Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense и OpenVPN Hide My Ass

    Scheduled Pinned Locked Moved Russian
    17 Posts 3 Posters 2.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kudrik_tt
      last edited by

      Уважаемые форумчане, подскажите пожалуйста где и что смотреть. Ситуация вот такая, есть шлюз на pfsense 2.0.2, на нем есть vpn-тунель с другим офисом и десяток людей которые подключаются из дома по OpenVPN. Возникла задача, настроить Hide My Ass и пару компов пустить через него. Статью взял отсюда - http://forum.hidemyass.com/index.php/topic/6256-pfsense-openvpn-connection-issues/
      все настроил, как в статье, если есть необходимость могу выложить все настройки, OpenVPN соединение назвал OVPNHMA, интерфейс назвал OVPNHMAi, на интерфейс прицепил OVPNHMA. По статусу соединение установилось, все вроде хорошо, только одна странность если отключить соединение vpn (OVPNHMA) и попробывать попинговать с шлюза - пинг 20-30 мс, я думал что его быть не должно, если подключить vpn, то пинг 200-300 мс. Но если указать в Rules, любому компьютеру в качестве шлюза по умолчанию OVPNHMAi, то интернета нет вообще, пинги с компа не проходят. Извините, в чем может быть проблема???

      1 Reply Last reply Reply Quote 0
      • S
        smils
        last edited by

        У оленей белое пятно под хвостиком.
        Где то слышал, что появилось в результате эволюции.
        Чтобы оленята двигались за мамкой, как за фонариком.

        интересно, а знали ли ребята из hide my ass ?

        1 Reply Last reply Reply Quote 0
        • P
          pigbrother
          last edited by

          NAT переведен в режим Manual Outbound rule generation?
          Если да - созданы ли в Outbound NAT правила для интерфейса HMA вида

          OVPNHMAi  192.168.0.0/24 * * * * * NO

          1 Reply Last reply Reply Quote 0
          • K
            kudrik_tt
            last edited by

            @pigbrother:

            NAT переведен в режим Manual Outbound rule generation?
            Если да - созданы ли в Outbound NAT правила для интерфейса HMA вида

            OVPNHMAi  192.168.0.0/24 * * * * * NO

            Нет, NAT в режиме Automatic outbound NAT rule generation, а его необходимо перевести в режим Manual Outbound rule generation?

            1 Reply Last reply Reply Quote 0
            • K
              kudrik_tt
              last edited by

              @smils:

              У оленей белое пятно под хвостиком.
              Где то слышал, что появилось в результате эволюции.
              Чтобы оленята двигались за мамкой, как за фонариком.

              Сия информация гласит что информации никакой не дал, а просит помощи и равна высказыванию "У меня пальчик чешется, не знаете почему?").
              @smils:

              интересно, а знали ли ребята из hide my ass ?

              Знали ли ребята из hide my ass о моей проблеме или о том что я использую их ресурс? ответы-нет, да.

              1 Reply Last reply Reply Quote 0
              • K
                kudrik_tt
                last edited by

                @pigbrother:

                NAT переведен в режим Manual Outbound rule generation?
                Если да - созданы ли в Outbound NAT правила для интерфейса HMA вида

                OVPNHMAi  192.168.0.0/24 * * * * * NO

                Вы наверное были правы и стоит перевести Nat в режим мануал, у меня есть второй pf (давно настраивал там HMA) и там nat именно в этом режиме, неподумал, утром попробую. Спасибо пока авансом.

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  @kudrik_tt:

                  @pigbrother:

                  NAT переведен в режим Manual Outbound rule generation?
                  Если да - созданы ли в Outbound NAT правила для интерфейса HMA вида

                  OVPNHMAi  192.168.0.0/24 * * * * * NO

                  Нет, NAT в режиме Automatic outbound NAT rule generation, а его необходимо перевести в режим Manual Outbound rule generation?

                  Да. Более того, по приведенной вами ссылке об этом говорится.
                  После нажатия кнопки Save pfSense создаст ряд правил для WAN (у меня - по 3 правила для каждого WAN).  Правила для OVPNHMAi в Outbound NAT  сами, скорее всего,  не создадутся, это нужно будет сделать самому, можно на основе появившихся правил для WAN (нажав плюс рядом с правилом - add a new rule based on this one). Автоматически созданные для WAN правила удалять\изменять нежелательно.

                  1 Reply Last reply Reply Quote 0
                  • K
                    kudrik_tt
                    last edited by

                    @pigbrother:

                    @kudrik_tt:

                    @pigbrother:

                    NAT переведен в режим Manual Outbound rule generation?
                    Если да - созданы ли в Outbound NAT правила для интерфейса HMA вида

                    OVPNHMAi  192.168.0.0/24 * * * * * NO

                    Нет, NAT в режиме Automatic outbound NAT rule generation, а его необходимо перевести в режим Manual Outbound rule generation?

                    Да. Более того, по приведенной вами ссылке об этом говорится.
                    После нажатия кнопки Save pfSense создаст ряд правил для WAN (у меня - по 3 правила для каждого WAN).  Правила для OVPNHMAi в Outbound NAT  сами, скорее всего,  не создадутся, это нужно будет сделать самому, можно на основе появившихся правил для WAN (нажав плюс рядом с правилом - add a new rule based on this one). Автоматически созданные для WAN правила удалять\изменять нежелательно.

                    Спасибо, все получилось, извините видимо просмотрел этот момент. Извините за вопрос, мне нужно чтобы если vpn соединение подключено, то весь трафик который идет на определенный ip, например 1.2.3.4, идет через это соединение, если не подключен (разорвано, или не удалось подключиться), то трафик блокируется. Я создал правило в Rules
                    Pass *  *  *  1.2.3.4/31  *  OVPNHMAi  none
                    Block *  *  *  1.2.3.4/31  *  default  none       
                    Но если vpn отключается, то трафик идет через канал по умолчанию, как его зарезать?

