права для группы Users OpenVpn PF2.0.2??
-
Смотреть посл. пост!!!
Так как ППТП "не возможно" или я не знаю как :) прикрутить к конкретному WAN , а не дефолтному . Решил создать ОпенВпн сервер на конкретном интерфейсе.
Итак..сервер создан по инструкции с этого сайта ( http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997 ) . Клиент винда с прогой опенвпн. конфигу написал в ней по той же инструкции. Жму подключить…и дуля. вообще ничего. (((
Адрес пингуется 100%. Телнет на порт 1194 не проходит (причину не выявил).
правило имеется на wan
Firewall: Rules / wan Pass UDP * * * 1194 (OpenVPN) GW_WAN none OpenVPN ConnectFirewall: Rules / Openvpn * * * * * * none
конфиг клиента.
client
dev tun
proto udp
remote 195.134.195.194 1194 #(X.x.x.x публичный ip Pfsense2.0)
ping 10
resolv-retry infinite
nobind
persist-key
persist-tun
ca NIKA.crt #(имя сертификата сервера в шаге 2.1)
cert NIKA+Client.crt #(имя сертификата в шаге 2.2)
key NIKA+Client.key #(имя сертификата в шаге 2.2)
comp-lzo
pull
verbконфиг сервера
- <openvpn>- <openvpn-server><vpnid>1</vpnid>
<mode>server_tls</mode>
<protocol>UDP</protocol>
<dev_mode>tun</dev_mode>
<ipaddr><interface>wan</interface>
<local_port>1194</local_port>
-
<custom_options><caref>5124ad983f0fa</caref>
<crlref><certref>5124ae5762ce7</certref>
<dh_length>1024</dh_length>
<cert_depth>1</cert_depth>
<crypto>AES-128-CBC</crypto>
<engine>none</engine>
<tunnel_network>10.10.10.0/24</tunnel_network>
<remote_network><gwredir><local_network>192.168.3.0/24</local_network>
<maxclients>25</maxclients>
<compression>yes</compression>
<passtos><client2client><dynamic_ip><pool_enable>yes</pool_enable>
<netbios_enable><netbios_ntype>0</netbios_ntype></netbios_enable></dynamic_ip></client2client></passtos></gwredir></remote_network></crlref></custom_options></ipaddr></openvpn-server></openvpn>
п.с. так же на этом интерфейсе включен пптп. он успешно работает.
- <openvpn>- <openvpn-server><vpnid>1</vpnid>
-
В пакетах pfSense есть специальный пакет для экспорта конфигов OpenVPN. Экспортируете для Windows и подключаетесь. Зачем в правиле:
Firewall: Rules / wan Pass UDP * * * 1194 (OpenVPN) GW_WAN none OpenVPN Connect
указан gateway?
Правило должно выгдядеть так:
Firewall: Rules / wan Pass UDP * * WAN address 1194 (OpenVPN) * none
-
В пакетах pfSense есть специальный пакет для экспорта конфигов OpenVPN. Экспортируете для Windows и подключаетесь. Зачем в правиле:
Firewall: Rules / wan Pass UDP * * * 1194 (OpenVPN) GW_WAN none OpenVPN Connect
указан gateway?
Правило должно выгдядеть так:
Firewall: Rules / wan Pass UDP * * WAN address 1194 (OpenVPN) * none
UDP * * WAN address 1194 (OpenVPN) * none переделал правило. Хотя изначально я его таким и рисовал. КОннекта не было. Сейчас поищу пакет для экспорта.
-
OpenVPN Client Export Utility Security 1.0.4 поставил этот пакет. Не понял как им экспорт сделать. ? / разобрался.
-
отлично все получилось.
спасибо за совет.
-
Новый вопрос. Какие разрешения давать группе, которых я создаю для опенвпн сервера (которые к нему будут подключаться) . там много чего можно разрешить, но вот диалинг пптп есть, л2тп есть, а опенвпн нет… ???
Юзерам нужно только подключиться, получить доступ к локальной сети не всей. Пары определенных серверов. Все!
-
Новый вопрос. Какие разрешения давать группе, которых я создаю для опенвпн сервера (которые к нему будут подключаться) . там много чего можно разрешить, но вот диалинг пптп есть, л2тп есть, а опенвпн нет… ???
Юзерам нужно только подключиться, получить доступ к локальной сети не всей. Пары определенных серверов. Все!
Это не сложно. Необходимо разрешить в fw только определенные адреса (и порты) на интерфейсе OpenVPN для подключающихся клиентов. В dest , естественно, адреса (и порты) Вашей локальной сети.
