pfSense, VLAN & anonine OpenVPN. Problem med routes

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004

pfSense, VLAN & anonine OpenVPN. Problem med routes

Jag kör pfSense som router här hemma, konfigurerat med VLAN för Telias fiber och med några egna "interna" VLAN.
Har även sedan tidigare även ett konfigurerat OpenVPN-interface på routern som ansluter till Anonines OpenVPN-tjänst.

Problemet:
Är att när OpenVPN-tjänsten fungerar som den ska, så tar den över som default route och tvingar all trafik via tunneln.
Tyvärr funkar tjänsten inte alltid som den ska, och när anslutningen ibland går ner så bryts ALL "extern" trafik som går ut/in via routern..
Det stället till det för mig som har en del småservrar & div tjänster utspritt på olika VLAN som jag vill komma åt dygnet runt, vart jag än befinner mig.

Så jag vill helst få Anonine att inte ta över hela routern, utan "hålla sig" till sitt interface så att jag även kan styra vilka vlan jag vill ska gå via openvpn och vilka jag vill ska gå via telias vanliga gateway.

Jag har läst om att lägga till OpenVPN-kommandot "route-nopull", men har inte lyckats få OpenVPN-tjänsten att fungera som den skall med det aktivt...

Jag är tacksam för ALL hjälp som går att få !

/Andreas

Kortat ner och förtydligat texten ytterligare.

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004

Förtydligade lite och kortade ner inlägget, hoppas någon förstår vad jag är ute efter...

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD

Trädvy Permalänk
Medlem
Plats
Töreboda
Registrerad
Aug 2009

Kör själv pfsense med openvpn utan problem, dock utan vlan. Du har inte råkat kryssat i att openvpn-gatewayen ska vara default?

Jag ser att hos mig att en ny route läggs till av openvpn-processen, 0.0.0.0/1. Den pekar på openvpn-gatewayen.
Du kan ju testa att ta bort den så ska det funka som vanligt.

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004
Skrivet av maltenizer:

Kör själv pfsense med openvpn utan problem, dock utan vlan. Du har inte råkat kryssat i att openvpn-gatewayen ska vara default?

Jag ser att hos mig att en ny route läggs till av openvpn-processen, 0.0.0.0/1. Den pekar på openvpn-gatewayen.
Du kan ju testa att ta bort den så ska det funka som vanligt.

Kör du också med Anonine maltenizer?

Jag kör med wan_dhcp som default gateway..
Har du testat att styra om nått IP till annan gateway med fw rules nån gång eller kör du bara alla enheter via openvpn?

Vad händer om tjänsten går ner för dig? Slutar allt att fungera eller går det tillbaka till din oskyddade gateway då?

Vet du hur man kan ändra tillbaka till standard routes?
Dvs ta bort 0.0.0.0/1 ?

/Andreas

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD

Trädvy Permalänk
Medlem
Registrerad
Jan 2007

Jag hade satt upp en egen statisk route med en högre metric än den din OpenVPN skapat, så att när din OpenVPN går ner, ska din egen statiska route ta över. Oklart om pfsensen fattar att den går ner och tar bort openvpn-routen dock.

CCNA

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004
Skrivet av vipers:

Jag hade satt upp en egen statisk route med en högre metric än den din OpenVPN skapat, så att när din OpenVPN går ner, ska din egen statiska route ta över. Oklart om pfsensen fattar att den går ner och tar bort openvpn-routen dock.

Vet inte riktigt hur jag gör det om jag ska vara ärlig, men jag tror du kan ha slagit huvudet på spiken med att pfSense inte fattar att den går ner och tar bort openvpn-routen.

Därför skulle det vara toppen om någon visste hur "route-nopull" kommandot funkade, lägger jag till det så kan nämligen inte anonine pusha sina routes men problemet är ju bara att då funkar ju inte tjänstens gateway heller.

Jag har läst att man behöver styra upp dessa routes manuellt då men jag vet ju inte vilka eller hur det skall göras..

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD

Trädvy Permalänk
Medlem
Plats
Töreboda
Registrerad
Aug 2009
Skrivet av ghaster:

Kör du också med Anonine maltenizer?

