Настройка OpenVPN remote access SSL\TLS PFsense, есть вопросы…



  • Появилась необходимость создать VPN server для игры с друзьями по сетке. Друзья должны видеть все ресурсы моей локальной сети за PFSense, так же как и я должен видеть их ресурсы. (не обязательно ресурсы рабочих групп, хотябы чтоб эти ресурсы пинговались друг у друга)

    Вообщем создал в PFSense через вэб интерфейс OpenVPN сервер, remote access SSL\TLS.
    Сервер поднялся, клиенты благополучно конектятся и спокойно пингуют ресурсы моей локалки, но я не могу достучаться до ресурсов их локалок. Собственно куда копать? Юзал гугл дней 5, не помогло. ((

    Для наглядности прикладываю схему сети с одним из клиентов.

    Заранее спасибо )



  • Исп. tap- интерфейс (и соответствующие настройки OpenVPN) для игр.



  • @werter:

    Исп. tap- интерфейс (и соответствующие настройки OpenVPN) для игр.

    Это всё конечно очень мило… Где конкретно использовать tap интерфейс? на клиенте или на сервере? При попытке сменить TUN на TAP непосредственно из веб интерфейса PFSense, сервер падает и не поднимается. (( ЧЯДНТ?
    Что подразумевается под "(и соответствующие настройки OpenVPN)"?



  • Попробуйте добавить на LAN pfSense выше остальных правило
    IPv4 * LAN net * 192.168.1.0/24 * * none



  • @pigbrother:

    Попробуйте добавить на LAN pfSense выше остальных правило
    IPv4 * LAN net * 192.168.1.0/24 * * none

    Сделано. Но результата по прежнему нет. Надеюсь я вас правильно понял и сделал так как вы просили? ) Или это в разделе LAN нужно было сделать? Не проснулся, ещё, туплю немного ))) Вообщем через LAN та же ерунда. ))



  • Выложу некоторые скрины настроек, может кто углядит какой косяк…

    Расширенные настройки сервера

    Расширенные настройки OpenVPN: Client Specific Override



  • Этот OpenVPN меня скоро с ума сведёт…  :'( :'( :'(
    Сменил режим с remote access на peer to peer, но воз и ныне там. ((
    Удалённый клиент по прежнему подключается, ему присваивается адресс 10.0.8.6, по этому адресу пинги проходят, но вот адресса из его локальной сети по прежнему не пингуются.  :'( :'( :'(
    За сервером же все мои ресурсы доступны клиенту из удалённой сети, клиент спокойно заходит на PFSense и на другие сервера моей локалки,всё пингуется, кроме устройств у которых не указан шлюз, но и х..ен бы с ними, главное компы пингуются. Хотелось бы чтобы я хотя бы так же видел сеть клиента. Please help!!!  :'( :'( :'(



  • Дальнейшее красноглазие так и не позволило увидеть сеть за клиентом. Подозреваю, что так и должно быть, поскольку VPN клиент поднят на виндовой машине за клиентским роутером… Поэтому к сожалению похоже что на Openvpn придёться забить. ((

    Есть возможность прошить клиентский Туполинк в DD-wrt где будет PPTP клиент и попробовать подконектиться к созданному на PFSense PPTP серверу. Кто нибудь побровал поднять подобный туннель? Как оно работает?



  • @bcontrol777:

    Этот OpenVPN меня скоро с ума сведёт…  :'( :'( :'(
    Сменил режим с remote access на peer to peer, но воз и ныне там. ((
    Удалённый клиент по прежнему подключается, ему присваивается адресс 10.0.8.6, по этому адресу пинги проходят, но вот адресса из его локальной сети по прежнему не пингуются.  :'( :'( :'(

    С какого перепугу они должны пинговаться? Откуда комп в локальной сети клиента должен знать, что в сеть за сервером можно попасть через комп, который поднимает клиентское соединение с OpenVPN сервером? В чужую сеть он шлет ответы через default gateway, т. е. через TP-Link. Так что соединение должен поднимать шлюз, а не просто машина в сети.



  • @rubic:

    С какого перепугу они должны пинговаться? Откуда комп в локальной сети клиента должен знать, что в сеть за сервером можно попасть через комп, который поднимает клиентское соединение с OpenVPN сервером? В чужую сеть он шлет ответы через default gateway, т. е. через TP-Link. Так что соединение должен поднимать шлюз, а не просто машина в сети.

    Да да да именно так. Я это уже понял. Извиняюсь, тупил. )) Но к сожалению клиентский роутер даже с прошитой DD-WRT не умеет OpenVPN client, Tomato так же не поддерживается, есть возможность только  PPTP соединения. Сейчас поднял подобное на PFSense, попробовал подключиться со смартфона, подключается, работает. Осталось дождаться когда клиент придёт домой и попытаться поднять соедининие с его TP-Linka с прошитой DD-wrt.



