pfSense - alla klienter tappar WAN när VPN dör

Permalänk
Medlem

pfSense - alla klienter tappar WAN när VPN dör

Hej!

Jag lider som rubriken indikerar av att när VPN (open vpn) går ner så tappar alla klienter WAN-kontakt. Detta är mycket frustrerande då klienten emellanåt går ner och om jag inte är hemma vid tillfället blir min distansstuderande fru strandsatt. Sen installationsdagen petar pfSense in alla klienter under VPN-paraplyt, såvida jag inte specifikt sätter dem i aliaset "aldrig VPN". Ovanpå detta har jag även ett alias för killswitch-klienter, NAS och Squid, som genom taggning av paket ska kunna hållas från WAN om VPN dör.

Som första steg skulle jag vilja ändra så att klienter inte default tar VPN interfacet. Någon som skulle kunna hjälpa mig med det?

Permalänk

Jag fattar faktiskt ingenting av vad du beskriver, mer utförligt skulle behövas. Sitter alla dina LAN klienter alltid på VPN eller vad menar du? Och i sådant fall varför? Hur har du kollat satt upp din openVPN server på Pfsense? Jag kör pfsense själv har en uptime på 2 år och aldrig haft problem utan bara gått ner när jag patchar

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Permalänk
Medlem

För att inte ta VPN som default interface så skapa dessa firewall-regler under LAN:

Överst;
1. Source = Alias eller specifikt ip på dom enheter du vill ha genom vpn
2. Destination = Any
3. Protocol = Any
4. Gateway (under advanced) = VPN interface

Under ovanstående regel;
1. Source = Any
2. Destination = Any
3. Protocol = Any
4. Gateway = WAN interface

Jag skulle nog också lägga in en route-nopull under custom settings på dina OpenVPN inställningar.

Permalänk
Medlem
Skrivet av tudz:

För att inte ta VPN som default interface så skapa dessa firewall-regler under LAN:

Överst;
1. Source = Alias eller specifikt ip på dom enheter du vill ha genom vpn
2. Destination = Any
3. Protocol = Any
4. Gateway (under advanced) = VPN interface

Under ovanstående regel;
1. Source = Any
2. Destination = Any
3. Protocol = Any
4. Gateway = WAN interface

Jag skulle nog också lägga in en route-nopull under custom settings på dina OpenVPN inställningar.

Tack för ett väldigt detaljerat och bra svar! Jag ser att jag faktiskt gjort tvärtom. Testar det på en gång.

Vad gäller route-nopull, är det så enkelt som att ta ny rad och skriva in route-nopull?

Permalänk
Medlem

@Xerial: Stämmer! Då säger den till din pfSense låda att INTE använda VPN som default, vilket gör min andra regel poänglös iofs.

Permalänk
Medlem

Sätt upp en Gateway group som du sätter en ordning på.

https://doc.pfsense.org/index.php/Multi-WAN

Skapa ett Interface av tunneln..

Lägg den i en Grupp tillsammans med WAN anslutningen och gör då din WAN till Tier 2

Permalänk
Medlem
Skrivet av tudz:

@Xerial: Stämmer! Då säger den till din pfSense låda att INTE använda VPN som default, vilket gör min andra regel poänglös iofs.

Skrivet av Hansar:

Sätt upp en Gateway group som du sätter en ordning på.

https://doc.pfsense.org/index.php/Multi-WAN

Skapa ett Interface av tunneln..

Lägg den i en Grupp tillsammans med WAN anslutningen och gör då din WAN till Tier 2

Det verkar fungera! Vet ni om jag, för att simulera att VPN går ner, bara behöver koppla ned via pfSense GUI eller om jag behöver göra något annat?

En sak jag märkte förresten var att utan route-nopull fick jag DNS-läckor som till synes inte gick att motverka. Så jag satte tillbaka det och körde med zin105s regelordning i brandväggen.

