pfSense 2.1 Client OpenVPN che non utilizza l'interfaccia sintonizzata


0

Ho dei problemi a far funzionare OpenVPN sulla mia scatola pfSense. Il problema è abbastanza strano per me.

Quando ho OpenVPN acceso, solo il mio router è in grado di connettersi a Internet. Dal router posso usare il ping, i collegamenti, ecc. E le connessioni funzionano esattamente come previsto - attraverso la VPN, con l'indirizzo IP assegnato dal mio provider VPN (Proxy.sh, per inciso).

Tuttavia, nessuno dei client sulla rete locale può connettersi a Internet. Ottengo i timeout quando utilizzo ping o un browser web. Posso eseguire il ping del mio router e l'indirizzo IP del gateway.

Quando cambio il gateway predefinito dalla VPN al gateway del mio ISP, tutto funziona esattamente come previsto.

Ecco la tabella di routing ( netstat -r) in modalità VPN e una chiave per esso:

IPv4
Rif. Bandiere destinazioni di destinazione Usa Mtu Netif Expire
0.0.0.0/1 10.XX.X.53 UGS 0 122 1500 ovpnc1 =>
impostazione predefinita 10.XX.X.53 UGS 0 235 1500 ovpnc1   
8.8.8.8 10.XX.X.53 UGHS 0 82 1500 ovpnc1   
10.XX.X.1 / 32 10.11.0.53 UGS 0 0 1500 ovpnc1   
10.XX.X.53 link # 12 UH 0 0 1500 ovpnc1   
10.XX.X.54 link # 12 UHS 0 0 16384 lo0  
ZZ.XX.XXX.0 / 20 link # 1 U 0 83 1500 re0  
ZZ.XX.XXX.XXX link # 1 UHS 0 0 16384 lo0  
127.0.0.1 link # 9 UH 0 12 16384 lo0  
128.0.0.0/1 10.11.0.53 UGS 0 123 1500 ovpnc1   
192.168.1.0/24 link # 11 U 0 1434 1500 ue0  
192.168.1.1 link # 11 UHS 0 0 16384 lo0  
AAAA / 32 ZZ.XX.XXX.1 UGS 0249 1500 re0 

Indirizzi IP

  • 10.XX.X.53/54 - Il mio indirizzo IP / coppia assegnato dal DHCP dal provider VPN
  • ZZ.XX.XXX.XXX - Il mio IP esterno assegnato dal mio ISP
  • Y.Y.Y.Y - L'IP esterno assegnato dal provider VPN

interfacce

  • ovpnc1 - La mia interfaccia client VPN
  • re0 - La mia interfaccia LAN
  • ue0 - La mia interfaccia WAN

Questo sembra essenzialmente quello che mi aspetterei. Il percorso predefinito è tramite il provider VPN. L'indirizzo VPN viene instradato tramite l'indirizzo IP assegnato dall'ISP. Non sono sicuro di cosa sarebbe sbagliato qui.

Quindi, immaginando che si trattasse di un problema con il firewall, ho sostanzialmente provato ad abilitare tutto il traffico in / out. Ciò non sembra porre rimedio al problema.

Anche immaginando che potrebbe trattarsi di un problema di rete del client, ho riavviato i client sulla LAN. Questo non ha aiutato.

Ho anche eseguito route flushe ripristinato manualmente i percorsi.

Quindi sono un po 'perplesso e sarei molto grato per qualsiasi pensiero su quale potrebbe essere il problema.

Risposte:


1

Normalmente, è necessario fornire un'istruzione per inoltrare il traffico IPv4 dalla LAN alla nuova interfaccia fornita dalla VPN, che sia tun0 o tap0.

Sono troppo arrugginito con pf per provare e suggerire come farlo. Con iptables useresti questo comando:

 iptables --table nat --append POSTROUTING --out-interface tap0/tun0 -j MASQUERADE

Spero che ciò fornisca una spinta nella giusta direzione, anche se questa non è una soluzione.


Grazie per il commento. Questi sono esattamente i miei pensieri, ma purtroppo provare le regole NAT manuali non ha ancora alleviato il problema. Apprezzo il suggerimento però.
Brian M. Hunt,

0

Per risolvere questo ho dovuto andare a:

pfSense -> Firewall -> NAT -> In uscita -> Generazione di regole NAT in uscita manuale (AON - NAT in uscita avanzato)

Da lì ho dovuto spostare tutte le mappature OPT1 in alto (cioè sopra le mappature WAN).

Si noti inoltre che:

  1. nelle regole del firewall ho dovuto impostare una regola per tutto il traffico in entrata sulla sottorete LAN per farlo usare il Proxy-Gateway. Assomiglia a questo nell'elenco delle regole di pfSense:
Rete IPv4 TCP LAN * * 80 (HTTP) ProxySHGW nessuna "Sottorete LAN su gateway Proxy.sh"
  1. Ho mantenuto il gateway predefinito come WAN, ma ho dovuto aggiungere il gateway ProxySHGW utilizzato dalla regola precedente.

Spero che ciò aiuti qualcun altro lungo la strada.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.