PFSense jako samostatný OpenVPN server

VPN
1

Chci nastavit PFsense jako samostatný OpenVPN server za stávající bránou firewall (věřte mi, rád bych nahradil hraniční firewally s pfsense). Dělám to pro bezpečný vnější přístup ke konkrétní službě. Vnější firewally nemají nejlepší VPN službu.

Možná se ptáte, proč rovnou nenainstaluji openvpn server přímo, jednoduché. Líbí se mi, jak pfsense s tím zachází a mohu dokonce udělat základní pravidla firewallu a směrování.

Každopádně, aktuální problém je, že se mohu připojit v testovací laboratoři, běží to ve virtuálním stroji VirtualBox za stávající bránou firewall, dostanu IP, ale nemohu se připojit do LAN sítě (kterou pfsense považuje za WAN, tedy jeho jediný rozhraní)

Mám LAN síť definovanou na serveru jako vzdálenou síť k přístupu, s podobnou, ale odlišnou sítí než openvpn síť (nejsem na první jízdu s nastavováním OVPN přístupu na pfsense)

Je to proto, že mi defaultně nedovolí přístup k WAN síti? Přestože je technicky LAN? Je nějaký způsob, jak změnit toto chování, vzhledem k tomu, že pfsense nebude v této scéně hraničním zařízením?

2

Ujistěte se, že máte “Block private networks and loopback addresses” zakázáno na vašem WAN rozhraní.

3

Udělal jsem to a fungovalo to nějakou dobu. Původně jsem chtěl něco podobného kvůli předchozím problémům se stabilitou na mé bráně pfsense. Našel jsem jednodušší řešení než vy a další komentující.

  • Prostě odstraním rozhraní WAN.
  • Nastavím VirtualBox do režimu mostu.
  • Nastavím LAN na získávání DHCP od brány.
  • Přesměruji port OpenVPN na VM
  • Ujistěte se, že máte povolená všechny pravidla na rozhraních LAN a openvpn

Toto nastavení nepotřebovalo žádné směrování.

4

Takže, tady je váš problém, (měl jsem stejnou konfiguraci) žádné ze zdrojů na vašem LAN neví, jak se dostat do vaší VPN podsítě. Pokud je vaše VPN podsíť 10.10.10.x a váš LAN je 10.20.30.x, všichni na 10.20.30.x jdou přes bránu k přístupu k čemukoliv mimo tuto IP rozsah a odtud se firewall snaží jít ven přes rozhraní WAN, protože tak jsou nastavené výchozí směrovací tabulky.

Pokud je váš firewall/router dostatečně dobrý, můžete zadat statickou trasu, která říká 10.10.10.x může být přístupná přes další skok na IP adrese Pfsense. Osobně jsem to nedokázal, ale co jsem musel udělat, bylo zadat statickou trasu do každého zdroje, který potřeboval přístup na VPN. Něco jako

route -p add 10.10.10.0 mask 255.255.255.0 IP pfsense

To platí pro Windows. Linux závisí na vašem OS, ale to si můžete vyhledat.

5

Jak jsem to udělal já (protože běžím několik pfsense jako samostatné na VPS) je vytvořit VLAN. Použít to jako LAN, ale v podstatě to ignorovat a blokovat veškerý provoz na něm. Povolit vzdálený přístup pro administraci a nastavit OpenVPN. Pak jen považuji OpenVPN za vaši LAN síť. Mějte na paměti, že jsem to udělal před změnami na použití jednoho NIC.

6

Proč prostě nespustit virtuální zařízení?

7

Ano, ale Android zařízení nepodporují tap adaptéry (bridge), pouze tun (routing).

8

Možná jste neposlali trasy klientům openvpn, aby dosáhli na vaši LAN podsíť.

9

Huh? Není to vůbec o Androidu zde.

10

Možná. Potřeboval jsem pouze přístup ke dvěma zařízením pro vzdáleného dodavatele, takže jsem do toho nedával moc úsilí. Musel jsem dostat 2FA s AD Auth, což jsem tehdy ještě nedělal.

11

Pokud mluvíte o OpenVPN access serveru, je to skutečně zdarma pro dvě připojení současně.

12

Jen říkám, pokud máte Android zařízení jako klienta OpenVPN, pak bridge režim/tap je nemožný.

13

Neříkám, aby se bridge na OpenVPN serveru používal. Mluvím o bridgování virtuálního stroje VirtualBox, takže host pfSense není dvakrát NATován.