Jag kör med wan_dhcp som default gateway..
Har du testat att styra om nått IP till annan gateway med fw rules nån gång eller kör du bara alla enheter via openvpn?

Vad händer om tjänsten går ner för dig? Slutar allt att fungera eller går det tillbaka till din oskyddade gateway då?

Vet du hur man kan ändra tillbaka till standard routes?
Dvs ta bort 0.0.0.0/1 ?

/Andreas

Jag kör med privatevpn som vpn. Jag har också wan_dhcp som standard men styr via regler vilka enheter/portar som ska till vilken gateway.
Om vpngatewayen går ned har jag ställt in att inga nya regler ska autoskapas så trafiken kan smita vidare till wan_dhcp gatewayen. Default är att trasfiken istället går via wan_dhcp.

Du kan ta bort routes med "route delete 0.0.0.0" antingen via ssh eller under command prompt i webbgränssnittet.

Trädvy Permalänk
Medlem
Plats
/bin/bash
Registrerad
Mar 2002
Skrivet av vipers:

Jag hade satt upp en egen statisk route med en högre metric än den din OpenVPN skapat, så att när din OpenVPN går ner, ska din egen statiska route ta över. Oklart om pfsensen fattar att den går ner och tar bort openvpn-routen dock.

Det kommer bara funka om OpenVPN anslutningen går ner och då försvinner ju routen ur tabellen vilket leder till att trafiken skulle gå ut via den andra default routen som redan finns där. God tanke men det funkar inte.

Skrivet av ghaster:

Vet inte riktigt hur jag gör det om jag ska vara ärlig, men jag tror du kan ha slagit huvudet på spiken med att pfSense inte fattar att den går ner och tar bort openvpn-routen.

Därför skulle det vara toppen om någon visste hur "route-nopull" kommandot funkade, lägger jag till det så kan nämligen inte anonine pusha sina routes men problemet är ju bara att då funkar ju inte tjänstens gateway heller.

Jag har läst att man behöver styra upp dessa routes manuellt då men jag vet ju inte vilka eller hur det skall göras..

Om du inte vill default routa ut via Anonine kan du öppna din anonine.ovpn fil och kommentera ut raden med "redirect-gateway def1" med ett #-tecken. Sedan kan du policy-routa den trafik du vill ska gå via anslutningen istället, vilket du gör i brandväggsreglerna där du sätter source eller destination och vilken gateway trafiken skall gå via. Enkelt att testa med en regel som routar 8.8.8.8 över VPN och så traceroutar du från en av dina datorer bakom pfSense brandväggen, då borde trafiken hoppa via VPN istället för den vanliga vägen.

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004
Skrivet av deegan:

Det kommer bara funka om OpenVPN anslutningen går ner och då försvinner ju routen ur tabellen vilket leder till att trafiken skulle gå ut via den andra default routen som redan finns där. God tanke men det funkar inte.

Om du inte vill default routa ut via Anonine kan du öppna din anonine.ovpn fil och kommentera ut raden med "redirect-gateway def1" med ett #-tecken. Sedan kan du policy-routa den trafik du vill ska gå via anslutningen istället, vilket du gör i brandväggsreglerna där du sätter source eller destination och vilken gateway trafiken skall gå via. Enkelt att testa med en regel som routar 8.8.8.8 över VPN och så traceroutar du från en av dina datorer bakom pfSense brandväggen, då borde trafiken hoppa via VPN istället för den vanliga vägen.

Det är precis så jag skulle vilja ha det till att fungera, så att vanliga Wan alltid är standard gateway och att jag får styra upp trafiken som jag själv önskar via VPN.

Jag kör redan idag med policy routing för att styra trafiken, problemet är (som du påpekade ovan) att openvpn anslutningen oftast inte går ner felfritt vilket betyder att dess routes ligger kvar och hindrar då även min vanliga Wan-gateway från att fungera..

Jag sitter nu inte hemma, men jag är 99,99% säker på att "redirect-gateway def1" inte är definierat i klientkonfigurationen för anonine utan på serversidan..

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD

Trädvy Permalänk
Medlem
Plats
/bin/bash
Registrerad
Mar 2002
Skrivet av ghaster:

Det är precis så jag skulle vilja ha det till att fungera, så att vanliga Wan alltid är standard gateway och att jag får styra upp trafiken som jag själv önskar via VPN.

