OpenVPN s pfSense

Martin

OpenVPN s pfSense
« kdy: 28. 04. 2010, 13:03:28 »
Mam mensi problem s rozbehanim OpenVPN.

Pouzivam firewall pfSense, ktory je zaroven OpenVPN serverom. Konfiguracie servera vykonavam cez web rozhranie. Snazim sa na nom rozbehať roadwarrior mod.
Certifikaty a kluce mam vytvorene v pohode pre server i klientov.

Pouzivam staticke IP adresy ktore mozem pouzivat v skole.
IP servera 147.175.79.135
Lokalna siet 147.175.79.160/27
Rozsah pre OpenVPN klientov 147.175.79.176/28

Ked sa pokúšam pripojiť klientom na server zda sa ze vsetko funguje server mi prideli IP adresu z rozsahu, ale ak sa pokusam pingat pocitac v lokalnej sieti alebo sa nan prihlasit cez ssh nefunguje to.

Taktiez ak sa pokusam z vonkajsej wifi siete prostrednictvom vpn-ky dostat na stranku "sciencedirect" na ktorej su dostupne publikacie len pre pocitace s IP-ckami urcenymi pre STU Bratislava neda sa to pretoze sa to tvari ze nemam tu IPcku...hoci klient mi hlasi ze ju ma.
Bol by som velmi rad ak by niekto vedel pomoct. Je to sucastou mojej semestralnej a zaroven diplomovej prace.

Pre info uvediem este konfig klienta a tiez servera:

Klient:

tls-client
float
dev tun
proto tcp
remote 147.175.79.135 1194
esolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
ca ca.crt
cert client_martin1.crt
key client_martin1.key
ns-cert-type server
cipher BF-CBC
keysize 128
comp-lzo
verb 4

Server:

writepid /var/run/openvpn_server0.pid
#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto tcp-server
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
client-to-client
server 147.175.79.176 255.255.255.240
client-config-dir /var/etc/openvpn_csc
push "route 147.175.79.160 255.255.255.224"
lport 1194
push "dhcp-option DNS 147.175.64.7"
push "dhcp-option DNS 147.175.11.1"
ca /var/etc/openvpn_server0.ca
cert /var/etc/openvpn_server0.cert
key /var/etc/openvpn_server0.key
dh /var/etc/openvpn_server0.dh
comp-lzo
persist-remote-ip
float

Dobredu dakujem za vsetky odpovede.





Re: OpenVPN s pfSense
« Odpověď #1 kdy: 28. 04. 2010, 20:34:58 »
no a pravidla na firewall-e mas ? To na m0n0wall-e si pre VPN musim dorobit ... predpokladam, ze tu to bude to iste .....

Martin

Re: OpenVPN s pfSense
« Odpověď #2 kdy: 28. 04. 2010, 20:59:34 »
no a pravidla na firewall-e mas ? To na m0n0wall-e si pre VPN musim dorobit ... predpokladam, ze tu to bude to iste .....

nho na firewall-e mam pravidla tieto - pocitace z LAN maju dovolene vsetko
a klienti OpenVPN sa mozu prihlasovat odvsadial na port 1194 ..zrejme to bude nieco so smerovanim ..ale som z toho trosku mimo

Juraj

Re: OpenVPN s pfSense
« Odpověď #3 kdy: 28. 04. 2010, 22:50:39 »
Ee, nie tak.
Lokalne IPcky pre vpn klientov daj privatne, verejnych je jednak skoda a jednak to nebude chodit, lebo ten vnutorny rozsah mas podsiet celej LANky, akonahle sa paket vynori z tunela tak nebude vediet kam.
Jo, a tie public IPcky si zamaskuj .. nikdy nevies kedy ti nejaka dobra dusa poradi nejaku zneuzitelnu zlomyselnost.

Martin

Re: OpenVPN s pfSense
« Odpověď #4 kdy: 29. 04. 2010, 18:03:52 »
Problem solved  :)

Takze....posluchol som Juraja a dal som klientom celkom novy rozsah a samozrejme s privatnymi IP-ckami....problem bol presne ten ze adress pool bol sucastou lokalnej siete.
Teraz krasne vsetko funguje a este aby som nezabudol ...do "Custom Options" na servere som vlozil direktivu
push "redirect-gateway def1"
a taktiez som upravil par nastaveni v NAT-e, konkretne Outbound som nastavil na manualne a pridal som defaultne "Auto created rule for LAN" a tiez pre adress pool ktory som pridelil pre klientov.

Dakujem za reakcie a za pomoc :)