OpenVPN pfSense client verso server - Gestione accessi

jimmi · 2024-01-16T20:33:29+00:00

Buonasera a tutti, mi rifaccio vivo dopo un po' con un dubbio. Il sistema casalingo si basa su hardware fanless con pfsense (collegato in ppoe alla ftth 2.5...

Mrtt

jimmi
Come destinazione devi mettere la classe della VPN se non vuoi che la attraversino completamente, oppure specifichi un indirizzo IP, appartenente alla classe della VPN, che non vuoi sia raggiunto.

jimmi

Mrtt Quindi, l'interfaccia VPNHEL1 ha come indirizzo ip statico 10.1.2.2.
In realtà gli indirizzi IP della VPN a cui faccio accesso sono sulla classe 10.1.1.0/24
Quindi devo mettere come destination questa classe?

Non funziona.... riesco ancora a pingare 10.1.1.1 (host remoto in VPN) dal router 10.10.10.1

Scusate l'ignoranza, ma non è che la classe 10.1.1.0/24 il firewall non la vede in quanto il traffico viene routato tutto attraverso il NAT in uscita sull'interfaccia VPNHEL1 con ip 10.1.2.2?

Guardando gli states l'unica volta che appare l'indirizzo IP della LAN è il caso in cui ho fatto il port forwarding.

Mrtt

jimmi
Scusa, ma il NAT deve essere applicato ai pacchetti che escono sulla WAN, non sulla VPN.
Se facessi source Nat sull'interfaccia VPN avresti sul firewall tutti i pacchetti in transito con sorgente l'IP nattato e non puoi discriminare cosa abilitare o meno

jimmi

Grazie, quindi come dovrei configurarlo?

Mrtt

jimmi
Disabilita la regola

jimmi

Diciamo che ho risolto in questo modo con queste regole avendo cura nel selezionare il gateway della VPN:

Mrtt

jimmi
Non vedo differenze tra mettere il gateway o meno sulle due regole, le VPN_NETS saranno raggiungibili solo tramite VPN e non in altro modo... ma con il NAT cosa hai fatto, lasciato come era?

jimmi

Mrtt Si esatto.

Mrtt

jimmi
Non vedo come, avendo lasciato il NAT verso la VPN e aggiunto un gateway su quelle regole, possa essere cambiato qualcosa...

Feybio

Ciao @jimmi scusa il disturbo ma non so come scriverti in privato, mi interessa molto la tua config TIM 2.5 + pfSense visto che io vorrei realizzare una cosa simile con OPNsense.
Riesci a sfruttare tutta la banda della linea? che caratteristiche ha il tuo pc pfSense? Baremetal o Proxmox?
Scusa delle tante domande e grazie mille

jimmi

Feybio Sì riesco a sfruttare tutta la banda senza problemi e senza portare la CPU a più del 50%.
Sto usando un fanless preso su aliexpress con CPU N5105 e 4x RJ45 i226.
pfSense è in baremetal.
Per ora molto soddisfatto!

Questo è uno speedtest, considera che non ho mai superato i 2150 mbit, ma credo per un problema di saturazione della scatola di derivazione.

https://www.speedtest.net/result/15583268886.png

https://forum.fibra.click/d/41348-hardware-firewall-opnsense-baremetal-o-vm/2

Feybio

Grazie per le info,
io ho un J6412 con 16GB DDR4 e 4x i225-v 2.5Gbe ma ho letto in giro che le i225 non sono un granchè... infatti ho rinunciato a far girare opnsense su proxmox, ho più riscontri positivi in baremetal, sto eseguendo un pò di test con Iperf3.
Tra WAN e LAN su PC widows 10 connesso con scheda a 10Gb arrivo a 2.37Gb/s ma noto che non è costante.
Ho provato anche i vari tunables ma di più non spinge...

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile