Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Sfat configurare retea si openVPN

    Romanian
    4
    40
    10885
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gsv last edited by

      Salutare tuturor.
      As avea nevoie de un pic ajutor din partea voastra.
      Am urmatoarea configuratie pentru retea. Schita este in atasament.

      Pfsense configurat cu squid si hvap
      WAN PPPOE, IP Static
      Interfata LAN1: 10.100.1.1,  Interfata LAN2: 192.168.1.1

      2 mici intrebari:
      LAN1 : DHCP dezactivat la pfsense pentru ca am serverul care este DC si are ip fix 10.100.1.2.
      Este in regula configuratia facuta? Ar mai fii ceva de adaugat pentru LAN1? Vreo setare ceva?

      A2a intrebare:
      Nu reusesc sa ma conectez cu openVPN la server, sa imi pot accesa reteaua. Conexiunea se face pe 10.100.1.1 dar nu pot accesa resursele lui 10.100.1.2. Am tot citit pe forum, am incercat destule, dar acum chiar nu stiu ce sa ii mai fac. Pentru LAN 2 nu e nici o problema, merge VPN-ul super bine.
      IPv4 tunnel Network este 10.0.9.0/24.
      Daca bifez Force all client generated trafic trough tunnel toti clientii imi ies la Net prin VPN, dar acces la 10.100.1.2 tot nu am.
      Va multumesc mult si astept sfaturile voaste.


      1 Reply Last reply Reply Quote 0
      • C
        catalin last edited by

        Salut ,

        Ai incercat sa faci un traceroute de pe un client conectat la VPN catre reteaua 10.100.1.0/30 sa vezi unde se opreste .
        Poti sa imi arati ce reguli ai definite pe firewall pt clientii Openvpn si reteaua 10.100.1.0/30

        Multumesc ,

        Adevarul se afla dincolo de noi …

        1 Reply Last reply Reply Quote 0
        • G
          gsv last edited by

          Salutare,
          Reguli in firewall sunt cele adaugate de wizard openVPN si atat. Am introdus  in openVPN regula ca tot ce vine pe interfata asta sa se duca catre 10.100.1.2 si nimic.: IPv4, interface openVPN, source any, destination 10.100.1.2. si nimic. Am sters-o dupa aceea.
          Cu traceroute am incercat sa vad unde merge de la client, sa fiu sigur ca imi ajunge in PF, dar nu mi-a trecut prin cap sa il las sa vad unde se opreste, cred ca ramane la10.100.1.1…..o sa incerc zilele astea si iti spun.
          Inca o intrebare: Am adaugat si subnetul asta cu 10.100.1.0/30 in NAT pentru ca PFsense nu il pusese de la inceput, ci doar pe 192.168.1.0/24 si nu imi parea normal sa faca NAT doar pentru 192.168.1.0/24. Sau trebuia sa il las asa?
          Multumesc.

          1 Reply Last reply Reply Quote 0
          • C
            catalin last edited by

            Salut ,

            Nu trebuie sa adaugi tu nimic in NAT , el va face rutarea automat , trebuie sa ai neaparat reguli in firewall pentru OpenVPN , doar pentru debug adauga in OpenVPN o regula sa permiti trecerea traficului * - (pt a testa daca problema e de la firewall)

            Pune te rog niste screen-uri cu Firewall - NAT (sa vad ce ai setata acolo exact) , Firewall - Rules OpenVPN / LAN1 / LAN2 / WAN

            Multumesc  ,


            Adevarul se afla dincolo de noi …

            1 Reply Last reply Reply Quote 0
            • G
              gsv last edited by

              Am inteles…o sa scot regula din NAT ptr LAN. Am atasat printscreen-urile.
              Maine o sa pot incerca cu regula adaugata in firewall-openVPN ptr ca testele, deocamdata le fac cu PC-ul meu de acasa care este inchis.
              Multumesc.
              Apropo de regula NAT ptr 10.100.1.0/30: cat nu a fost pusa acolo, in TRAFFIC GRAPH nu vedeam nici un fel de trafic ptr LAN, decat pentru LAN2. Oricum iti urmez sfatul si o sa o scot de acolo.

