Нужен однодневный мастеркласс в Москве



  • Господа, чувствую себя идиотом - не понимаю, где у pfSense растут ноги в простейшей задаче - сгенерировать openVPN сервер внутри нашей подсетки для учебных целей.
    Есть знающие люди в Москве?
    Кто хочет заработать за день ну даже 15000 рублей. Нужно при мне настроить pfSense и провести через openVPN ping в защищенную отдельную подсеть. Оплата налом по факту.



  • @TR:

    Господа, чувствую себя идиотом - не понимаю, где у pfSense растут ноги в простейшей задаче - сгенерировать openVPN сервер внутри нашей подсетки для учебных целей.

    Доброе.
    В чем проблема, выбрать в настройках интерфейса опенвпн-сервера интерфейс LAN ??



  • Установить другую подсетку в настройках openVPN server не проблема. Проблема в том, что это не фига не помогает. Посмотрите на скриншот в моей соседней ветке.
    Я уж не говорю про лог, содержащий непонятные переходы в разрыв соединения. Или что это?



  • @TR:

    Посмотрите на скриншот в моей соседней ветке.

    Как бы повежливее ответить ?
    Уж потрудитесь и здесь выложить и скрины и логи. Проблема-то у Вас, да ?



  • Проблема у меня, но скрины я уже выкладывал https://forum.pfsense.org/index.php?topic=105472.0 и отклика на них не было. Соответственно, стало жалко место на сайте.
    Смотрите, вот участок настроек openVPN Tunnel Settins (во вложении). Также непонятно, что означает в openVPN log следующие записи:
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client disconnected
    ___Более полный вариант лога
    Jan 19 12:12:10 openvpn[17697]: auth_user_pass_verify_script_via_file = DISABLED
    Jan 19 12:12:10 openvpn[17697]: port_share_host = '[UNDEF]'
    Jan 19 12:12:10 openvpn[17697]: port_share_port = 0
    Jan 19 12:12:10 openvpn[17697]: client = DISABLED
    Jan 19 12:12:10 openvpn[17697]: pull = DISABLED
    Jan 19 12:12:10 openvpn[17697]: auth_user_pass_file = '[UNDEF]'
    Jan 19 12:12:10 openvpn[17697]: OpenVPN 2.3.8 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Aug 21 2015
    Jan 19 12:12:10 openvpn[17697]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
    Jan 19 12:12:10 openvpn[18494]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
    Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
    Jan 19 12:12:10 openvpn[18494]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Jan 19 12:12:10 openvpn[18494]: Diffie-Hellman initialized with 2048 bit key
    Jan 19 12:12:10 openvpn[18494]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
    Jan 19 12:12:10 openvpn[18494]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:12:10 openvpn[18494]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:12:10 openvpn[18494]: TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
    Jan 19 12:12:10 openvpn[18494]: Socket Buffers: R=[42080->65536] S=[57344->65536]
    Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
    Jan 19 12:12:10 openvpn[18494]: ROUTE: default_gateway=UNDEF
    Jan 19 12:12:10 openvpn[18494]: TUN/TAP device ovpns1 exists previously, keep at program end
    Jan 19 12:12:10 openvpn[18494]: TUN/TAP device /dev/tun1 opened
    Jan 19 12:12:10 openvpn[18494]: ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
    Jan 19 12:12:10 openvpn[18494]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
    Jan 19 12:12:10 openvpn[18494]: /sbin/ifconfig ovpns1 192.168.89.1 192.168.89.2 mtu 1500 netmask 255.255.255.255 up
    Jan 19 12:12:10 openvpn[18494]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1558 192.168.89.1 192.168.89.2 init
    Jan 19 12:12:10 openvpn[18494]: /sbin/route add -net 192.168.89.0 192.168.89.2 255.255.255.0
    Jan 19 12:12:10 openvpn[18494]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
    Jan 19 12:12:10 openvpn[18494]: UDPv4 link local (bound): [AF_INET]192.168.10.82:1194
    Jan 19 12:12:10 openvpn[18494]: UDPv4 link remote: [undef]
    Jan 19 12:12:10 openvpn[18494]: MULTI: multi_init called, r=256 v=256
    Jan 19 12:12:10 openvpn[18494]: IFCONFIG POOL: base=192.168.89.4 size=62, ipv6=0
    Jan 19 12:12:10 openvpn[18494]: Initialization Sequence Completed
    Jan 19 12:12:30 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:13:49 openvpn[18494]: MULTI: multi_create_instance called
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Re-using SSL/TLS context
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 LZO compression initialized
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options hash (VER=V4): 'a2e63101'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options hash (VER=V4): '272f1b58'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 TLS: Initial packet from [AF_INET]192.168.10.118:63287, sid=b52da94e 4a59a085
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 [test] Peer Connection Initiated with [AF_INET]192.168.10.118:63287
    Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI_sva: pool returned IPv4=192.168.89.6, IPv6=(Not enabled)
    Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: Learn: 192.168.89.6 -> test/192.168.10.118:63287
    Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: primary virtual IP for test/192.168.10.118:63287: 192.168.89.6
    Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 PUSH: Received control message: 'PUSH_REQUEST'
    Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 send_push_reply(): safe_cap=940
    Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.14.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
    Jan 19 12:13:52 openvpn[18494]: test/192.168.10.118:63287 MULTI: bad source address from client [::], packet dropped
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client disconnected




