pfSense openVPN beállítása

Hálózatok egyéb

Sziasztok!

 

A következő videó alapján szeretnék egy VPN kapcsolatot beállítani az iskolában: https://www.youtube.com/watch?v=7rQ-Tgt3L18

Ez sikerült is, de a pfSense mögött lévő Windows 2008 R2 szervert nem érem el.

 

A hálózat a következő:

T-online Sagemcom modem-en keresztül bejön a net a pfSense tűzfalba, mely egyben DHCP és freeRadius szerver is. A pfSense tűzfal IP címe: 172.16.255.254

A pfSense tüzfalhoz csatlakozik switchen keresztül egy Windows 2008 tartományi, DNS és fájl szerver. IP címe: 172.16.254.1

Amit szeretnék elérni: OpenVPN-el csatlakoznának a tanárok az iskolai hálózathoz a tűzfalon keresztül, és ha jól gondolom, utána már elérnék a saját meghajtóikat, mintha belső hálózaton lennének.

 

A t-online modemben engedélyezve van a VPN Passtrought, ha esetleg kell. Valamint port Forwardal beállítottam, hogy a 1194-es portot irányítsa át a pfSense-re. Az openVPN kliens azonban valamiért nem tud csatlakozni. TLS error.

 

Mi lehet a hiba, valamint a Tunel sennings jól van-e beállítva?

 

Mellékelek két képet az egyik a pfSense tunel beállításai, a másik a kliensen az openVPN kliens üzenetei.

Tunel beállítások:

https://photos.app.goo.gl/nRc9DotAKCADDRJK8

openVPN kliens:

https://photos.app.goo.gl/Vu26v3E86HnScAgW8

  • 400 megtekintés

( ggallo | 2020. 03. 19., cs – 13:32 )

Először is a local network és a tunnel network erős átfedésben van, ez később okozhat gondot. Tunnel network esetében válassz egy helyi hálózattól teljesen független címteret (pl. 10.0.8.0/24 az OpenVPN gyári alapértelmezése a példa konfigokban, de bármi lehet természetesen).

A local network (ugyan nem kapcsolódik ide szorosan) kicsit tág a 172.16.0.0/12-vel. Inkább csak az(oka)t a tartomány(oka)t add itt meg (veszővel elválasztva több is mehet), amit valóban használtok. Ez is a későbbi szívásokat előzi meg.

Ha a portot is átirányítottad a T eszközén, akkor csak annyi a gond, hogy az OpenVPN kliens konfigban nem a publikus internet címed/DNS neved van, hanem a pfSense által a T eszköztől kapott "köztes" cím. Az nyilván nem él publikus interneten. Ha statikus publikus IP címetek van (az interneten), akkor azt add meg a kliens konfigban, ha dinamikus a publikus IP címetek, akkor pedig a pfSense megfeleő szolgáltatásával csinálhatsz egy dínamikus DNS bejegyzés frissítést, és akkor azzal az FQDN-nel éred majd el az OpenVPN szervert. Sajna nem tudom hirtelen, melyik dinamikus DNS szolgáltató ingyenes még. Nekem DynDNS előfizetésem van ilyen célra, de itt már nincs ingyenes lehetőség egy ideje, csak fizetős.
Persze azt ellenőrizd, hogy a pfSenese publikus lábán is be van-e engedve az a port (azt OpenVPN szerver beállítása nem nyit automatikusan portot a tűzfalon).

A kapcsolattól függetlenül itt gyorsan megjegyzem, hogy legelőször meg kell tanítani a kollégákat arra, hogy a VPN-en keresztül ne nyissanak meg állományt szerkesztésre (pláne nem Office állomány), mert akkor jönnek majd a bajok, hogy megszakadt a VPN és nem lehet szerkeszteni az állományt mert zárolva van, meg hasonlók. Másolják le saját gépre, dolgozzanak vele, majd másolják vissza. Így sem tökéletes, de sokkal biztosabb. A legjobb lenne, ha távasztalon a benti gépükön dolgoznának a VPN-en keresztül.

Az openVPN kliens valóban a szerver belső ip címére szeretne csatlakozni, de nem találtam olyan beállítást a kliensben ahol ezt át tudnám állítani. Vagy esetleg a pfSensbe kell átállítani valamit, mielőtt letöltöm a klienst?

 

noip.com-ot használok. Havonta rá kell nézni, de amúgy ingyenes.

( kisspepe | 2020. 03. 19., cs – 13:39 )

Köszönöm a választ, ezeket ma még megnézem. A megoldás az lesz, hogy másolják át azt amit szerkeszteni akarnak, nem tudok annyi erőforrást felszabadítani, hogy távoli asztallal dolgozzanak.

( kisspepe | 2020. 03. 19., cs – 23:53 )

Nos odáig jutottam, hogy mostmár az openVPN kliens csatlakozik a szerverhez. Létrejön a VPN kapcsolat, ezt látom a pfSens-ben is, de az iskolai hálózatot nem érem el. 

A kliens üzenetei: (alulról a 2. és a 3. sor az ami esetleg a gondot okozhatja.

