Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    nat + openvpn client

    Russian
    3
    12
    931
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      den.yoz
      last edited by den.yoz

      Доброго времени суток.

      На pfsense настроен клиент openvpn. Сделаны правила в manual outbound nat для интерфейса. Сделано правило + алиас для LAN файрволла, посылать в гейтвей openvpn соединения на определенные алиасом сайты.
      На сервере openvpn включен форвард пакетов и нат для подсети 10.8.0.0.

      НО! Траффик не идёт. В tcpdump на интерфейсе сервера tun0 тишина. tracert с самого pfsense на сайт из списка в алиасе не уходит в туннель, идёт по дефолт гейтвею.

      Куда копать?

      P K 4 Replies Last reply Reply Quote 0
      • P
        pigbrother @den.yoz
        last edited by pigbrother

        @den-yoz said in nat + openvpn client:

        Куда копать?

        Организовывал когда то доступ через openvpn через коммерческого провайдера.
        Вероятно - проблема в назначения шлюза Open VPN "шлюзом для интернета" (redirect-gateway def1). По идее, эту директиву вам должен передавать сервер Open VPN. Попробуйте добавить ее вручную в Advanced Configuration.

        @den-yoz said in nat + openvpn client:

        на сайт из списка в алиасе

        Не уверен, что фильтрация по спискам в алиасах будет работать, пусть меня поправят.

        1 Reply Last reply Reply Quote 0
        • K
          Konstanti @den.yoz
          last edited by Konstanti

          @den-yoz
          Здр

          О каких сайтах идет речь ???? Можете привести пример ?
          Если речь о сайтах , типа , Netflix , Youtube и тд и тп , то такая схема не будет работать

          D 1 Reply Last reply Reply Quote 0
          • D
            den.yoz @Konstanti
            last edited by

            @konstanti said in nat + openvpn client:

            О каких сайтах идет речь ???? Можете привести пример ?

            О заблокированных на территории рф, lostfilm.tv, rutracker.org ну и разные.

            @pigbrother said in nat + openvpn client:

            Не уверен, что фильтрация по спискам в алиасах будет работать, пусть меня поправят.

            https://open-networks.ru/d/37-pfsense-openvpn-firewall

            Относительно свежий гайд, думаю не писали бы, если бы не работало.

            K 1 Reply Last reply Reply Quote 0
            • P
              pigbrother @den.yoz
              last edited by

              This post is deleted!
              1 Reply Last reply Reply Quote 0
              • P
                pigbrother @den.yoz
                last edited by pigbrother

                @den-yoz said in nat + openvpn client:

                tracert с самого pfsense на сайт из списка в алиасе не уходит в туннель, идёт по дефолт гейтвею.

                pfSense для себя использует только шлюз по умолчанию. Проверяйте из локальной сети.

                @den-yoz said in nat + openvpn client:

                включен форвард

                О каком форварде идет речь?

                D 1 Reply Last reply Reply Quote 0
                • D
                  den.yoz @pigbrother
                  last edited by

                  @pigbrother said in nat + openvpn client:

                  О каком форварде идет речь?

                  net.ipv4.ip_forward = 1
                  -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
                  DEFAULT_FORWARD_POLICY="ACCEPT"

                  @pigbrother said in nat + openvpn client:

                  pfSense для себя использует только шлюз по умолчанию. Проверяйте из локальной сети.

                  В packet capture на openvpn интерфейсе самого pfsense есть следы, но в одну сторону.
                  20:56:53.173850 IP 10.8.0.6.6024 > 185.85.121.13.80: tcp 0
                  20:56:53.173883 IP 10.8.0.6.10788 > 185.85.121.13.80: tcp 0
                  20:56:53.323981 IP 10.8.0.6.49568 > 185.85.121.13.80: tcp 0
                  10.8.0.6 - адрес openvpn клиента pfsense.
                  185.85.121.13.80 - сайт lostfilm

                  Т.е. какая то шляпа с прохождением пакетов обратно от openvpn сервера в локальную сеть видимо. Но не знаю куда смотреть, правила разрешающие есть.

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother @den.yoz
                    last edited by

                    @den-yoz said in nat + openvpn client:

                    -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
                    DEFAULT_FORWARD_POLICY="ACCEPT"

                    А это каким образом относится к pfSense?

                    D 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @den.yoz
                      last edited by

                      @den-yoz
                      С этими доменами проблем быть не должно. Это явно доказывается тем, что уходят syn пакеты через туннель в сторону сервера. Вопрос в том , почему сервер не отвечает. Проверьте все Настройки . Какой vpn провайдер ? Как правило , у хороших провайдеров на сайте есть инструкция , как настраивать pfsense как клиента openvpn

                      1 Reply Last reply Reply Quote 0
                      • D
                        den.yoz @pigbrother
                        last edited by

                        @pigbrother said in nat + openvpn client:

                        А это каким образом относится к pfSense?

                        Это на openvpn сервере.

                        @konstanti said in nat + openvpn client:

                        С этими доменами проблем быть не должно. Это явно доказывается тем, что уходят syn пакеты через туннель в сторону сервера. Вопрос в том , почему сервер не отвечает. Проверьте все Настройки . Какой vpn провайдер ? Как правило , у хороших провайдеров на сайте есть инструкция , как настраивать pfsense как клиента openvpn

                        Сервер openvpn свой. Конфиг абсолютно типовой, через обычный клиент на винде всё ходит нормально.

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @den.yoz
                          last edited by Konstanti

                          @den-yoz
                          Так если свой , то разбираться надо , что происходит на сервере
                          Почему он не отправляет обратно пакеты
                          То что Вы показали , говорит о том , что пакет ушел на сервер ,
                          а вот дальше сервер не отвечает .
                          Nat исходящий на сервере , смотрю , настроен .
                          Запускайте tcpdump на своем Linux сервере и смотрите , что происходит ,для начала, на интерфейсе eth0 для хоста , например , 185.85.121.13

                          Я для своих целей в связке Linux+ PFSense / Freebsd использую GRE over IPSEC , можно использовать VTI .
                          Это работает несколько быстрее , чем OpenVPN . Удаленные клиенты тоже соединяются через IPSEC

                          1 Reply Last reply Reply Quote 0
                          • D
                            den.yoz
                            last edited by

                            Всё оказалось проще. Как обычно и бывает, какая то мелочь проскочила незамеченной.
                            И на сервере и на клиенте было отключено сжатие траффика (закомменчено в конфиге сервера и не выбрано в настройках клиента). Но, почему то, сервер все равно считал, что оно включено.
                            Ошибок в логах при этом нет, сам клиент подключается и считает, что всё ок.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.