Chci nastavit PFSense jako samostatný server OpenVPN s jedním rozhraním za stávajícím firewallem (věřte mi, rád bych nahradil edge firewally pfsense). Dělám to pro zabezpečený vzdálený přístup ke konkrétní službě. Externí firewally nemají nejlepší VPN službu.
Možná se divíte, proč rovnou nenainstaluji OpenVPN server přímo, jednoduché. Líbí se mi, jak s tím pfsense pracuje, a mohu dokonce nastavit základní pravidla firewallu a směrování.
Každopádně, můj aktuální problém je, že se mohu připojit v testovací laboratoři, běžící ve VirtualBox VM za stávajícím firewallem, dostanu IP, ale nemohu se připojit k LAN síti (která je WAN pfsense, tj. její jediný rozhraní)
Mám LAN síť definovanou v serveru jako vzdálenou síť k přístupu, s podobnou, ale odlišnou sítí než OpenVPN síť (nejsem nováček v nastavování OVPN přístupu na pfsense)
Je to tím, že mi výchozí neumožní přístup k WAN síti? Přestože je to technicky LAN? Je nějaký způsob, jak změnit toto chování vzhledem k tomu, že PFSense nebude v tomto scénáři jako hrana zařízení?
Udělal jsem to a fungovalo to nějakou dobu. Původně jsem chtěl něco podobného kvůli stabilitě mé brány pfsense. Našel jsem jednoduchší řešení než vy a ostatní komentující.
Zcela odstraňte WAN rozhraní.
Nastavte VirtualBox na bridged mód síťového připojení.
Nastavte LAN tak, aby získával DHCP od vaší brány.
Přesměrujte port OpenVPN na VM
Ujistěte se, že máte povolená všechna pravidla na LAN a OpenVPN rozhraních
Toto nastavení jsem nepotřeboval směrovat žádné trasy.
Tady je váš problém, (měl jsem stejné nastavení v jednom bodě) žádné z vašich zdrojů v LAN neví, jak se dostat do vaší VPN podsítě. Pokud je vaše VPN podsíť 10.10.10.x a LAN je 10.20.30.x, všichni na 10.20.30.x směřují na bránu, aby se dostali ven z tohoto IP rozsahu, a odtud se firewall pokusí jít ven přes WAN rozhraní, protože tak jsou nastavené výchozí směrovací tabulky.
Pokud je váš firewall/router dostatečně dobrý, můžete vložit statickou trasu, která říká, že 10.10.10.x lze přistupovat přes další skok na IP adrese Pfsense. Osobně jsem to nedokázal zprovoznit. Co jsem musel udělat, bylo přidat statickou trasu do každého zdroje, který potřeboval přístup k VPN, například:
Jak jsem to udělal (protože mám několik pfsense jako samostatné na VPS) je vytvořit VLAN. Použít toto jako LAN, ale v podstatě ji ignorovat a blokovat veškerý provoz na ní. Povolit vzdálený přístup k administraci a nastavit OpenVPN. Poté to budete považovat za váš LAN. Můj postup byl před změnami na jedno NIC.