfsense per per dividere la rete visto che è un firewall anzichè un router con funzioni limitate che aggiunge complessità comunque intanto prova a configurare openvpn poi vediamo se insorgono problemi o no e eventualmente configuriamo per farlo andare



  • @kiokoman said in OpenVPN sotto router a cascata:

    io userei pfsense per per dividere la rete visto che è un firewall anzichè un router con funzioni limitate che aggiunge complessità comunque intanto prova a configurare openvpn poi vediamo se insorgono problemi o no e eventualmente configuriamo per farlo andare

    ok allora domani incomincio a vedere un po' di guide e magari poi chiedo qui in caso di problemi o dubbi.
    Al momento preferisco tenere la rete così. Pfsense è installato su un pc anche abbastanza datato e che consuma pure.
    Quindi dopo avere fatto i dovuti esperimenti lo spengo e ritorno sulla rete precedente. Una volta preso familiarità con il firewall lo dovrei installare su un notebook malandato ma abbastanza potente e magari rendere il tutto permanente.
    Dopo posso pure eliminare il DD-WRT nel mezzo.
    Grazie



  • A proposito. Non avendo un IP pubblico statico devo sottoscrivere prima un servizio come No-IP o simile



  • Purtroppo ci sono dei problemi.
    Ho seguito il tutorial di questo tizio per le impostazioni:

    Youtube Video

    Ho quindi sottoscritto un account su No-IP.

    Tutto ok (almeno credo) fino alla fase finale: l'avvio e la connessione dal client.
    Ho installato il client su un notebook che era collegato in tethering al mio cell (giusto per simulare una necessità di collegarmi alla rete di casa, in caso mi trovassi fuori).
    Installo e avvio il client inserisco il nome utent e pass impostati in pfsense, ma non riesco a connettermi.
    Lo stato evidenzia un paio di scritte in rosso:

    TLS error: TLS negotiation failed to occur within 60 seconds (check your network connettivity)
    TLS error: TLS handshake failed

    Quale potrebbe essere il problema?
    Grazie


  • LAYER 8

    ok il video sembra corretto, sul log openvpn di pfsense non c'e' nulla?
    credo che il traffico non arrivi neanche al pfsense, la porta 1194 è aperta nei vari router a cascata che hai verso pfsense?
    se stai usando il servizio no-ip per connetterti ha registrato l'indirizzo ip esterno corretto?



  • @kiokoman

    se intendi per log openVPN questo qui:

    Status ->System-> LogsOpenVPN
    Mi pare che il log sia rimasto uguale a quanto ho terminato la configurazione su pfsense

    "se stai usando il servizio no-ip per connetterti ha registrato l'indirizzo ip esterno corretto?"

    Quale intendi per esterno? L'IP pubblico? Questo viene visualizzato automaticamente nelladashboard di No-IP.

    Sul mio router ho impostato l'IP WAN assegnato a pfsense come statico e in DMZ (mica bisogna fare il port forwarding anche in questo caso?)

    Sul router/modem vodafone il firewall sembra impostato a spento, però non c'è nessuna regola per le porte (associazione porte) e non è impostato l'IP del mio router (quello tra la vodafone station e pfsense per intenderci) nè in DMZ ne come statico (anche se l'ho assegnato io stesso nel router).
    Però ripeto il firewall nella vodafone station sembra spento.
    Devo comunque agire sull'associazione delle porte e altro sulla Vodafoen station?
    Grazie



  • Allora, ci sono riuscito. Ho solo impostato nella Vodafone Station in DMZ l'IP del mio router DD-WRT a cui è collegato pfsense (anch'esso settato in DMZ sotto il router DD-WRT)
    Però ho alcuni dubbi.

    Nel log della VPN l'user risulta finalmente autenticato
    la successiva riga mi riporta un IP tipo IPv4=192.168.6.2 (192.168.6.0/24 era in effetti la subnet virtuale che ho impostato come da tutorial). Che dovrebbe essere l'IP del client collegato da remoto.

    Dal notebook (client) con la openVPN ora l'icona della rete vpn è verde, tutto ok quindi, però per il momento non è più che un "esercizio di stile". Non ho capito in pratica come accedere alle risorse della rete. Per esempio c'è una cartella condivisa nel mio pc principale che vorrei raggiungere (sotto rete LAN di solito la apro senza problemi), ma non ho capito come fare.
    Posso poi accedere in qualche modo dal client in VPN alla dashboard di pfsense?
    Grazie


  • LAYER 8

    accedi alla rete tramite indirizzo ip ma per accedere alle cartelle condivise dalla vpn devi disattivare windows firewall perchè in automatico blocca le connessioni in ingresso provenienti da reti diverse.
    per esempio su esplora risorse del notebook connesso con la vpn scrivi \ \192.168.x.x\cartellacondivisa
    dove su 192.168.x.x hai disattivato il firewall di windows



  • @kiokoman

    Funziona!! Grazie
    Accedo pure alla dashboard di pfsense. Imamgino che potrei quindi anche accedere a programmi instalallati su un ipotetico server della LAN. Giusto?

    Però è consigliabile disattivare il firewall di windows anche se si è sotto pfSense? È regolare?
    In ambiti aziendali (giusto un esempio, magari usano soluzioni diverse) si fa proprio così per connettere le reti a distanza e accedere alle risorse dei server?

    Un'altra cosa? Vedo ora nella finestra "Firewall logs" tanti indirizzi ip esterni bloccati dal firewall sulla WAN anche ora che sto sotto VPN. È normale? Sarà dovuto al fatto che ho messo tutto in DMZ fino a pfsense?
    Ho fatto un po' di verifiche e sono IP provenienti dall'Est Europa.
    Grazie ancora


  • LAYER 8

    il firewall di windows è per lo più inutile imho, sicuramente esiste un altra soluzione ma la devi cercare su google perchè personalmente non mi sono mai informato.
    non saprei i miei server sono tutti linux quindi non ho mai approfondito la cosa.
    si è normale che sulla wan vedi i blocchi visto che hai messo in DMZ ma non c'e' da preoccuparsi tanto è tutto chiuso
    normale ne vedrai provenire un po da tutto il mondo cina/brasile/corea etc etc



  • @kiokoman

    Riprendo un attimo questa discussione per aggiornare sugli interventi sul firewall windows.
    Per evitare di disattivare il firewall ho aggiunto tra le regole in entrate un'altra.
    Non ho specificato ne porta ne servizio però coem potete vedere :

    alt text

    Queste impostazioni sotto però permettono ad utenti collegati tramite openVPN di vedere le risorse di rete di un pc:

    alt text
    La modifica che funziona è proprio "Indirizzo Ip locale->Qualsiasi indirizzo IP". Se modifico questa e aggiungo la subnet 192.168.6.0/24 nello spazio sotto non accedo più alle risorse.
    In "indirizzo remoto ip" ho inserito la subnet della LAN virtuale giusto per non lasciare l'opzione "qualsiasi indirizzo IP" selezionata, ma non serve a niente per lo scopo.
    È uan modifica fatta un po' troppo alla carlona, giusto per non disttivare compeltamente il firewall, ma mi sembra troppo permissiva. Voelvo aggire sulle porte e i servizi da autorizzare ma non saprei cosa cambiare.
    Mi aiutate a ad impostare meglio questa regola?
    Grazie


Log in to reply