nat + openvpn client

den.yoz · Dec 30, 2020, 10:44 AM

Доброго времени суток.

На pfsense настроен клиент openvpn. Сделаны правила в manual outbound nat для интерфейса. Сделано правило + алиас для LAN файрволла, посылать в гейтвей openvpn соединения на определенные алиасом сайты.
На сервере openvpn включен форвард пакетов и нат для подсети 10.8.0.0.

НО! Траффик не идёт. В tcpdump на интерфейсе сервера tun0 тишина. tracert с самого pfsense на сайт из списка в алиасе не уходит в туннель, идёт по дефолт гейтвею.

Куда копать?

pigbrother · Dec 30, 2020, 11:51 AM

@den-yoz said in nat + openvpn client:

Куда копать?

Организовывал когда то доступ через openvpn через коммерческого провайдера.
Вероятно - проблема в назначения шлюза Open VPN "шлюзом для интернета" (redirect-gateway def1). По идее, эту директиву вам должен передавать сервер Open VPN. Попробуйте добавить ее вручную в Advanced Configuration.

@den-yoz said in nat + openvpn client:

на сайт из списка в алиасе

Не уверен, что фильтрация по спискам в алиасах будет работать, пусть меня поправят.

Konstanti · Dec 30, 2020, 2:57 PM

@den-yoz
Здр

О каких сайтах идет речь ???? Можете привести пример ?
Если речь о сайтах , типа , Netflix , Youtube и тд и тп , то такая схема не будет работать

den.yoz · Dec 30, 2020, 4:26 PM

@konstanti said in nat + openvpn client:

О каких сайтах идет речь ???? Можете привести пример ?

О заблокированных на территории рф, lostfilm.tv, rutracker.org ну и разные.

@pigbrother said in nat + openvpn client:

Не уверен, что фильтрация по спискам в алиасах будет работать, пусть меня поправят.

https://open-networks.ru/d/37-pfsense-openvpn-firewall

Относительно свежий гайд, думаю не писали бы, если бы не работало.

pigbrother · Dec 30, 2020, 5:28 PM

This post is deleted!

pigbrother · Dec 30, 2020, 5:41 PM

@den-yoz said in nat + openvpn client:

tracert с самого pfsense на сайт из списка в алиасе не уходит в туннель, идёт по дефолт гейтвею.

pfSense для себя использует только шлюз по умолчанию. Проверяйте из локальной сети.

@den-yoz said in nat + openvpn client:

включен форвард

О каком форварде идет речь?

den.yoz · Dec 30, 2020, 5:57 PM

@pigbrother said in nat + openvpn client:

О каком форварде идет речь?

net.ipv4.ip_forward = 1
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
DEFAULT_FORWARD_POLICY="ACCEPT"

@pigbrother said in nat + openvpn client:

pfSense для себя использует только шлюз по умолчанию. Проверяйте из локальной сети.

В packet capture на openvpn интерфейсе самого pfsense есть следы, но в одну сторону.
20:56:53.173850 IP 10.8.0.6.6024 > 185.85.121.13.80: tcp 0
20:56:53.173883 IP 10.8.0.6.10788 > 185.85.121.13.80: tcp 0
20:56:53.323981 IP 10.8.0.6.49568 > 185.85.121.13.80: tcp 0
10.8.0.6 - адрес openvpn клиента pfsense.
185.85.121.13.80 - сайт lostfilm

Т.е. какая то шляпа с прохождением пакетов обратно от openvpn сервера в локальную сеть видимо. Но не знаю куда смотреть, правила разрешающие есть.

pigbrother · Dec 30, 2020, 6:28 PM

@den-yoz said in nat + openvpn client:

-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
DEFAULT_FORWARD_POLICY="ACCEPT"

А это каким образом относится к pfSense?

Konstanti · Dec 30, 2020, 6:32 PM

@den-yoz
С этими доменами проблем быть не должно. Это явно доказывается тем, что уходят syn пакеты через туннель в сторону сервера. Вопрос в том , почему сервер не отвечает. Проверьте все Настройки . Какой vpn провайдер ? Как правило , у хороших провайдеров на сайте есть инструкция , как настраивать pfsense как клиента openvpn

den.yoz · Dec 30, 2020, 7:58 PM

@pigbrother said in nat + openvpn client:

А это каким образом относится к pfSense?

Это на openvpn сервере.

@konstanti said in nat + openvpn client:

С этими доменами проблем быть не должно. Это явно доказывается тем, что уходят syn пакеты через туннель в сторону сервера. Вопрос в том , почему сервер не отвечает. Проверьте все Настройки . Какой vpn провайдер ? Как правило , у хороших провайдеров на сайте есть инструкция , как настраивать pfsense как клиента openvpn

Сервер openvpn свой. Конфиг абсолютно типовой, через обычный клиент на винде всё ходит нормально.

Konstanti · Dec 30, 2020, 8:10 PM

@den-yoz
Так если свой , то разбираться надо , что происходит на сервере
Почему он не отправляет обратно пакеты
То что Вы показали , говорит о том , что пакет ушел на сервер ,
а вот дальше сервер не отвечает .
Nat исходящий на сервере , смотрю , настроен .
Запускайте tcpdump на своем Linux сервере и смотрите , что происходит ,для начала, на интерфейсе eth0 для хоста , например , 185.85.121.13

Я для своих целей в связке Linux+ PFSense / Freebsd использую GRE over IPSEC , можно использовать VTI .
Это работает несколько быстрее , чем OpenVPN . Удаленные клиенты тоже соединяются через IPSEC

den.yoz · Dec 30, 2020, 8:41 PM

Всё оказалось проще. Как обычно и бывает, какая то мелочь проскочила незамеченной.
И на сервере и на клиенте было отключено сжатие траффика (закомменчено в конфиге сервера и не выбрано в настройках клиента). Но, почему то, сервер все равно считал, что оно включено.
Ошибок в логах при этом нет, сам клиент подключается и считает, что всё ок.