Подробно о настройках OpenVPN server



  • И так, с генерациями лицензий и подключению к OpenVPN серверу я разобрался, топик может кому и пригодиться( http://forum.pfsense.org/index.php/topic,28588.0.html), сечас хочу разобраться с настройками этого сервера, понять его логику работы.

    1. Как настроить OpenVPN сервер, чтоб при подключении клиенты могли видеть машины за OpenVPN.

    Что я делаю, по шагам:
    Protocol -Протокол, который будет использоваться для VPN. я использую TCP просто он мне нравиться)
    Local port - Использую по умолчанию 1194 т.е это порт сервера к которому конектятся клиенты
    Порт сервера OpenVPN будет слушать. 1194 является портом по умолчанию OpenVPN. Каждый сервер требует уникальный порт.
    Address pool - так как моя локальная сеть за OpenVPN серверам 78.45.23.0/24 то я спользую следующий пул адресов 78.45.23.0/24 в итоге мои клиенты начинают получать IP- адреса с 78.45.23.4 / 255.255.255.252, следующий 78.45.23.8 / 255.255.255.252 и.т.д
    Это пул адресов, чтобы быть отнесены к клиентам. Выраженный в CIDR диапазона (например 10.0.8.0/24). Если поле "Использовать статические IP-адреса" не установлен, клиентам будет присвоен адрес из этого пула. В противном случае, это будет использоваться для установки IP местных интерфейса.
    Use static IPs - так и не понел как она работает, при установленной опции клиент не поднимается. Прописывал клиенту жесткий адрес 78.45.23.4 не пашет, клиент не конектиться.
    Если эта опция установлена, IP-адреса не будут назначены для клиентов. Вместо этого, сервер будет использовать статические IP-адреса на его стороне, и клиенты будут использовать это же значение в поле Address pool.
    Local network - как я понял, тут указываем сеть маской которая будет доступна клиентам. я указал 78.45.23.0/24
    но не смотря на это сеть не доступна.

    что где я не так понимаю?

    Вот полный листинг конфига настроек сервера.

    Protocol TCP
    Local port 1194
    Address pool 78.45.23.0/24
    Use static IPs галочка не стоит
    Local network 78.45.23.0/24
    Remote network пробел
    Client-to-client VPN да ( поставил галочку )
    Cryptography BF-CBC (128)
    Authentication method PCI
    DHCP-Opt.: DNS-Domainname пробел
    DHCP-Opt.: DNS-Server пробел
    DHCP-Opt.: WINS-Server пробел
    DHCP-Opt.: NBDD-Server пробел
    DHCP-Opt.: NTP-Server пробел
    DHCP-Opt.: NetBIOS node type h-node
    DHCP-Opt.: NetBIOS Scope пробел
    DHCP-Opt.: Disable NetBIOS пробел ( галочка не стоит, значит включено )
    LZO compression поставил галочку
    Custom options пробел
    Description пробел



  • По поводу Protocol - TCP Следует использовать в случае, если клиенты будут ходить через прокси. В других случаях предпочтительнее UDP (приоритет выше).

    LZO компрессию при хорошем канале лучше отключить.

    Address Pool и Local Network должны быть разными. Таким образом у вас будет 3 разных сети.
    Local Network<->VPN Network(adress Pool)<->Remote Network

    Одинаковый пул адресов можно использовать только с Layer 2 туннелем, используя бридж с впн интерфейса с локальным. Тогда удаленные клиенты получат мак адрес и ип из вашей сети Local Network.

    Remote Network обязательно нужно указывать только в случае Site-to-Site.



  • @deutsche:

    По поводу Protocol - TCP Следует использовать в случае, если клиенты будут ходить через прокси. В других случаях предпочтительнее UDP (приоритет выше).

    LZO компрессию при хорошем канале лучше отключить.

    Address Pool и Local Network должны быть разными. Таким образом у вас будет 3 разных сети.
    Local Network<->VPN Network(adress Pool)<->Remote Network

    Одинаковый пул адресов можно использовать только с Layer 2 туннелем, используя бридж с впн интерфейса с локальным. Тогда удаленные клиенты получат мак адрес и ип из вашей сети Local Network.

    Remote Network обязательно нужно указывать только в случае Site-to-Site.

    Хотелось-бы  понять работу этой логики Local Network<->VPN Network(adress Pool)<->Remote Network
    допустим у меня за OpenVPN локальная сеть из 78.45.23.1-78.45.23.254 /255.255.255.0
    тогда для доступа к этой сети пишу
    Address Pool - 78.45.0.0/24
    Local Network - 78.45.23.0/24

    В фаервол для удобства отключил, ( в pfsense просто вписал правило входящие all [разрешил все на интерфейсе wan] )



  • Нужно добавить в веб админку интерфейс VPN (tun0) и прописать для него правила.
    Чтобы не путаться лучше использовать Address Pool типа 10.0.0.0/24



  • @deutsche:

    Нужно добавить в веб админку интерфейс VPN (tun0) и прописать для него правила.
    Чтобы не путаться лучше использовать Address Pool типа 10.0.0.0/24

    Вот собственно как я себе это представляю, выкладываю скринами с комментариями.
    1 рис.  Создал интерфейс VPN (tun0)
    Тут все понятно, вопроса не возникла.
    2 рис. На интерфейсе прописал следующию конфигурацию
    Ip 10.0.0.0 /24
      Но так и не понял, где тут связь с OpenVPN.
    3 рис. Дли интерфейса VPN (tun0) временно разрешил все, чтоб не заморачиваться на портах.
    4 рис. Настройки OpenVPN сервера
    протокол udp
    порт 1194
    Address pool 10.0.0.0 /24
    Local networc 78.45.23.0 /24

    5 рис. продолжение настроек OpenVPN












  • 10.0.0.0/24 - это 255 хостов, в поле IP в настройках интерфейса вообще ничего указывать не нужно.



  • @deutsche:

    10.0.0.0/24 - это 255 хостов, в поле IP в настройках интерфейса вообще ничего указывать не нужно.

    Там либо бридж необходимо выбрать, либо IP- вбить Interfaces: Optional 1 (VPN). ну еще можно DHCP выбрать, я не понемаю, что значит оставить пустым?



  • DHCP



  • @deutsche:

    DHCP

    Да, установил DHCP.  С остальными настройками все вроде верно, сеть 78.45.23.0 должна быть мне доступна.



  • @l2grom:

    @deutsche:

    DHCP

    Да, установил DHCP.  С остальными настройками все вроде верно, сеть 78.45.23.0 должна быть мне доступна.

    Очень неприятная особенность клиента OpenVPN GUI при установке связи из под клиента windows приоритет интерфейся передается TAP-Win32 Adapter V9, следовательно местные шлюзы и ДНС перестают быть доступными из под Windows. И в ряде случаев клиент отваливается, как только приоритет восстанавливается связь снова налаживается.
    У кого какие есть мысли на этот счет?


Log in to reply