              ![firewall LAN.jpg](/public/imported_attachments/1/firewall LAN.jpg)
              ![firewall LAN.jpg_thumb](/public/imported_attachments/1/firewall LAN.jpg_thumb)
              ![firewall LAN2.jpg](/public/imported_attachments/1/firewall LAN2.jpg)
              ![firewall LAN2.jpg_thumb](/public/imported_attachments/1/firewall LAN2.jpg_thumb)
              ![firewall openVPN.jpg](/public/imported_attachments/1/firewall openVPN.jpg)
              ![firewall openVPN.jpg_thumb](/public/imported_attachments/1/firewall openVPN.jpg_thumb)

              1 Reply Last reply Reply Quote 0
              • C
                catalin last edited by

                Deci ce ai in regulile de NAT outbound pare ok , insa acele reguli de natare sunt doar pentru a lasa respectivele adrese - in cazul tau 192.168.1.0/24 , 127.0.0.0/8 si 10.100.1.0/30 sa iasa prin WAN - sa faci "internet sharing" . regulile de firewall sunt ok , problema poate fi in setarile OpenVPN , poti pune un scr si cu setarile de openvpn  ?

                Adevarul se afla dincolo de noi …

                1 Reply Last reply Reply Quote 0
                • G
                  gsv last edited by

                  Sa inteleg ca e bine sa las si regula de NAT pentru LAN cea cu 10.100.1.0/30?

                  Intr-un final am lasat bifata chestia cu all trafic trough vpn tunnel si care functioneaza. Clientul iese la net prin IP-ul public de acolo.
                  Chiar imi scapa ceva si nu stiu ce…..



                  ![openVPN 1.jpg](/public/imported_attachments/1/openVPN 1.jpg)
                  ![openVPN 1.jpg_thumb](/public/imported_attachments/1/openVPN 1.jpg_thumb)
                  ![openVPN 2.jpg](/public/imported_attachments/1/openVPN 2.jpg)
                  ![openVPN 2.jpg_thumb](/public/imported_attachments/1/openVPN 2.jpg_thumb)
                  ![openVPN 3.jpg](/public/imported_attachments/1/openVPN 3.jpg)
                  ![openVPN 3.jpg_thumb](/public/imported_attachments/1/openVPN 3.jpg_thumb)

                  1 Reply Last reply Reply Quote 0
                  • G
                    gsv last edited by

                    Uite si un trace catre Yahoo de la client….....nu vad ca ar trece prin 10.100.1.1.......ci direct WAN si mai departe.......


                    1 Reply Last reply Reply Quote 0
                    • C
                      catalin last edited by

                      salut ,

                      daca vrei sa poti iesi pe net de pe clasa 10.100.1.0/30 lasa-l in NAT .
                      setarile openvpn arata ok .
                      Mai am nevoie de un traceroute / ping de la un clint openvpn spre 10.100.1.2 . Ai verificat firewall-ul pe 10.100.1.2 ? Serverul DC va primi requesturi de pe pe o alta clasa ( 10.0.9.0/24) e posibil sa blocheze asta .

                      multumesc

                      Adevarul se afla dincolo de noi …

                      1 Reply Last reply Reply Quote 0
                      • G
                        gsv last edited by

                        Am avut firewall dezactivat pe server si degeaba…....
                        Acum am o alta problema si cer o parere ca nu cumva sa fie din setarile de pe LAN.
                        Am conectat clientii pe domeniu ok , dar nici unul nu poate iesi la net. DC aloca tot ce trebuie: IP, Gateway, DNS care e serverul DC(are forward catre dns RDS) dar nu iese nici un client spre net. Daca dau un ping in gateway de la un client (10.100.1.1) nu imi raspunde. Ai vreo idee in privinta asta?
                        Multumesc mult de ajutor. O sa verific si ce ai spus mai sus.

                        1 Reply Last reply Reply Quote 0
                        • C
                          catalin last edited by

                          da-mi de pe masina unui client :

                          ipconfig /all
                          tracert 8.8.8.8

                          ai mai modificat ceva in regulile de firewall LAN ?

                          Adevarul se afla dincolo de noi …

                          1 Reply Last reply Reply Quote 0
                          • G
                            gsv last edited by

                            Nu am modificat nimic…..Client de open VPN sau client de domeniu.....la care tereferi acum, ca m-ai pierdut?
                            Uite si un tracert de la un client openVPN.....

                            ![tracrt 10.100.1.2.jpg](/public/imported_attachments/1/tracrt 10.100.1.2.jpg)
                            ![tracrt 10.100.1.2.jpg_thumb](/public/imported_attachments/1/tracrt 10.100.1.2.jpg_thumb)

                            1 Reply Last reply Reply Quote 0
                            • C
                              catalin last edited by

                              ma refeream la cei de domeniu , unde nu ai conectivitate la net

                              Adevarul se afla dincolo de noi …

                              1 Reply Last reply Reply Quote 0
                              • G
                                gsv last edited by

                                Dupa ce mi-ai zis de tracert , am dat de la un client VPN asta si acum vad ca nu imi aloca gateway….
                                Acum testez si domeniul..