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      Создать правило для хостов на лан\алиас для этих хостов, указав для них шлюзом HMA.
                      При пропадании OVPN эти хосты потеряют доступ в интернет.
                      Поместить это правило выше

                      Default allow LAN to any rule

                      Можно попытаться отредактировать
                      Block *  *  *  1.2.3.4/31  *  default  none
                      Заменив default  на конкретное имя шлюза.

                      1 Reply Last reply Reply Quote 0
                      • K
                        kudrik_tt
                        last edited by

                        @pigbrother:

                        Создать правило для хостов на лан\алиас для этих хостов, указав для них шлюзом HMA.
                        При пропадании OVPN эти хосты потеряют доступ в интернет.
                        Поместить это правило выше

                        Default allow LAN to any rule

                        Можно попытаться отредактировать
                        Block *  *  *  1.2.3.4/31  *  default  none
                        Заменив default  на конкретное имя шлюза.

                        Создал жесткое вроде правило для определенного ip внутренней сети:
                        Pass *  192.168.0.252  *  1.2.3.4/31  *  OVPNHMAi  none
                        Block *  192.168.0.252  *  1.2.3.4/31  *  10Mbit  none

                        где 10Mbit - название шлюза

                        и все равно, как только падает vpn -  трафик идет по шлюзу 10Mbit, непонятно почему…

                        1 Reply Last reply Reply Quote 0
                        • K
                          kudrik_tt
                          last edited by

                          По сути нужно чтобы все пользователи на адрес 1.2.3.4 ходили только через vpn, а на другие через обычный шлюз 10Mbit

                          1 Reply Last reply Reply Quote 0
                          • K
                            kudrik_tt
                            last edited by

                            @pigbrother:

                            Создать правило для хостов на лан\алиас для этих хостов, указав для них шлюзом HMA.
                            При пропадании OVPN эти хосты потеряют доступ в интернет.
                            Поместить это правило выше

                            Default allow LAN to any rule

                            Можно попытаться отредактировать
                            Block *  *  *  1.2.3.4/31  *  default  none
                            Заменив default  на конкретное имя шлюза.

                            Создал два алиаса:
                            OVPNHMAu  192.168.0.52  мой эксперементальный ip адрес
                            Sserver        1.2.3.4            ip куда надо ходить через vpn

                            лист Rules для интерфейса LAN
                            Pass  *  192.168.0.2  *  *  *  1M  none
                            Pass  *  192.168.0.3  *  *  *  1M  none
                            Pass  *  192.168.0.4  *  *  *  1M  none
                            Pass  *  OVPNHMAu  *  Sserver  *  OVPNHMAi  none      test
                            Block *  OVPNHMAu  *  Sserver  *  10Mbit  none    test
                            Pass  *  192.168.0.0/16  *  *  *  10Mbit  none      Default allow LAN to any rule
                            Block *  *  *  *  *                      10Mbit  none      Default allow LAN to any rule

                            где 10Mbit и 1M различные каналы.
                            И все равно как только останавливаешь OVPNHMA службу в Services трафик с ip 192.168.0.52 на 1.2.3.4 идет на 10Mbit.

                            1 Reply Last reply Reply Quote 0
                            • K
                              kudrik_tt
                              last edited by

                              А если воспользоваться командой Ping в Web-интерфейсе pfsense, то когда отключаешь OVPNHMA, то любой узел все равно можно пропинговать через интерфейс OVPNHMAi, на котором по идее недолжно быть интернета?.

                              1 Reply Last reply Reply Quote 0
                              • K
                                kudrik_tt
                                last edited by

                                странно что так происходит, такое ощущение что если нет сигнала по каналу vpn, pf направляет трафик по каналу на котором строится vpn (через который он коннектится с удаленными серверами). Помогите пожалуйста, я уже просто не понимаю где собака зарыта.

                                1 Reply Last reply Reply Quote 0
                                • K
                                  kudrik_tt
                                  last edited by

                                  И еще одна странность, народ который сидит на прокси сервере (на pf), почему то такие сервисы как mail, yandex maps - перестают определять в каком регионе мы находимся, а начинают привязываться к тому, к которому подключен сейчас vpn, отключаю vpn, привязка к региону появляется. У кого нет прокси все нормально. Такое ощущение что весь трафик proxy идет через vpn, потому что vpn канал загружен, хотя с ним пока никто не работает.

                                  1 Reply Last reply Reply Quote 0
                                  • K
                                    kudrik_tt
                                    last edited by

                                    В конечном итоге я забил, настроил второй шлюз (gw2), который поднимает канал для OVPNHMA и весь трафик который идет на gw2 перенаправлял в канал OVPNHMA, а на первом шлюзе весь трафик который идет на определенный адрес отправляется на этот шлюз. Все работает, но почему то очень медленно, если работать указав первый шлюз gw1 (в качестве шлюза по умолчанию), то скорость где то 200 кБит/с, если второй gw2 2Mбит/с. перенаправление делал - создал на gw1 Gateways
                                    ovpnhma  LAN  192.168.0.15  192.168.0.15
                                    и в Rules
                                    *  OVPNHMAu  *  Sserver  *  ovpnhma  none     
                                    где
                                    OVPNHMAu - Aliases    192.168.0.0/24
                                    Sserver - 1.2.3.4

                                    1 Reply Last reply Reply Quote 0
                                    • K
                                      kudrik_tt
                                      last edited by

                                      Неужели из-за того что используется обычное перенаправление так падает скорость? Не подскажите, что можно сделать?

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.