Usare proprio server OpenVPN per navigare sicuri da altre reti esterne

senseiluke

Ciao,
Vorrei approfondire ancora il discorso su OpenVPn che ho installato sul mio pfsense come server.
Grazie a @kiokoman già tante cose mi sono adesso più chiare su questo servizio.
Vorrei capire adesso se è possibile utilizzare il server openvpn su pfsense oltre che per entrare con sicurezza nella proprio rete LAN dall'esterno anche come servizio per poter navigare in internet quando si è fuori collegati su una rete wifi altrui e di cui non ci si può fidare come quella dei bar e ristoranti ad esempio. In pratica come si stesse utilizzando uno dei tanti servizi VPN di terzi parti a pagamento, ma in questo caso appoggiandosi al server VPN su pfsense.
Quindi, quali impostazioni bisogna considerare sia su pfsense che sul client come un notebook o un cell?
Grazie

fabio.vigano

Ciao,
nel file di configurazione del client devi inserire la direttiva redirect-gateway
La direttiva fa in modo che tutto il traffico del client venga innoltrato sulla VPN
Lato server non devi fare molto, verifica solo che il traffico proveniente dalla VPN possa uscire su internet.

Ciao Fabio

senseiluke

@fabio-vigano said in Usare proprio server OpenVPN per navigare sicuri da altre reti esterne:

Ciao,
nel file di configurazione del client devi inserire la direttiva redirect-gateway
La direttiva fa in modo che tutto il traffico del client venga innoltrato sulla VPN
Lato server non devi fare molto, verifica solo che il traffico proveniente dalla VPN possa uscire su internet.

Ciao Fabio

Scusami ho visto adesso la risposta.
Si, avevo letto della modifica al file di configurazione lato client, ma pare ci sia anche una voce
"redirect gateway" nella opzione Tunnel Settings di pfsense.
Fa la stessa cosa?
Grazie

fabio.vigano

@senseiluke Si, fa la stessa cosa nel senso che ogni volta che esporti una configurazione ti aggiunge in automatico la clausola redirect-gateway. In tal senso è fastidiosa perchè se devi attivare N utenti e solo un numero ristretto deve redirigere tutto il traffico sulla VPN, ti costringe a cambiare a mano gli altri.
Quindi se vuoi usare quell'opzione sappi che conviene solo se tutti devono avere l'opzione redirect-gateway attiva
Ciao Fabio

senseiluke

@fabio-vigano said in Usare proprio server OpenVPN per navigare sicuri da altre reti esterne:

@senseiluke Si, fa la stessa cosa nel senso che ogni volta che esporti una configurazione ti aggiunge in automatico la clausola redirect-gateway. In tal senso è fastidiosa perchè se devi attivare N utenti e solo un numero ristretto deve redirigere tutto il traffico sulla VPN, ti costringe a cambiare a mano gli altri.
Quindi se vuoi usare quell'opzione sappi che conviene solo se tutti devono avere l'opzione redirect-gateway attiva
Ciao Fabio

Avevo fatto in effetti già delle prove.
Quando ho esportato la configurazione per il client windows , un po' di tempo fa, non ricordo se questa voce fosse attivata.
Disabilitandola al volo in pfsense (quindi senza toccare il file di configurazione client) mi sono accorto che il notebook in questo caso collegato al cell navigava in internet con IP riferibile al cell in tethering. Se la riattivavo l'IP era riferibile alla connessione di casa dove c'è il server pfsense.
Quindi questo significa che nel file di configurazione cleint non c'è l'opzione redirect e che in ogni caso se è impostato sul server pfsense i client sono forzati a passare dal gateway pfsense e quindi a navigare in internet sotto VPn oltre a poter accedere alla rete locale.
Spero di avere quel netbook ancora sottomano per verificare comunque.
Grazie

fabio.vigano

Non so se rientra tra le opzioni inviabili al client con un push, se fosse così è possibile che attivando disattivando il flag la configurazione venga modificata al volo a patto di ristabilire la connessione.
Ciao fabio

senseiluke

@fabio-vigano said in Usare proprio server OpenVPN per navigare sicuri da altre reti esterne:

Non so se rientra tra le opzioni inviabili al client con un push, se fosse così è possibile che attivando disattivando il flag la configurazione venga modificata al volo a patto di ristabilire la connessione.
Ciao fabio

Mi è sembrato che facesse proprio questo in effetti.
Grazie