Zdá se, že mám zvláštní problém, pokouším se směrovat veškerý provoz VPN serveru přes bránu klienta VPN. Můj klient VPN funguje a veškerý bezpečný provoz je směrován přes tuto bránu. Připojení k OpenVPN serveru funguje při použití výchozí brány. Když je vybrána brána klienta OpenVPN, nemohu načíst webové stránky.
Nastavil jsem pfSense a VPN server pomocí následujících dvou tutorialů;
pfSense 2.3 setup with AirVPN, DNS Resolver and VLANs - nastavení pfSense. Jediný rozdíl je, že místo OpenVPN používám PIA.
pfSense remote access via OpenVPN - VPN server
Vše funguje správně, dokud nevyberu svůj klient OpenVPN jako bránu pro provoz VPN serveru ve firewallových pravidlech. Jakmile je toto vybráno, nemohu načíst žádné webové stránky, ale mohu je pingnout.
Například google.com se nenačte, ale odpovídá na pings spolehlivě.
Chybí mi něco zjevného? Omlouvám se, že jsem nezveřejnil všechny pravidla firewallu, abych se vyhnul spamování stránky. Může být něco konkrétního a mohu přidat screenshoty / konfigurace.
Díky
Zkoušíte tunelovat své klienty OpenVPN, například na mobilu, přes jiné připojení OpenVPN? Chtěl jsem udělat něco podobného, ale neměl jsem s tím štěstí.
To je přesně to, co bych chtěl udělat.
Můj plán byl spustit alespoň dva VPN servery, jeden pro “čistou síť” a jeden pro “zabezpečenou síť”. Teorie je, že se můžu připojit přes VPN do domácí sítě a veškerý můj internetový provoz by šel přes mé PIA VPN připojení. Nebo, pokud bych chtěl sledovat iPlayer nebo obsah založený na regionu, mohl bych se připojit přes čistou síť a používat své běžné domácí připojení a IP.
Často cestuji a hotely často blokují / omezuji porty, na kterých běží PIA. Směrování veškerého provozu přes TCP port 443 do mé domácí sítě by pomohlo zajistit bezpečnější připojení a tom, které není omezováno. Ale vzhledem k zákonu o sledování zde v UK bych rád zajistil, že moje prohlížení bude zabezpečené, i když budu mimo svou domácí síť, takže používání mého brány PIA je docela zásadní.
Také jsem v UK, takže doufám ve stejnou věc jako ty. Mám VPN nastavenou tak, aby byl provoz doma bezpečný, můj telefon se může připojit vzdáleně a přistupovat k internetu přes mé domácí připojení, ale posledním krokem je připojení přes mé domácí VPN připojení. Zítra či pozítří zkouším znovu, takže pokud se mi povede to nastavit, určitě ti dám vědět, jak jsem to udělal. Nebo někdo laskavý nám může poradit, kde jsme udělali chybu. Je to bolestné hledat odpověď na Google, už jsem to jistě zkoušel?
Chceš přiřadit rozhraní svým VPN servery.
Měl bys smazat všechna pravidla na kartě OpenVPN a nechat jen ta vhodná na přiřazených rozhraních. Ve tvém případě mohou být pravděpodobně jakákoli. Kromě rozhraní PIA. Asi nebudeš chtít ani žádná pravidla tam. Přistupuj k tomu jako k WAN.
Politicky směruj provoz přicházející na jednom serveru do PIA a druhému nechte směřovat na výchozí bránu.
Ujistěte se, že outbound NAT na rozhraní PIA pokrývá odpovídající síť VPN tunelu jako zdrojovou adresu.
Všechny výsledky, které jsem našel, zmiňují pouze použití brány VPN jako brány rozhraní. Stejně jako byste to udělali pro zabezpečenou VLAN. Už jsem s tím bojoval několik dní.
Co mě štve, je to, že je možné pingnout webové stránky, ale nemohu se na ně dostat. Přemýšlím, jestli jsem nezpůsobil problém se svými nastaveními firewallu, ale opakovaně jsem to kontroloval a jsou identická s tutoriálem a mým VLAN pro VPN.
Pokud na něco narazíš, měl bych o tom velký zájem!
Děkuji moc, trefil jsi hřebík přímo na hlavičku poslední větou.
Naštěstí jsem byl hloupý a nesprávně nastavil outbound NAT na směr k mému WAN a ne k VPN_WAN (PIA). Přepnutí na to všechno opravilo.
Jak navrhoval, odstranil jsem všechna pravidla a postupně je znovu přidával, dokud to nebylo dostatečně zabezpečené, abych se cítil pohodlně.
Ta moje metoda je, že mám vytvořený seznam aliasů se všemi IP, která chci směrovat přes VPN, a pak nastavím jejich brány v sekci Outbound NAT. To perfektně funguje pro všechno v mém LAN.
Vypadá to, že všechno, co chybí, je firewallové pravidlo, pokud ICMP funguje, i když jsi to již zkontroloval, že ping jde určitě tam i zpět přes VPN?
Později přidám screenshoty toho, co mám, jestli to dá nějaké indicie.
/u/backsnarf poukázal na zřejmou chybu, kterou jsem udělal, a opravil jsem svůj problém. Mé outbound NAT nebyl správně nastaven a stále jsem směroval svou VPN síť na WAN místo na VPN_WAN (nebo ve mně případně VPM_WAN, protože jsem udělal překlep a nemůžu změnit název) 
Díky za upozornění na ICMP, opravdu to šlo přes můj běžný WAN. Od té doby jsem to také přesunul.
Seznam aliasů zní zajímavě. Je to, pokud nepoužíváte VLAN?
Ano, VLAN zatím nemám, protože nemám žádné přepínače, kromě nějakých hloupých. Povaluji se v přípravě koupě našeho prvního domu, abych měl vybavení na správné nastavení a naučil se, jak VLAN fungují. Můj seznam aliasů mi momentálně umožňuje rychle směrovat / odsměrovat můj počítač a další věci přes VPN podle potřeby. Stačí odebrat IP z aliasu, zakázat přepis pravidla Outbound NAT a okamžitě vyjdu přes WAN.
Radši jsem to už rozchodil. Možná se na to ještě ozvu, až se na to podívám.
To jsou opravdu vzrušující zprávy, hodně štěstí s přesunem! Já jsem to udělal před pár měsíci, byla to skvělá příležitost k úplnému přepracování celé konfigurace. Teď zkoumám domácí automatizaci, ale to je úplně jiné téma než networking.
Snažím se shromáždit všechny tutoriály a návody, které jsem použil při nastavování, pro případ, že bych musel začít od začátku.