Jag har ytterligare ett problem som jag inte tror har med detta att göra men som jag tänkte dela med mig för den som är intresserad. Trots att jag har en regel som specifikt säger att min PLEX-server ska använda sig av den gateway som OpenVPN kör igenom så gör den inte det. Det märkliga är att oavsett vilken tjänst jag använder för att kolla WAN IP på PLEX servern så får jag svar att det är VPN IP't. Så vad är problemet? Här kommer det kluriga, den går bara att nå via min ISP's WAN och tittar jag under Remote Access i PLEX-GUI't står det att serverns publika IP är ISP'ns. Mycket märkligt... Jag har inte gjort något här (det fungerade innan) så gissa om jag är förvånad. Är det något med att just porten (32400) ignorerar min regel och går via WAN?

Bild på mina portar

Bild på LAN-regler i FW

Permalänk
Inaktiv

Har du en bild på hur du segmenterat dina nät också? Kanske en bild på hur din NAT ser ut?

Permalänk
Medlem

Absolut! Säg till om du behöver mer än nedanstående.

Permalänk
Medlem
Skrivet av studiox_swe:

Har du en bild på hur du segmenterat dina nät också? Kanske en bild på hur din NAT ser ut?

Om jag kopplar upp mot PLEX (utan IP via appen) så visar den att taget IP är från VPN men kort därefter ändras det till Bahnhofs IP. Som om det inte lyckas hålla i det.. Några idéer?

Permalänk
Medlem

@Xerial: Har du provat att sätta gateway som VPN på port forwarding? Just nu står det en *. Värt ett försök. Lägg även regeln längst upp.

Jag ser att under Firewall > NAT så har du portforwardat till WAN ADRESS som destination adress, det ska vara OPT1 Adress. Som det är nu tror jag att du tvingar ut 32400 genom WAN.

Permalänk
Medlem
Skrivet av tudz:

@Xerial: Har du provat att sätta gateway som VPN på port forwarding? Just nu står det en *. Värt ett försök. Lägg även regeln längst upp.

Jag ser att under Firewall > NAT så har du portforwardat till WAN ADRESS som destination adress, det ska vara OPT1 Adress. Som det är nu tror jag att du tvingar ut 32400 genom WAN.

Hmm.. Var under port forwarding kan jag sätta gateway som VPN på portforwarding? Jag hittar inte det stället.

Permalänk
Medlem

@Xerial:

1. Firewall > NAT > Port Forward > Din Plex regel > Ändra Destination: WAN adress till OPT1 adress

2. Firewall > Rules > WAN > Plex regel > Display advanced > Gateway: VPN

Permalänk
Medlem
Skrivet av tudz:

@Xerial:

1. Firewall > NAT > Port Forward > Din Plex regel > Ändra Destination: WAN adress till OPT1 adress

2. Firewall > Rules > WAN > Plex regel > Display advanced > Gateway: VPN

Listade ut detta men det fungerar ändå inte.

https://gyazo.com/1cf62591b3feb4d6ba8e606d6facdd18
https://gyazo.com/2df81ad45df25bd46ef58089b4a12923

Permalänk
Medlem

@Xerial: Jag har inga förslag kvar nu egentligen. Har själv kört pfSense på liknande vis med VMs som specifikt blev tunnlade genom VPN utan problem. Nådde dom externt via mina VPNs IP. Körde då igenom OVPN med deras extratjänst som ger dig en statisk IP-adress som är helöppen.

Permalänk
Medlem

@Xerial: Använder du DNS Forwarder eller DNS Resolver i pfsense? Om dina VPN-klienters DNS skickas genom WAN blir det ju galet. Jag har en liknande setup med delar av nätet via VPN och allt annat via WAN.
Jag använder DNS Resolver för det "vanliga" och extern DNS för VPN-klienterna. På LAN har jag en regel som blockerar port 53 (DNS) för VPN-klienterna till pfsense och har lagt in extern DNS i "Static DHCP lease" för VPN-klienterna. Sen har jag en regel som den zin105 tipsade om.
När det gäller port-forwardingen till Plex-burken m.fl. så får du lägga den på OPT1-interfacet istället för WAN. Utgående NAT kör jag hybrid mode och har endast lagt till två regler ut med VPN-klienterna som source. Det finns en bra guide, sök på "Route part of your LAN via TorGuard or PIA".

