[Løst] pfsense og VPN: hvordan router jeg noen maskiner utenom?

[hotsauce81]

Tjena!

 

Jeg har en egen maskin som kjører pfsense. Den er satt opp slik at all trafikk går igjennom en OpenVPN-tunell til nederland ettsted.

 

Cluet er at jeg har noen dupeditter og greier som ikke skulle vært med i dette oppsettet. (feks en Sonos-boks og noe annet)

 

Siden jeg ikke er noen super nettverksdude så fulgte jeg en guide på hvordan man skal sette opp dette, men jeg må rett og slett innse at det er litt over min viten.

 

Jeg har forsøkt å google dette, men jeg finner ikke den magiske siden som sier "slik gjør du det!"

 

Jeg henvender meg derfor til dere og spør om det er noen som kan hjelpe meg å sette opp pfsende på en slik måte jeg ønsker. Kompensasjon for bryderiet kan diskuteres :-)

 

Endret 18. august 2013 av hotsauce81

[Chris93]

Jeg har selv snust på det her, og så selv løsningen på dette etter hvordan reglene for vpn var.

Uansett, du må lage en regel som redirecter all trafikk fra de ønskede enheter til wan interfacet ditt, og ikke det virtuelle openvpn interfacet. Eventuelt en regel som lar de enhetene omgå regelen som redirecter alt gjennom openvpn.

 

Jeg er ikke hjemme nå og kan derfor ikke ta en kikk på min egen boks, men jeg kan gjøre det senere i kveld.

[hotsauce81]

Hei Chris. Jeg ser gjerne at du hjelper meg, for jeg lager regler og gjør ditt og datt, men det hjelper ikke. Det er veldig frustrende!

[Gjest]

Legg gjerne svaret igjen her i tråden som en guide!

[Chris93]

Da var vi hjemme. Jeg vil også nevne som skrevet tidligere at jeg aldri har satt opp openvpn, og det er nok forskjellige måter å gjøre det på, men jeg antar dette skal fungere.

Du har vel en regel som beskrevet her under section 2, step 6? Hvis ikke så vil jeg gjerne se guiden du har brukt.

 

Det du gjør er at du lager en helt lik regel, men under gateway velger du default eller WAN og under source så velger du single host or alias og skriver inn IPen til enhetene dine. Du kan også velge network, men da bør du ha litt kunnskaper om hvordan subentting fungerer. Det enkleste er å lage en ny regel per enhet. Det som er veldig viktig når du gjør dette er at brannmuren sjekker traffikk regel etter regel, fra toppen på listen. Så de nye reglene du legger til må derfor være over VPN regelen din Det er knapper på siden av reglene som lar deg velge plassering.

 

Videre så bør du ha fast IP på enhetene dine, gjerne låst til macadresse på DHCP serveren.

Dette gjør du ved å gå inn på status, DHCP leases og velger add a static(...) på de enhetene du øsnker skal unngå VPN.

 

Jeg er ikke noe guidemenneske, så jeg tar forebehold om dårlige forklaringer

[hotsauce81]

Jeg har gått igjennom guiden du viste til og selv om jeg ikke er 100% sikker så virker det som det er den guiden jeg har fulgt.

 

Dessverre så får jeg det ikek til å funke ved å gjøre det du sier. Jeg forstår mekanikken og logikken bak det, men det blir ingen endring.

 

Det som forunder meg litt er på instillingene til VPN-tilkoblingen så står det "interface: WAN" jeg prøvde å sette denne til "VPN" men da gikk alt ad dundas.

 

Jeg setter stor pris på om du kunen ha hjulpet meg litt til, kanskje vi kunen sett på det via TeamViewer?

[Chris93]

Jammen da må jeg innstallere det, jo!

Men å få noen screenshots av de relevante reglene i både brannmur og NAT. Sensurer dersom du føler for det, men jeg vil gjerne se dem.

[hotsauce81]

Hei igjen, du må ikke det. Du kan velge å kjøre det uten installering :-)

 

 

Ok: jeg skal ta noen screens:

 

FW: NAT

FW: RULES:

 

FW RULES VPN:

 

Interface assign:

 

Interface astrill-vpn:

 

Interface WAN:

 

System gateway:

 

VPN client 1/2:

<a href='http://bildr.no/view/TlJBcFBY'>http://bildr.no/view/TlJBcFBY</a>

VPN Client 2/2:

 

Slik, er det noe mer jeg skal slenge opp så si i fra :-)

[Chris93]

Jeg har sett på flere guides nå, og de er alle like, så du har nok fulgt en slik guide.

Det er godt mulig jeg må gi opp her snart, men vi får nå ta et par kikker til.

 

Kan du gå innpå lan pass og test bypass reglene og hvise akkurat hva som står der?

Er du 100% sikker på at enhetern du tester med er tildelt 10.0.0.28. Det skal heller ikke være nødvendig å sette WAN address som destination på bypass rule

 

 

 

http://forum.pfsense.org/index.php?topic=58630.0

Etter som en admin på pfsenseforumet sier det samme som meg, så er det mulig det er noe annet som ødelgger for deg, men du kan prøve å fjerne antilockout rule eller sette bypass over den.

