Pfsense и OpenVPN Hide My Ass
-
Уважаемые форумчане, подскажите пожалуйста где и что смотреть. Ситуация вот такая, есть шлюз на pfsense 2.0.2, на нем есть vpn-тунель с другим офисом и десяток людей которые подключаются из дома по OpenVPN. Возникла задача, настроить Hide My Ass и пару компов пустить через него. Статью взял отсюда - http://forum.hidemyass.com/index.php/topic/6256-pfsense-openvpn-connection-issues/
все настроил, как в статье, если есть необходимость могу выложить все настройки, OpenVPN соединение назвал OVPNHMA, интерфейс назвал OVPNHMAi, на интерфейс прицепил OVPNHMA. По статусу соединение установилось, все вроде хорошо, только одна странность если отключить соединение vpn (OVPNHMA) и попробывать попинговать с шлюза - пинг 20-30 мс, я думал что его быть не должно, если подключить vpn, то пинг 200-300 мс. Но если указать в Rules, любому компьютеру в качестве шлюза по умолчанию OVPNHMAi, то интернета нет вообще, пинги с компа не проходят. Извините, в чем может быть проблема??? -
У оленей белое пятно под хвостиком.
Где то слышал, что появилось в результате эволюции.
Чтобы оленята двигались за мамкой, как за фонариком.интересно, а знали ли ребята из hide my ass ?
-
NAT переведен в режим Manual Outbound rule generation?
Если да - созданы ли в Outbound NAT правила для интерфейса HMA видаOVPNHMAi 192.168.0.0/24 * * * * * NO
-
NAT переведен в режим Manual Outbound rule generation?
Если да - созданы ли в Outbound NAT правила для интерфейса HMA видаOVPNHMAi 192.168.0.0/24 * * * * * NO
Нет, NAT в режиме Automatic outbound NAT rule generation, а его необходимо перевести в режим Manual Outbound rule generation?
-
У оленей белое пятно под хвостиком.
Где то слышал, что появилось в результате эволюции.
Чтобы оленята двигались за мамкой, как за фонариком.Сия информация гласит что информации никакой не дал, а просит помощи и равна высказыванию "У меня пальчик чешется, не знаете почему?").
@smils:интересно, а знали ли ребята из hide my ass ?
Знали ли ребята из hide my ass о моей проблеме или о том что я использую их ресурс? ответы-нет, да.
-
NAT переведен в режим Manual Outbound rule generation?
Если да - созданы ли в Outbound NAT правила для интерфейса HMA видаOVPNHMAi 192.168.0.0/24 * * * * * NO
Вы наверное были правы и стоит перевести Nat в режим мануал, у меня есть второй pf (давно настраивал там HMA) и там nat именно в этом режиме, неподумал, утром попробую. Спасибо пока авансом.
-
NAT переведен в режим Manual Outbound rule generation?
Если да - созданы ли в Outbound NAT правила для интерфейса HMA видаOVPNHMAi 192.168.0.0/24 * * * * * NO
Нет, NAT в режиме Automatic outbound NAT rule generation, а его необходимо перевести в режим Manual Outbound rule generation?
Да. Более того, по приведенной вами ссылке об этом говорится.
После нажатия кнопки Save pfSense создаст ряд правил для WAN (у меня - по 3 правила для каждого WAN). Правила для OVPNHMAi в Outbound NAT сами, скорее всего, не создадутся, это нужно будет сделать самому, можно на основе появившихся правил для WAN (нажав плюс рядом с правилом - add a new rule based on this one). Автоматически созданные для WAN правила удалять\изменять нежелательно. -
NAT переведен в режим Manual Outbound rule generation?
Если да - созданы ли в Outbound NAT правила для интерфейса HMA видаOVPNHMAi 192.168.0.0/24 * * * * * NO
Нет, NAT в режиме Automatic outbound NAT rule generation, а его необходимо перевести в режим Manual Outbound rule generation?
Да. Более того, по приведенной вами ссылке об этом говорится.
После нажатия кнопки Save pfSense создаст ряд правил для WAN (у меня - по 3 правила для каждого WAN). Правила для OVPNHMAi в Outbound NAT сами, скорее всего, не создадутся, это нужно будет сделать самому, можно на основе появившихся правил для WAN (нажав плюс рядом с правилом - add a new rule based on this one). Автоматически созданные для WAN правила удалять\изменять нежелательно.Спасибо, все получилось, извините видимо просмотрел этот момент. Извините за вопрос, мне нужно чтобы если vpn соединение подключено, то весь трафик который идет на определенный ip, например 1.2.3.4, идет через это соединение, если не подключен (разорвано, или не удалось подключиться), то трафик блокируется. Я создал правило в Rules
Pass * * * 1.2.3.4/31 * OVPNHMAi none
Block * * * 1.2.3.4/31 * default none
Но если vpn отключается, то трафик идет через канал по умолчанию, как его зарезать? -
Создать правило для хостов на лан\алиас для этих хостов, указав для них шлюзом HMA.
