Freenas 9.3. Установка и настройка OpenVPN

[paramon13]

Всем доброго времени суток. Остро возник вопрос с организацией VPN сети. Спустя несколько дней безуспешных попыток реализовать VPN, я понял что без сторонней помощи не обойдусь. Ниже описаны выполненные мною действия для построения сети. Есть вопросы. Нужна помощь.

 

[paramon13]

Установлена версия Freenas 9.3. В разделе "Jails" создал jail с именем openvpn. Присвоил ему внутренний IP 192.168.1.52.
Теперь, когда у меня создан jail с именем openvpn начинаю работать с клиентом Putty через SSH.
Авторизировался под root.
Ввожу:

# jls

Мой openvpn под номером 6.
Ввожу:

# jexec 6 csh

Устанавливаю пакет Openvpn.
Ввожу:

# pkg install openvpn

Перемещаюсь в корень jail и создаю папку в которой буду собирать конфигурацию.
Ввожу:

# cd /
# mkdir openvpn
# cd openvpn

 

[paramon13]

Скопировал папку easy-rsa в подключенную через SSH папку openvpn

# cp -r /usr/local/share/easy-rsa /openvpn/
# cd easy-rsa

 

[paramon13]

Редактирую файл VARS чтобы не повторяться с ответами на вопросы
Ввожу:

# vi vars

 

[paramon13]

Перехожу в конец файла и присваиваю переменным значения

KEY_COUNTRY=UA
KEY_PROVINCE=Kiev
KEY_CITY=Kiev
KEY_ORG=Home
KEY_EMAIL=my_mail@mail.ua
KEY_CN=1x
KEY_NAME=2x
KEY_OU=home

 

[paramon13]

Выполняю генерацию ключей.
Ввожу

# sh
# . vars
# ./clean-all
# ./build-ca
# ./build-key-server FREENAS
# ./build-dh
# openvpn --genkey --secret keys/ta.key

 

[paramon13]

Создаю ключ
Ввожу:

# ./build-key NAME

 

[paramon13]

Создаю файл конфигурации "server.conf".
Ввожу:

# vi server.conf

 

[paramon13]

Набиваю строки.
Ввожу:

local 192.168.1.52
port 1194
proto udp
dev tun
ca /openvpn/keys/ca.crt
cert /openvpn/keys/freenas.crt
key /openvpn/keys/freenas.key
dh /openvpn/keys/dh1024.pem
server 192.168.1.155 255.255.255.0 (не уверен в правильности)
push “redirect-gateway”
push "route 192.168.1.1 255.255.255.0" (не уверен в правильности)
push "dhcp-option DNS 8.8.8.8"
client-to-client
ifconfig-pool-persist /openvpn/ipp.txt
tls-auth /openvpn/keys/ta.key 0
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
keepalive 10 120
status /openvpn/openvpn-status.log
log-append /openvpn/openvpn.log
verb 3
mute 20

Роутер под адресом 192.168.1.1. Маска 255.255.255.0. Роутер работает по DHCP. DNS 8.8.8.8. Переадресацию порта 1194 выполнил на 192.168.1.52 (jail)

 

[paramon13]

Проверяю настройки сети.
Ввожу:

# Ifconfig

Имя интерфейса epair0b

 

[paramon13]

Редактирую ipfw.rules.
Вожу:

# vi /usr/local/etc/ipfw.rules

 

[paramon13]

Вношу правки в файле

ipfw -q -f flush
ipfw -q nat 1 config if epair0b
ipfw -q add nat 1 all from 192.168.1.1/24 to any out via epair0b (не уверен правильно ли "192.168.1.1/24"?)
ipfw -q add nat 1 all from any to any in via epair0b

 

[paramon13]

Редактирую файл /etc/rc.conf.
Вставляю:
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/openvpn/server.conf"
cloned_interfaces="tun"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.rules"

Перезагрузил jail через интерфейс Freenas

 

[paramon13]

Настройка клиента

Копирую на компьютер (Windows 7)

ca.crt
ta.key
NAME.crt
NAME.key

 

[paramon13]

Качаю и устанавливаю программу OpenVPN 2.3.6 x64
Создаю файл с данными client.ovpn:

client
dev tun
dev-node MyTap
proto udp
remote xx.xx.xx.xx 1194
remote-random
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert denval.crt
key denval.key
tls-auth ta.key 1
comp-lzo
verb 3
mute 20

 

[paramon13]

Запустил OpenVPN 2.3.6.
И вижу следующее...

 

[paramon13]

В результате подключение не состоялось. Долго играюсь с подстановками IP адресов, может не до конца понимая какой именно нужно вставить. В файле конфигурации клиента убирал dev-node MyTap поскольку не уверен в его необходимости. Пробовал удалять / добавлять строки в конф. файлы клиента и сервера. Все попытки оказалась безуспешными.
Уважаемые специалисты! Посоветуйте как решить проблему подключения.

 

[Sugaroverdose]

1. Сервер не знает, что он - сервер, нужно указать (server точно так-же как и в клиентском конфиге client).
2. Там где "server 192.168.1.155 255.255.255.0" должна быть указана подсеть для соединений openvpn(любая не используемая, прим. "server 192.168.255.0 255.255.255.0"), dev tun - это layer 3 сеть которая маршрутизируется в реальную сеть, а не бриджуется
3. В push route должна быть подсеть(192.168.1.0 255.255.255.0), а не ip адрес с маской.
4. Тестировать есть смысл без redirect-gateway и push route, хотя-бы до момента пока соединение не будет создано
5. Рекомендуется конкретизировать циферы аутентификации и шифрования (прим. cipher AES-256-CBC и auth SHA1) как на клиенте так и на сервере

 

[paramon13]

Большое спасибо за рекомендацию. Извините за глупые вопросы..
Вы писали: - "2. Там где "server 192.168.1.155 255.255.255.0" должна быть указана подсеть для соединений openvpn(любая не используемая, прим. "server 192.168.255.0 255.255.255.0"), dev tun - это layer 3 сеть которая маршрутизируется в реальную сеть, а не бриджуется"
Моя домашняя сеть из нескольких wi-fi устройств и пары проводных подключений осуществляется в один wi-fi роутер, то как будет правильно задать параметры "server"? Роутер имеет адрес 192.168.1.1, остальные устройства начинаются с адреса 192.168.1.100... правильно ли я понимаю что "server 192.168.255.0 255.255.255.0" можно смело установить и оно должно работать?

 

[paramon13]

Выполнил все как Вы посоветовали. Пока еще подключение не состоялось и присутствуют ошибки. Посоветуйте как решить. Скриншот ниже.