                                1 Reply Last reply Reply Quote 0
                                • G
                                  gsv last edited by

                                  Uite si screen-urile celelalte….vad ca rezolva adresa 8.8.8.8

                                  ![scr clientDC.jpg](/public/imported_attachments/1/scr clientDC.jpg)
                                  ![scr clientDC.jpg_thumb](/public/imported_attachments/1/scr clientDC.jpg_thumb)
                                  ![tracert clientDC.jpg](/public/imported_attachments/1/tracert clientDC.jpg)
                                  ![tracert clientDC.jpg_thumb](/public/imported_attachments/1/tracert clientDC.jpg_thumb)

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    catalin last edited by

                                    :D

                                    de ce ai setat 10.100.1.1 ca default gateway ?

                                    avand in vedere ca pe LAN ai 10.100.1.0/30 acesta nu va raspunde decat cererilor venite de la 10.100.1.1 si 10.100.1.2 .

                                    Fie setezi masca 255.0.0.0 pe pfsense interfata LAN sie setezi in dhcp default gateway 10.100.1.2 si faci rutarea pe spre net de pe masina windows .

                                    Adevarul se afla dincolo de noi …

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      gsv last edited by

                                      Am setat asa cu gandul ca 10.100.1.1 este interfata de pe LAN a pfsense si este gateway pentru ce vine in ea…..dar ai dreptate ca nu stie decat de /30.
                                      Am setat pe client gateway 10.100.1.2 si tot nu iese. Mai trebuie adaugat vreo regula ceva?

                                      1 Reply Last reply Reply Quote 0
                                      • G
                                        gsv last edited by

                                        Daca setez masca 255.0.0.0 pe pfsense asta nu inseamna ca trebuie sa activez DHCP pfsensului?
                                        Mai bine nu creez o regula in firewall ca tot ce vine in 10.100.1.1 din 10.100.1.1/24 sa iese in WAN?
                                        As vrea doar pfsense sa fie gateway si atat….....derestul sa se ocupe DC-ul.

                                        1 Reply Last reply Reply Quote 0
                                        • C
                                          catalin last edited by

                                          in cazul in care ai pus la gateway 10.100.1.2 va trebui sa mai faci cateva modificari pe windows server .

                                          Uite aici sa iti faci o idee ce ar trebui sa faci : http://www.windowsnetworking.com/articles-tutorials/windows-server-2008/Using-Windows-Server-NAT-Router.html

                                          nu , dhcp-ul il activezi doar daca ai nevoie , insa daca setezi masca pe 255.0.0.0 orice client va avea access la gateway , urmand sa acorzi o atentie mai mare regulilor de firewall

                                          Adevarul se afla dincolo de noi …

                                          1 Reply Last reply Reply Quote 0
                                          • C
                                            catalin last edited by

                                            personal iti recomand sa folosesti ca gateway pfsense-ul , nu are rost sa mai incarci si windows-ul pt asta , in fond pt asta e pfsense-ul .

                                            Adevarul se afla dincolo de noi …

                                            1 Reply Last reply Reply Quote 0
                                            • G
                                              gsv last edited by

                                              Pai asta ziceam si eu…sa ma folosesc de pfsense ca gateway ca imi place la nebunie.....dar m-am pierdut naiba de tot zilele astea......te impinge lumea de la spate si trebuie sa pun reteaua pe picioare. M-am capiat de tot......
                                              O sa trec masca pe 255.0.0.0 si gata, ca oricum clientii ii vreau sa iasa la net. Nu e nici o problema......filtrari si alte chestii o sa le fac eu prin pfsense, prin DNS-uri etc.
                                              Incerc asta acum si te anunt.
                                              Multumesc mult

                                              1 Reply Last reply Reply Quote 0
                                              • G
                                                gsv last edited by

                                                Am pus masca pe 255.255.255.0 ca nu am nevoie de atatea adrese.

                                                Multumesc mult….....asta era. Ce zapacit sunt frate. Masca era de vina. Inca odata multumesc mult.

                                                1 Reply Last reply Reply Quote 0
                                                • C
                                                  catalin last edited by

                                                  npc :D , happy networking with pfSense

                                                  Adevarul se afla dincolo de noi …

                                                  1 Reply Last reply Reply Quote 0
                                                  • G
                                                    gsv last edited by

                                                    Ce facem cu VPN-ul???? Mai ai vreo idee?
                                                    Nu imi aloca gateway!!!!