  • Хотел переименовать тему, поскольку про OpenVPN уже речи не идёт, но к сожалению уже поздно, поэтому продолжу тут.
    Не без плясок с бубном удалось прицепиться PPTP клиентом DD-WRT к PPTP серверу PFSense. Всё поднялось, всё подцепилось и вроде как работает. Но машин в локалке до сих пор нет и не видим друг у друга. ((

    Лог с сервера

    May 13 18:40:57 pptps: MPPC
    May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
    May 13 18:40:57 pptps: [pt0] CCP: rec'd Configure Request #2 (Req-Sent)
    May 13 18:40:57 pptps: MPPC
    May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
    May 13 18:40:57 pptps: [pt0] CCP: SendConfigAck #2
    May 13 18:40:57 pptps: MPPC
    May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
    May 13 18:40:57 pptps: [pt0] CCP: state change Req-Sent –> Ack-Sent
    May 13 18:40:57 pptps: [pt0] CCP: rec'd Configure Ack #2 (Ack-Sent)
    May 13 18:40:57 pptps: MPPC
    May 13 18:40:57 pptps: 0x00000040:MPPE(128 bits),
    May 13 18:40:57 pptps: [pt0] CCP: state change Ack-Sent –> Opened
    May 13 18:40:57 pptps: [pt0] CCP: LayerUp
    May 13 18:40:57 pptps: Compress using: mppc (MPPE(128 bits), )
    May 13 18:40:57 pptps: Decompress using: mppc (MPPE(128 bits), )
    May 13 18:40:57 pptps: [pt0] IPCP: rec'd Configure Request #1 (Req-Sent)
    May 13 18:40:57 pptps: COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
    May 13 18:40:57 pptps: IPADDR 192.168.1.1
    May 13 18:40:57 pptps: NAKing with 192.168.0.200
    May 13 18:40:57 pptps: PRIDNS 0.0.0.0
    May 13 18:40:57 pptps: NAKing with 192.168.0.1
    May 13 18:40:57 pptps: SECDNS 0.0.0.0
    May 13 18:40:57 pptps: NAKing with 85.234.33.23
    May 13 18:40:57 pptps: [pt0] IPCP: SendConfigNak #1
    May 13 18:40:57 pptps: IPADDR 192.168.0.200
    May 13 18:40:57 pptps: PRIDNS 192.168.0.1
    May 13 18:40:57 pptps: SECDNS 85.234.33.23
    May 13 18:40:57 pptps: [pt0] IPCP: rec'd Configure Request #2 (Req-Sent)
    May 13 18:40:57 pptps: COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
    May 13 18:40:57 pptps: IPADDR 192.168.0.200
    May 13 18:40:57 pptps: 192.168.0.200 is OK
    May 13 18:40:57 pptps: PRIDNS 192.168.0.1
    May 13 18:40:57 pptps: SECDNS 85.234.33.23
    May 13 18:40:57 pptps: [pt0] IPCP: SendConfigAck #2
    May 13 18:40:57 pptps: COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
    May 13 18:40:57 pptps: IPADDR 192.168.0.200
    May 13 18:40:57 pptps: PRIDNS 192.168.0.1
    May 13 18:40:57 pptps: SECDNS 85.234.33.23
    May 13 18:40:57 pptps: [pt0] IPCP: state change Req-Sent –> Ack-Sent
    May 13 18:40:58 pptps: [pt0] IPCP: SendConfigReq #2
    May 13 18:40:58 pptps: IPADDR 192.168.0.254
    May 13 18:40:58 pptps: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
    May 13 18:40:59 pptps: [pt0] IPCP: rec'd Configure Ack #2 (Ack-Sent)
    May 13 18:40:59 pptps: IPADDR 192.168.0.254
    May 13 18:40:59 pptps: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
    May 13 18:40:59 pptps: [pt0] IPCP: state change Ack-Sent –> Opened
    May 13 18:40:59 pptps: [pt0] IPCP: LayerUp
    May 13 18:40:59 pptps: 192.168.0.254 -> 192.168.0.200
    May 13 18:40:59 pptps: [pt0] IFACE: Up event

    В настоящее время схема сети чуть изменилась и выглядит так. В одном из топиков на этом форуме уважаемый WERTER советовал использовать server address из подсети сервера, решил последовать его совету и сделал так же.

    В настоящее время пингуется только Туполинк он же клиент PPTP получивший 192.168.0.200. (но на вэб интерфейс к нему не пускает, хотя нету никаких ограничений)

    Куда копать? Куда пинговать? Куда Трэйсить? Помогите пожалуйста, хочу наконец то погамать с френдами с Диаблу 2. ))



  • 1. Не совпадают ли выдаваемые при pptp-покдлючении адреса с адресами внутри удаленной сети ? Проверьте этот момент.
    2. Вам необходимо "объяснить" роутеру, что все что обращается к удаленной сети должно идти через туннель. Не весь трафик!
    3. Необходимо вкл. NAT для этого туннеля на dd-wrt. А также разрешить прохождение трафика через этот туннель. Это делается силами iptables
    на DD-WRT.  Если в интерфейсе нет "галок" по этому поводу.