Min VPN-leverantör tillåter 5 anslutningar samtidigt. Jag har lagt in två i pfsense och lagt dem i en gatewaygrupp. På så vis har jag alltid en i "reserv".

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Medlem
Skrivet av Plattelöparn:

@Xerial: Använder du DNS Forwarder eller DNS Resolver i pfsense? Om dina VPN-klienters DNS skickas genom WAN blir det ju galet. Jag har en liknande setup med delar av nätet via VPN och allt annat via WAN.
Jag använder DNS Resolver för det "vanliga" och extern DNS för VPN-klienterna. På LAN har jag en regel som blockerar port 53 (DNS) för VPN-klienterna till pfsense och har lagt in extern DNS i "Static DHCP lease" för VPN-klienterna. Sen har jag en regel som den zin105 tipsade om.
När det gäller port-forwardingen till Plex-burken m.fl. så får du lägga den på OPT1-interfacet istället för WAN. Utgående NAT kör jag hybrid mode och har endast lagt till två regler ut med VPN-klienterna som source. Det finns en bra guide, sök på "Route part of your LAN via TorGuard or PIA".

Min VPN-leverantör tillåter 5 anslutningar samtidigt. Jag har lagt in två i pfsense och lagt dem i en gatewaygrupp. På så vis har jag alltid en i "reserv".

Stort tack! Har börjat ögna guiden då ungen sover och planerar göra en helhjärtad insats i helgen. Jag tror att detta kan vara amledningen till att min VPN dyker så ofta. Tjänsten står som up men ingenting funkar, inte ens WAN för icke-VPN klienter.

Skulle du kunna berätta lite mer varför du konfat två VPN-klienter? Samma leverantör men två servrar för fallback ifall en går ner?

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av Xerial:

Skulle du kunna berätta lite mer varför du konfat två VPN-klienter? Samma leverantör men två servrar för fallback ifall en går ner?

En anledning är redundans, en annan är prestanda. OpenVPN i pfsense är entrådigt, så om man kör flera instanser utnyttjar man fler CPU-kärnor och får mer fart i VPN-anslutningen.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Medlem
Skrivet av Plattelöparn:

En anledning är redundans, en annan är prestanda. OpenVPN i pfsense är entrådigt, så om man kör flera instanser utnyttjar man fler CPU-kärnor och får mer fart i VPN-anslutningen.

Nu har jag gått igenom hans guide ett par gånger och försökt kopiera hans konfiguration så gott det går. Mitt problem nu är att jag kommer ut via VPN men något verkar strula med DNS för bara vissa sidor nås. Jag har blockat 53 för VPN-klienter och satt Ovpns DNS på deras static mappings och ändrat så att DNS Resolver endast körs på LAN och Localhost samt ut genom WAN.

För ICKE-VPN-klienter verkar det fungera...

Tacksam för hjälp!

img host

Permalänk
Medlem

@Xerial: På andra LAN-regeln ("Block DNS Resolver Access") så ska du ha destination "LAN Address".
Om jag fattat det rätt så vill du ha PLEX-burken via OPT1? Då får du sätta port-forward till PLEX på OPT1-interfacet och inte på WAN som visas på dina bilder.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Medlem
Skrivet av Plattelöparn:

@Xerial: På andra LAN-regeln ("Block DNS Resolver Access") så ska du ha destination "LAN Address".
Om jag fattat det rätt så vill du ha PLEX-burken via OPT1? Då får du sätta port-forward till PLEX på OPT1-interfacet och inte på WAN som visas på dina bilder.

Tack! Det löste problemet! Kör nu inspirerat av dig två klienter open vpn med load balance och failover. Fortfarande inte lyckats få ut plex över vpn dock. Har stämt möte med vpn-leverantören så hoppas jag får ordning på det då!

Skickades från m.sweclockers.com

Permalänk
Medlem

OVPN kunde tyvärr inte heller få till portöppning så att PLEX kommer ut via VPN. Nästa steg är att försöka få hjälp från pfSense-forumet.