VPN сервер на Pfsense 2.2.5



  • :o Доброго  времени суток .
    Пытаюсь настроить VPN  соединение с офисом .
    Настроил PPTP  - работает (но говорят он не безопасен)
    OpenVPN  настраивать бессмысленно  , он  не встроен в винду  и поэтому  манагерам  объяснять , что к чему  - это тупик 
    L2TP -  не подымается , вычитал что  нужно  ipsec отключить в  винде  через реестр . -не пробовал-

    Отдельно ipsec - не понял , как вообще работает , в винде  нет его в чистом виде - как  бы  - в любом случае нужно указывать - пользователь  и пароль.

    В винде есть L2TP - ipsec связка , вот тут  вопрос  уважаемые знатоки –

    -- Правильно ли я понял  что  для поднятия такого туннеля в  Pfsense 2.2.5 нужно настроить  и ipsec и L2TP

    по этой инструкции http://shop.nativepc.ru/content/75-pfsense-2-cookbook-4  не получается  , в гуггле  нечего  практичного не нашел .
    Помогите разобраться



  • OpenVPN  настраивать бессмысленно  , он  не встроен в винду  и поэтому  манагерам  объяснять , что к чему  - это тупик

    Ярлык на раб. стол. В чем проблема ? Я бы и по логину и паролю еще пускал, а не просто по сертификату.
    Вы им и Ворд с Экселем ходите и запускатете лично ?

    Настроил PPTP  - работает (но говорят он не безопасен)

    Не говорят - доказано. В 2.3 и далее его вообще не будет.



  • Согласен с вами  ,  поделитесь доками  .
    Сделал как вы сказали , поставил еще OpenVPN Client Export Utility
    Домашний комп соединение  подымает , пользователя завел - коннектится , Но нечего не пингуется , RDP не работает , шары не открывает .



  • Клиента запускаете с правами админа? Вот на 99% правильная инструкция.
    https://forum.pfsense.org/index.php?topic=99694.0

    Я бы и по логину и паролю еще пускал, а не просто по сертификату.

    Полностью согласен, у себя сделал именно так. Кстати, авторизация через AD(Домен) тоже делается довольно просто, хотя у себя ее принципиально не задействовал.

    На reddit  (интересная ветка), вроде участвуют и разработчики pfSense:
    https://www.reddit.com/r/PFSENSE/
    написали про  двухфакторную авторизацию так:
    something you have (ключи\сертификаты) и something you know (логин\пароль)



  • ??? все делаю по инструкции , результат

    Thu Nov 26 17:05:11 2015 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=RU, ST=Russia, L=Moscow, O=xxxx, emailAddress=xxxxxxxxxxxxxxxxx, CN=vpn-server
    Thu Nov 26 17:05:11 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Thu Nov 26 17:05:11 2015 TLS Error: TLS object -> incoming plaintext read error
    Thu Nov 26 17:05:11 2015 TLS Error: TLS handshake failed
    Thu Nov 26 17:05:11 2015 SIGUSR1[soft,tls-error] received, process restarting
    Thu Nov 26 17:05:13 2015 UDPv4 link local (bound): [undef]



  • все делаю по инструкции

    Явно при создании\использовании сертификатов ошибка. Удалите все сертификаты, и создайте всю цепочку заново:
    CA->Server
    CA->User



  • ;)  В итоге  , я рукожоп еще тот  ))))
    Первое обращайте внимание  на  разрядность  винды  у клиента  )))
    Второе - Если изначально сервер OpnVPN настраивали  через визард , то вашу инструкцию  нужно продолжать с момента  создания  корневого сертификата. У меня  история такая  - пробовал  и настраивал  через визард  - Не получилось  - удалил в ручную все сертификаты , и создавал
    все вручную  -  ОШИБКА -  какимто образом старый сертификат  остается - и клиент  выдает  ошибку .

    Заработало  так  -

    Удалил все сертификаты , которые создавал  - НЕ УДАЛИТЕ СОЗДАННЫЙ ВЕБ СЕРТИФИКАТ , А ТО НЕ БУДЕТЕ ПОДКЛЮЧАТЬСЯ К ВЕБ МОРДЕ -
    С помощью визарда - создал новый корневой сертификат и сертификат OpenVPN.
    Вручную создал сертификат клиента  - по вашей инструкции , выгрузил его  - и  УРРА заработало  )))



  • Рад, что все ОК.
    А за инструкцию благодарить надо StanislawK, хотя он тут появляться и перестал.



  • ;) Спасбо вам большое  , и  хороших выходных )))



  • @dqdima:

    ;)  В итоге  , я рукожоп еще тот  ))))
    Первое обращайте внимание  на  разрядность  винды  у клиента  )))\

    Всегда ставлю 32-х разр. версию. Даже на 64-х разр. систему.

    P.s. У 64-х разр. Win есть нюансы с установкой неподписанных MS официально  драйверов. Иногда приходится откл. это.



  • Cам драйвер единый для х86-х64, с ним в последних версиях проблем с подписью уже нет, его можно установить отдельно, отличия только в поддержке NDIS,  NDIS 5 - XP, NDIS 6 - Vista и выше, разрядность при выборе собственно драйвера отсутствует:

    OpenVPN uses TAP-windows to provide virtual tap device functionality on Windows. Normally you don't need to install TAP-windows separately, as OpenVPN installers include it. The tap-windows driver comes in two flavours: the NDIS 5 driver for Windows XP and NDIS 6 for Windows and above.

    https://openvpn.net/index.php/open-source/downloads.html

    Разрядность, похоже, относится исключительно к GUI\management\работе в виде сервиса.

    Сама Client Export Utility создает индивидуально для каждого  клиента полноценный компактный  дистрибутив  с драйвером, интегрированным конфигом, что очень удобно.
    А вот предлагаемый ею Management Interface OpenVPNManager ставить не рекомендую, особого удобства не дает, интерфейс имеет запутанный и страшный, мешает переустановке Open VPN,  удаляется только вручную, через командную строку с правами админа:

    sc delete OpenVPNManager


Log in to reply