Endret 19. august 2013 av Chris93

[hotsauce81]

jeg har utforsket litt til:

Jeg kan fjerne alle LAN bypass-regler og kun ha en:

 

Og på VPN-tilkoblingen har jeg valgt VPN som interface:

 

Allikevel gir den meg min VPN-ip som "standard" addresse!

 

Jeg skjønner det ikke!

Det er akkurat som den tvinger all trafikk igjennom VPN, selv om jeg har valgt at den ikek skal "koble seg på" WAN-interfacen?

[Chris93]

Altså at bypass regelen ikke fungerer og 10.0.0.28 sendes gjennom VPN?

Dessuten roter du litt nå. VPN-klienten din skal gjennom WAN. VPN interfacet er kun virtuelt og er der for at traffikk kan sendes gjennom VPN-klienten din før det sendes ut gjennom WAN interfacet, hvis det ga mening?

 

Du kan selvsagt kun ha en regel for bypass, men da må du velge network som source, la alle klienter ha en IP innen for en IPrange som du velger selv og be brannmuren la alt som sendes fra det subnettet slippe forbi VPN. Dette krever at du har kunnskap om hvordan subnetting fungerer og at du har tungen bent i munnen, fordi det blir for kluss dersom du ikke er helt stø.

 

Men igjen, er absolutt helt sikker på at enhetene du vil bypasse har 10.0.0.28 som IP, og at de er låst til den IPen? Dette har du nemlig ikke svart på?

[kjetilkl]

Har ikke kikket gjennom alt, men på regelen som skal sende trafikk fra .28 må du iallefall ha ANY som destinasjon, og ikke WAN-ip - ellers gjelder den bare ting som sendes ut til din offisielle IP (uten VPN) (altså ingenting) - Ellers ser det riktig ut.

 

(Husk at WAN er din "ekte" offisielle IP, et alias for et HW-interface, mens VPN er en tjeneste som ligger oppå denne og sender spesifisert trafikk ut via sitt endepunkt)

[hotsauce81]

Hei Chris:

 

Ja, jeg er sikker på det, Jeg har bundet MAC_addressen til ip i DHCP-serveren :-)

 

Ok, jeg forstår nå:

WAN er WAN, mens VPN-interfacet går igjennom WAN.

 

Hvorfor er det da slikt at jeg setter opp en regel på LAN som sier at trafikk fra en gitt maskin/enhet skal gå igjennom WAN-interfacet... så går den fremdeles igjennom VPN?

 

Gitt at jeg resetter til instillingene jeg har hatt hvor alt går via VPN, kan noen fortelle meg riktige regler å sette opp slik at jeg i alle fall får en device utenom VPN? Så kan jeg heller sette opp et alias med flere :-)

[kjetilkl]

WAN er WAN, mens VPN-interfacet går igjennom WAN.

 

Hvorfor er det da slikt at jeg setter opp en regel på LAN som sier at trafikk fra en gitt maskin/enhet skal gå igjennom WAN-interfacet... så går den fremdeles igjennom VPN?

 

Men har du gjort det? Ikke i følge noen av skjermbildene du har postet?

 

Isåfall skulle det sett slik ut:

 

(Regner med at * = Any i fw'en din)

[hotsauce81]

Jeg takker så mye for den innsatsen dere viser her, virkelig :-)

 

Her har jeg et oversiktsbilde:

 

Som dere ser så har jeg lagt opp regler på Firewall: Rules - LAN

 

Og som dere ser så får jeg samme IP på begge maskinene (10.0.0.2 og 10.0.0.28)

[Chris93]

Hvorfor er det da slikt at jeg setter opp en regel på LAN som sier at trafikk fra en gitt maskin/enhet skal gå igjennom WAN-interfacet... så går den fremdeles igjennom VPN?

 

Den går ikke igjennom VPN dersom den går igjennom WAN. Det må igjennom VPN-interfacet ditt for at det skal gå gjennom VPN.

Det som skjer hos deg er jo at av en eller annen grunn så blir byass regelen din, som er riktig satt opp, omgått. Prøv å sette bypass som øverste regel, trykk apply changes og restart brannmuren.

 

 

* = any

[hotsauce81]

Jeg fant det ut!

Herre jemini, det var jo rett... Grunnen til at jeg ikke så det er jo at jeg har aktivert squid så den cacher jo websider. Tusen takk for all hjelp Chriss!

---

EDIT: Noen IP-websider sier jeg har greid å bypasse VPN på maskinen jeg sitter på , andre ikke. Orker ikke mere av dette i dag!

Endret 19. august 2013 av hotsauce81

[Chris93]

Squid for fader

Jaja, slikt som det her er jo bare artig.

Endret 19. august 2013 av Chris93

[hotsauce81]

God morgen.

Det var altså Squid som lurte meg! For ordens skyld så limer jeg inn en oversikt over reglene nå. Som dere ser har jeg deaktivert den standard-regelen for lockout:

[Chris93]

Setter du den som løst nå, så tror jeg vi er helt ferdig og fremtidige googlere kan se at det ble løst ^^