Thu Mar 19 23:28:19 2020 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Thu Mar 19 23:28:19 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Mar 19 23:28:19 2020 library versions: OpenSSL 1.1.0l  10 Sep 2019, LZO 2.10
Thu Mar 19 23:28:28 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]145.236.212.148:1194
Thu Mar 19 23:28:28 2020 UDP link local (bound): [AF_INET][undef]:1194
Thu Mar 19 23:28:28 2020 UDP link remote: [AF_INET]145.236.212.148:1194
Thu Mar 19 23:28:28 2020 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Mar 19 23:28:28 2020 [SZBI] Peer Connection Initiated with [AF_INET]145.236.212.148:1194
Thu Mar 19 23:28:29 2020 open_tun
Thu Mar 19 23:28:29 2020 TAP-WIN32 device [Helyi kapcsolat] opened: \\.\Global\{D24D4010-4701-4C31-8286-9E356511EEF8}.tap
Thu Mar 19 23:28:29 2020 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.8.0/10.0.8.2/255.255.255.0 [SUCCEEDED]
Thu Mar 19 23:28:29 2020 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.2/255.255.255.0 on interface {D24D4010-4701-4C31-8286-9E356511EEF8} [DHCP-serv: 10.0.8.254, lease-time: 31536000]
Thu Mar 19 23:28:29 2020 Successful ARP Flush on interface [25] {D24D4010-4701-4C31-8286-9E356511EEF8}
Thu Mar 19 23:28:34 2020 ROUTE: route addition failed using service: A paraméter nem megfelelõ.   [status=87 if_index=25]
Thu Mar 19 23:28:34 2020 ROUTE: route addition failed using service: A paraméter nem megfelelõ.   [status=87 if_index=25]
Thu Mar 19 23:28:34 2020 Initialization Sequence Completed

IPv4 Tunnel Networknek 10.0.8.0/24-et állítottam be

IPv4 Local network8s9nek pedig: 172.16.53.0/12,172.16.54.0/12+

DNS szerver: 172.16.254.1

Az openVPN jelenlegi beállítása: https://photos.app.goo.gl/j88WfmFLpVeyFrGY6

Mostmár működik, állítottam az ip címeken:

IPv4 Tunnel Network: 10.0.8.0/24

IPv4 Local network(s): 172.16.0.0/16

Ami még nem tökéletes, jó lenne ha működne, de nem feltétel.

Jelenleg IP cím alapján elérem a távoli szervert. A pfSense VPN beállításánál meg lehetett adni DNS szervert. Én meg is adtam a távoli szerver IP címét, mivel azon fut a DNS szerver. Mégse oldja fel a szerver nevét. Név alapján nem tudom pingelni, csak IP cím alapján.

Ha DNS feloldást is szeretnél a kliens oldalon, akkor 7 dolog kell:

  • a DNS szerver fogadjon el kéréseket a VPN-es IP tartományból
  • a tűzfalon a DNS szervertől legyen engedélyezve a DNS forgalom (TCP/UDP port 53) a VPN kliensek felé
  • a tűzfalon a VPN csatolón legyen engedélyezve a DNS forgalom (TCP/UDP port 53) a DNS szerverig
  • az OpenVPN szerver adja át a kliensnek a tartomány nevét
  • az OpenVPN szerver adja át a kliensnek a DNS szerver IP címét
  • az OpenVPN szerverek kapcsold be a szerver konfigban a "Force DNS cache update" checkbox-ot, ez kényszeríti a Windows kliens-t a kapott DNS paraméterek használatára.
  • a kliensen az összes névfeloldást igénylő hivatkozást FQDN-nel kell megadni (tehát nem elég csak a gépnév, ki kell írni a teljes gépnév+tartomány sort)

A kliens így tudni fogja, hogy mely tartományhoz kell használnia a kapott DNS szervert. De ehhez ki kell írni a tartomány nevét minden esetben.

A legutóbbi képeden látszik, hogy hibát ír a route alkalmazásánál. Ez azért van, mert a felhasználó jogaival futtatott OpenVPN kliensnek nincs joga a Windows route táblájába új tételt felvenni. Muszáj az OpenVPN klienst emelt jogosultsággal indítani, hogy a megfelelő route bekerülhessen.

(Szerk.) Most nézem még amit írtál:

  • a 172.16.53.0/12 helyett 172.16.53.0/24 kellene, mert a /12 miatt valójában 172.16.0.0/12 tartományt adsz meg.
  • a 172.16.54.0/12 helyett 172.16.54.0/24 kellene, mert a /12 miatt valójában 172.16.0.0/12 tartományt adsz meg.
  • ha a fentieket korrigálod, akkor fel kell venni a 172.16.254.0/24 tartományt is, hogy a DNS szerverhez is legyen route.

Az eddigiek alapján azt javaslom, hogy a hálózati címzés alapjait, a hálózati maszkokat olvasd át. Úgy látom nem igazán érted, mire való a /12 meg a /24, csak azt tudod (gondolom), hogy ha nem /12 a vége, akkor nem látják egymást a gépek.

( Zs | 2020. 03. 20., p – 15:07 )

Csacska kérdés, de mert eddig még nem lett említve, ezért mekérdezem: magán a pfSense-n tűzfal szabályok hogy állnak? Csak mert az OpenVPN egy önálló alhálózat lesz a pfSense szerint, viszont alapértelmezetten üres szabály listával és default policy DENY beállításokkal jön létre. Tehát ha már él a VPN kapcsolat, akkor elakadhatsz azon is, hogy tűzfalazod az onnan jövő forgalmat.