При пропадании OVPN эти хосты потеряют доступ в интернет.
Поместить это правило вышеDefault allow LAN to any rule
Можно попытаться отредактировать
Block * * * 1.2.3.4/31 * default none
Заменив default на конкретное имя шлюза. -
Создать правило для хостов на лан\алиас для этих хостов, указав для них шлюзом HMA.
При пропадании OVPN эти хосты потеряют доступ в интернет.
Поместить это правило вышеDefault allow LAN to any rule
Можно попытаться отредактировать
Block * * * 1.2.3.4/31 * default none
Заменив default на конкретное имя шлюза.Создал жесткое вроде правило для определенного ip внутренней сети:
Pass * 192.168.0.252 * 1.2.3.4/31 * OVPNHMAi none
Block * 192.168.0.252 * 1.2.3.4/31 * 10Mbit noneгде 10Mbit - название шлюза
и все равно, как только падает vpn - трафик идет по шлюзу 10Mbit, непонятно почему…
-
По сути нужно чтобы все пользователи на адрес 1.2.3.4 ходили только через vpn, а на другие через обычный шлюз 10Mbit
-
Создать правило для хостов на лан\алиас для этих хостов, указав для них шлюзом HMA.
При пропадании OVPN эти хосты потеряют доступ в интернет.
Поместить это правило вышеDefault allow LAN to any rule
Можно попытаться отредактировать
Block * * * 1.2.3.4/31 * default none
Заменив default на конкретное имя шлюза.Создал два алиаса:
OVPNHMAu 192.168.0.52 мой эксперементальный ip адрес
Sserver 1.2.3.4 ip куда надо ходить через vpnлист Rules для интерфейса LAN
Pass * 192.168.0.2 * * * 1M none
Pass * 192.168.0.3 * * * 1M none
Pass * 192.168.0.4 * * * 1M none
Pass * OVPNHMAu * Sserver * OVPNHMAi none test
Block * OVPNHMAu * Sserver * 10Mbit none test
Pass * 192.168.0.0/16 * * * 10Mbit none Default allow LAN to any rule
Block * * * * * 10Mbit none Default allow LAN to any ruleгде 10Mbit и 1M различные каналы.
И все равно как только останавливаешь OVPNHMA службу в Services трафик с ip 192.168.0.52 на 1.2.3.4 идет на 10Mbit. -
А если воспользоваться командой Ping в Web-интерфейсе pfsense, то когда отключаешь OVPNHMA, то любой узел все равно можно пропинговать через интерфейс OVPNHMAi, на котором по идее недолжно быть интернета?.
-
странно что так происходит, такое ощущение что если нет сигнала по каналу vpn, pf направляет трафик по каналу на котором строится vpn (через который он коннектится с удаленными серверами). Помогите пожалуйста, я уже просто не понимаю где собака зарыта.
-
И еще одна странность, народ который сидит на прокси сервере (на pf), почему то такие сервисы как mail, yandex maps - перестают определять в каком регионе мы находимся, а начинают привязываться к тому, к которому подключен сейчас vpn, отключаю vpn, привязка к региону появляется. У кого нет прокси все нормально. Такое ощущение что весь трафик proxy идет через vpn, потому что vpn канал загружен, хотя с ним пока никто не работает.
-
В конечном итоге я забил, настроил второй шлюз (gw2), который поднимает канал для OVPNHMA и весь трафик который идет на gw2 перенаправлял в канал OVPNHMA, а на первом шлюзе весь трафик который идет на определенный адрес отправляется на этот шлюз. Все работает, но почему то очень медленно, если работать указав первый шлюз gw1 (в качестве шлюза по умолчанию), то скорость где то 200 кБит/с, если второй gw2 2Mбит/с. перенаправление делал - создал на gw1 Gateways
ovpnhma LAN 192.168.0.15 192.168.0.15
и в Rules
* OVPNHMAu * Sserver * ovpnhma none
где
OVPNHMAu - Aliases 192.168.0.0/24
Sserver - 1.2.3.4 -
Неужели из-за того что используется обычное перенаправление так падает скорость? Не подскажите, что можно сделать?