    Не совсем то, но все же видно где прописываются скрипты - http://habrahabr.ru/post/255655/ (не испю как рук-во к действию!)

    P.s. На dd-wrt есть же OpenVPN, но почему он у Вас не заработал OpenVPN, я не знаю  :'(



  • >P.s. На dd-wrt есть же OpenVPN, но почему он у Вас не заработал OpenVPN, я не знаю

    Не во всех редакциях. Для роутеров с малым количеством (4МБ) встроенного флэша доступен только PPTP.



  • @werter:

    1. Не совпадают ли выдаваемые при pptp-покдлючении адреса с адресами внутри удаленной сети ? Проверьте этот момент.
    2. Вам необходимо "объяснить" роутеру, что все что обращается к удаленной сети должно идти через туннель. Не весь трафик!
    3. Необходимо вкл. NAT для этого туннеля на dd-wrt. А также разрешить прохождение трафика через этот туннель. Это делается силами iptables
    на DD-WRT.  Если в интерфейсе нет "галок" по этому поводу.

    Не совсем то, но все же видно где прописываются скрипты - http://habrahabr.ru/post/255655/ (не испю как рук-во к действию!)

    P.s. На dd-wrt есть же OpenVPN, но почему он у Вас не заработал OpenVPN, я не знаю  :'(

    1. При подключении клиентскому роутеру выдаётся адресс 192.168.0.200 Удалённая сеть имеет другую подсеть 192.168.1.0, навряли там чтото будет совпадать, но на всякий случай посмотрю.
    2. Какому именно роутеру? PFSense? Можно поподробнее про этот момент?
    3. На роутере с DD-Wrt стоят галки  Allow PPTP passthrough и т.д, фаервол на всякий пожарный в disable. Касательно  NAT я не обращал внимания, есть ли что там по этому поводу, посмотрю. По поводу iptables тоже попробую закрасноглазить, но из вэб интерфейса там это помоему не настраивается, видимо придётся тыкаться telnet-ом.

    Данная модель роутера старая, поэтому про OpenVPN там речи не идёт. ((( Только PPTP.

    Заметил кстати небольшую странность - Когда клиент подключается, Туполинку выдаётся адресс 192.168.0.200, этот адресс благополучно пингуется со стороны сети за сервером, но стоит попытаться полезть к нему на вебморду через браузер, как эта попытка оканчивается неудачным подключением и туполинк после этого больше не пингуется даже. Что это могло бы значить даже не предположу. Как будто какой то фаервол срабатывает и банит всё, приходится переподключаться чтобы пинговалось.  :P :-\ :'(



  • 1. При подключении клиентскому роутеру выдаётся адресс 192.168.0.200 Удалённая сеть имеет другую подсеть 192.168.1.0, навряли там чтото будет совпадать, но на всякий случай посмотрю.

    Адреса выдаваемые удаленным клиентам при поднятии PPTP-сессии должны быть из локальной подсети за pfsense. Как и адрес pptp-сервера.

    3. На роутере с DD-Wrt стоят галки  Allow PPTP passthrough и т.д, фаервол на всякий пожарный в disable.

    Это разрешение на прохождение pptp-соединения от клиентов "сквозь" роутер. И насчет выкл. фаерволла не уверен.

    Вопрос. Почему бы Вашим друзьям просто самим не подключаться с пом. pptp (или openvpn) к pfsense ? Зачем мудрите с роутером?

    P.s. Посмотрите еще в сторону Tinc. Можно и с ним по-мучаться.



  • @werter:

    Адреса выдаваемые удаленным клиентам при поднятии PPTP-сессии должны быть из локальной подсети за pfsense. Как и адрес pptp-сервера.

    Если посмотрите на схему выше, то всё так и есть. Конфликтующих хостов в удалённой сети нет. Я проверил.

    @werter:

    Вопрос. Почему бы Вашим друзьям просто самим не подключаться с пом. pptp (или openvpn) к pfsense ? Зачем мудрите с роутером?

    Собственно сейчас так и играем через openvpn. Зачем мудрим с роутером? Хороший вопрос. Во первых не люблю софтварные решения с софтварными клиентами, а во вторых просто по работе скоро возможно понадобиться объединить несколько удалённых сетей в локалку, так чтобы все видели друг друга, поэтому так скажем пока тренируюсь на кошках, это всяко лучше чем впарить клиентам кучу ненужного и возможно дорогого железа, а потом долго заниматься с ним сексом, если можно не покупая дорогих циско\джуниперов, сделать всё тоже самое на копеечном Туполинке. )