  • Господа, вы будете смеяться, но найдя в документации следующий раздел: https://doc.pfsense.org/index.php/Why_can%27t_I_ping_some_OpenVPN_adapter_addresses, в котором рассказывается что ping сплошь и рядом не проходит через локальный openVPN, я решил отказаться от ping и начал пробовать RDP, чтобы хоть как-то убедиться в наличии связи.
    Сработало. Я смог подключиться к своему серверу за openVPN указав его адрес 172.16.14.131 после установления связи клиента openVPN…
    Странно. Более того, ПОСЛЕ этого заработал и ping и tracert ...
    Единственное, что могу предположить, что я от отчаяния тронул командой pfSense Diagnostic->Edit File сокет /var/etc/openvpn/server1.sock
    И он, падла, испугался...
    Не понимаю... А если перегрузить pfSense? А если отключить клиент openVPN и подключиться снова? Работает...
    Тля...



  • Из статьи по вашей ссылке:

    Sometimes OpenVPN will not respond to ping on certain virtual addresses used solely for routing endpoints when using the net30 topology. Do not rely on pinging the OpenVPN endpoint addresses as a means of determining if the tunnel is passing traffic properly. Instead, ping something in the remote subnet, such as the LAN IP of the server.

    Вы же явно пинговали именно ресурсы за  OpenVPN?

    А записи в логе Client disconnected? Остались?



  • По поводу лога openVPN: у меня он выставлен на уровень 4, согласно рекомендации в ВЕБ-морде  в настройке openVPN server: default-4 – Normal usage range. Но вот что означают вот эти постоянно появляющиеся записи, я так и не понял:
    Jan 19 17:10:06 openvpn[19713]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 17:10:06 openvpn[19713]: MANAGEMENT: CMD 'status 2'
    Jan 19 17:10:06 openvpn[19713]: MANAGEMENT: CMD 'quit'
    Jan 19 17:10:06 openvpn[19713]: MANAGEMENT: Client disconnected
    Jan 19 17:11:07 openvpn[19713]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 17:11:08 openvpn[19713]: MANAGEMENT: CMD 'status 2'
    Jan 19 17:11:08 openvpn[19713]: MANAGEMENT: CMD 'quit'
    Jan 19 17:11:08 openvpn[19713]: MANAGEMENT: Client disconnected

    Что это может значить?


Log in to reply