                                                    1 Reply Last reply Reply Quote 0
                                                    • C
                                                      catalin last edited by

                                                      nu trebuie sa iti aloce neaparat gateway , da-mi te rog un "route print" de la un client VPN

                                                      Adevarul se afla dincolo de noi …

                                                      1 Reply Last reply Reply Quote 0
                                                      • G
                                                        gsv last edited by

                                                        Uite:

                                                        ![Route Print.jpg](/public/imported_attachments/1/Route Print.jpg)
                                                        ![Route Print.jpg_thumb](/public/imported_attachments/1/Route Print.jpg_thumb)

                                                        1 Reply Last reply Reply Quote 0
                                                        • C
                                                          catalin last edited by

                                                          tabla de rutare arata ok , in acest moment nu iti merge ping catre  10.100.1.2 ?

                                                          mai fa un tracert catre  10.100.1.2 daca nu .

                                                          spunemi putin la ce vrei sa aiba access clientii care se conecteaza pe VPN ca retea / masca

                                                          Adevarul se afla dincolo de noi …

                                                          1 Reply Last reply Reply Quote 0
                                                          • G
                                                            gsv last edited by

                                                            La fel ca cel dinainte….raspunde doar 10.0.9.1 si atat.....
                                                            Pai deocamdata sa aiba acces la un share de pe server. Cu remote acces pe 10.100.1.2 nu am studiat inca problema.Am inteles ca trebuie modificat in server OpneVPN din tun in tap dar am incercat si nu a vrut...probabil mai trebuie si alte setari facute. Dar deocamdata sa accesez share-ul de pe 10.100.1.2.

                                                            1 Reply Last reply Reply Quote 0
                                                            • C
                                                              catalin last edited by

                                                              setarile de pe openvpn sunt cele atasate anterior , da ? daca ai modificat ceva te rog sa reatasezi

                                                              Adevarul se afla dincolo de noi …

                                                              1 Reply Last reply Reply Quote 0
                                                              • G
                                                                gsv last edited by

                                                                Aaaa da …..scuze,scuze...am debifat optiunea cu pass all traffic trough vpn tunel si am setat reteaua 10.100.1.0/24.

                                                                1 Reply Last reply Reply Quote 0
                                                                • G
                                                                  gsv last edited by

                                                                  LA provide a DNS server to client nu ar trebui sa am DC-ul, el fiind DNS sau trebuie sa las pfsense sa isi faca treaba?

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • C
                                                                    catalin last edited by

                                                                    unde ai setat mai exact reteaua 10.100.1.0/24 , un scr e bine venit

                                                                    Adevarul se afla dincolo de noi …

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • G
                                                                      gsv last edited by

                                                                      Aici…..


                                                                      1 Reply Last reply Reply Quote 0
                                                                      • C
                                                                        catalin last edited by

                                                                        e modificata total configuratia fata de ce mi-ai trimis anterior , recomand sa sterci actualul openvpn si sa il creezi din nou folosind wizardul . indicat ar fi sa folosesti pt vpn o clasa in afara 10.0.0.0/8 , de exemplu 172.16.0.0/24 - clasa B , uite setarile mele , pot accesa orice din retea , controlul il fac din firewall .

                                                                        eu am pe lan 172.16.0.0/12

                                                                        vpn 10.10.10.0/24

                                                                        ![OpenVPN Server.png](/public/imported_attachments/1/OpenVPN Server.png)
                                                                        ![OpenVPN Server.png_thumb](/public/imported_attachments/1/OpenVPN Server.png_thumb)

                                                                        Adevarul se afla dincolo de noi …

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • G
                                                                          gsv last edited by

                                                                          Nu e modificat total, decat e luata bifa aia de la allow al client traffic pass through vpn si atunci apare setarea pentru retelele pe care vrei sa ai conexiunea VPN.
                                                                          Oricum nu mai conteaza…...il sterg si fac altul acum, sa vedem ce se intampla.
                                                                          Te anunt...

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • G
                                                                            gsv last edited by

                                                                            Am facut ce ai spus si merge fara probleme….......sa accesez share-ul.
                                                                            Multumesc mult de tot.
                                                                            In caz ca mai am neclaritati pot apela direct la tine?

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • C
                                                                              catalin last edited by

                                                                              felicitari .

                                                                              daca te pot ajuta - desigur .  :P

                                                                              Adevarul se afla dincolo de noi …

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • P
                                                                                Pop Alexandra last edited by

                                                                                Noroc ca am dat de topic-ul asta ca altfel nu mai terminam cu VPN-ul azi. Multumesc, Catalin!


                                                                                Alexandra de la NTT DATA Romania

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • chopisophi3
                                                                                  chopisophi3 Banned last edited by

                                                                                  This post is deleted!
                                                                                  chopisophi3 1 Reply Last reply Reply Quote 0
                                                                                  • chopisophi3
                                                                                    chopisophi3 Banned @chopisophi3 last edited by stephenw10

                                                                                    This post is deleted!
                                                                                    1 Reply Last reply Reply Quote 0
                                                                                    • First post
                                                                                      Last post