Jag sitter nu inte hemma, men jag är 99,99% säker på att "redirect-gateway def1" inte är definierat i klientkonfigurationen för anonine utan på serversidan..

Ja isåfall är det ju nopull grejjen som gäller, och det läggs till en route men du kommer ju behöva bestämma varje grej som ska routas över det interfacet. Jag vet inte riktigt hur jag ska förklara det men om du kollar routing tabellen efter att du anslutit och nekat anonine att pusha routes till dig så kommer du ha en route för det interfacet som OpenVPN använder, den kommer dit bara genom att anslutningen kommer upp och blir en directly connected för det nätet. Du borde därför kunna styra trafik mot det interfacet. Själv har jag olika routing-tabeller med iproute2 i Linux och slänger helt enkelt in en default route för en tabell som heter "via-vpn" som då är första adressen på det nät som jag blivit tilldelad mig. sedan lägger jag till routes med "ip route add from 192.168.0.10 lookup via-vpn" och badabing-badabom så routas all trafik från 192.168.0.10 via vpn istället för min vanliga anslutning.

I pfSense så gör du helt enkelt regler i listan och sätter en annan gateway, olika tillvägagångsätt men samma resultat.

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004
Skrivet av deegan:

Ja isåfall är det ju nopull grejjen som gäller, och det läggs till en route men du kommer ju behöva bestämma varje grej som ska routas över det interfacet. Jag vet inte riktigt hur jag ska förklara det men om du kollar routing tabellen efter att du anslutit och nekat anonine att pusha routes till dig så kommer du ha en route för det interfacet som OpenVPN använder, den kommer dit bara genom att anslutningen kommer upp och blir en directly connected för det nätet. Du borde därför kunna styra trafik mot det interfacet. Själv har jag olika routing-tabeller med iproute2 i Linux och slänger helt enkelt in en default route för en tabell som heter "via-vpn" som då är första adressen på det nät som jag blivit tilldelad mig. sedan lägger jag till routes med "ip route add from 192.168.0.10 lookup via-vpn" och badabing-badabom så routas all trafik från 192.168.0.10 via vpn istället för min vanliga anslutning.

I pfSense så gör du helt enkelt regler i listan och sätter en annan gateway, olika tillvägagångsätt men samma resultat.

Lyckades till slut få till det med "route-nopull" varianten och nya rules i pfsense, raderade dock alla openvpn relaterade inställningar först och gjorde om allting från scratch.

MEN, ett problem jag nu istället har är att Anonine verkar ha gjort om sin OpenVPN konfiguration, b.la. genom att gå från TAP device bridging till att köra med TUN device och när jag ansluter så får OpenVPN interfacet en 10.10.10.xxx adress, och sedan får varje enhet eller dyndnstjänst på mitt interna nätverk ytterligare en annan 10.10.10.xxx adress.

Därmed går det inte att köra portforward mot openvpn-interfacet längre eftersom anonine inte erbjuder någon tjänst för att binda portar till ett konto.
Tidigare fick interfacet EN tilldelad dynamisk extern (anonym) ip som det gick att portforwarda mot eller koppla till en dynens tjänst om man så ville...

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD

Trädvy Permalänk
Medlem
Plats
gästrikland
Registrerad
Dec 2004

LÖSNING: Jag byter helt enkelt till en ny leverantör: OVPN.se, vilken erbjuder möjligheten att knyta portar till ett konto.

För er som vill ha en guide till ovpn.se på pfSense så har jag lagt upp en guide på pfsense officiella forum:
https://forum.pfsense.org/index.php?topic=84177.0

#1: pfSense 2.1.5 - D2500CC, 4GB, 60GB OCZ Vertex Plus
#2-3: Netgear GS724T v4 (24p) & Ubiquiti - Unifi AP AC
#4: Synology DS1512+, 4GB, 3x2TB + 2x1TB
#5: Mac Mini 6,2 - "Core i7" Quad Core 2.3GHz, 4GB, 1TB HDD
#6: MacBookPro 4,1 - 2.4GHz Intel Core2Duo, 4GB, Intel520 120GB SSD