ここ数週間これに取り組んでいますが、進歩がないようです。
ハードウェア pfsense をインターネット ルーターとしてセットアップしていますが、pfsense 上で実行されている OpenVPN サーバーに接続できないことを除いて、すべて正常に動作します。
pfsense をルーターとして設定する前に、それを古いルーターの背後に配置して、偽の WAN として機能させ、VPN 設定をテストしました。接続できました。ただし、ISP ネットワークで動作させることはできます。
私は次のことを試しました(この順序で)。
- UDP 受信ポート 1195
- UDP 受信ポート 1194
- TCP 受信ポート 1194
- TCP 受信ポート 443
何も機能していないようです - tcpdump はこれらのポート
tcpdump -lnni igb0 port 1194 and src host xxx.76.19.66(接続しているリモート IP)に何も表示しません
pfsense での私の設定は、公式ガイドとウィザードのセットアップに従います。
- サーバーモードはリモートアクセス(SSL/TLS + ユーザー認証)です
- TLSキーの設定
- 証明書のテストとセットアップ
- IPv4 トンネル ネットワーク: 10.0.8.0/24
- IPv4 ローカルネットワーク: 192.168.10.0/24
私のファイアウォールのルール:
サーバーのパブリック IP は、pfsense の WAN ポートで検出された IP とは異なります: 172.18.36.162 - これは ISP 内部のローカル IP です。
さらにトラブルシューティングするにはどうすればいいか、何かアイデアはありますか? ISP に電話しましたが、何も教えてくれません。小規模な ISP なので、意図的に何かをブロックしているかどうかもわかりません。
nmap が伝えている内容は次のとおりです:
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-24 09:34 W. Europe Standard Time
Nmap scan report for 24.347.74.101
Host is up (0.00s latency).
PORT STATE SERVICE
1194/tcp filtered openvpn
Nmap done: 1 IP address (1 host up) scanned in 0.89 seconds
(IPはランダムな数字に置き換えられます)
これは pfsense のパケットキャプチャに表示されるはずですよね?
答え1
遅くなりましたが、ここで回答します。キャリアから割り当てられた IP を見れば一目瞭然です。172.18.36.162
サブネット172.16.0.0はプライベートIPアドレスブロック。
さまざまなレジストリ (ARIN によって管理)。172.16.0.0/12 (172.16.0.0–172.31.255.255) はプライベート ネットワーク用に予約されています (RFC 1918)。
つまり、私のキャリアには内部ネットワーク (およびファイアウォール) があり、すべてが単一のパブリック IP アドレスを介してチャネル化されています。これは CG-NAT (キャリア グレード NAT) と呼ばれます。
このような設定では、キャリアのファイアウォール ルールを変更せずに OpenVPN を動作させることはできません。
私は彼らに電話し、彼らは私にパブリックの静的 IP アドレスを月額 5 ドルで提供すると提案しました。そこからはすべてうまくいきました。