나는 이 작업을 몇 주 동안 진행했지만 진전이 없는 것 같습니다.
인터넷 라우터로 하드웨어 pfsense를 설정했는데 pfsense에서 실행되는 OpenVPN 서버에 연결할 수 없다는 점을 제외하면 모든 것이 잘 작동합니다.
pfsense를 라우터로 설정하기 전에 이를 가짜 완(fake-wan) 역할을 하는 이전 라우터 뒤에 놓고 VPN 설정을 테스트하여 연결할 수 있었습니다. 하지만 내 ISP 네트워크에서 작동하도록 할 수는 있습니다.
나는 (이 순서대로) 다음을 시도했다:
- UDP 수신 포트 1195
- UDP 수신 포트 1194
- TCP 수신 포트 1194
- TCP 수신 포트 443
아무 것도 작동하지 않는 것 같습니다. tcpdump가 다음 포트에 아무것도 표시하지 않습니다.
tcpdump -lnni igb0 port 1194 and src host xxx.76.19.66(연결 중인 원격 IP)
pfsense의 내 구성은 공식 가이드 및 마법사 설정을 따릅니다.
- 서버 모드는 원격 액세스(SSL/TLS + 사용자 인증)입니다.
- TLS 키 설정
- 테스트된 인증서 및 설정
- IPv4 터널 네트워크: 10.0.8.0/24
- IPv4 로컬 네트워크: 192.168.10.0/24
내 방화벽 규칙:
서버의 공용 IP는 pfsense의 WAN 포트에서 감지된 IP(172.18.36.162)와 다릅니다. 이는 ISP 내부의 로컬 IP입니다.
추가로 문제를 해결하는 방법을 아시나요? ISP에 전화했지만 아무 말도 하지 않습니다. 소규모 ISP이고 의도적으로 무엇이든 차단하고 있는지조차 확신할 수 없습니다.
nmap이 나에게 말하는 내용은 다음과 같습니다.
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-24 09:34 W. Europe Standard Time
Nmap scan report for 24.347.74.101
Host is up (0.00s latency).
PORT STATE SERVICE
1194/tcp filtered openvpn
Nmap done: 1 IP address (1 host up) scanned in 0.89 seconds
(IP는 임의의 숫자로 대체됨)
이것은 pfsense의 패킷 캡처에 표시되어야 합니다. 그렇죠?
답변1
늦었지만 여기에 답변을 드리겠습니다. 이동통신사에서 할당한 IP를 보면 분명합니다.172.18.36.162
서브넷 172.16.0.0은개인 IP 주소 블록.
다양한 레지스트리(ARIN에서 관리). 172.16.0.0/12(172.16.0.0~172.31.255.255)는 개인 네트워크용으로 예약되어 있습니다(RFC 1918).
이는 내 이동통신사가 단일 공용 IP 주소를 통해 채널링되는 내부 네트워크(및 방화벽)를 보유하고 있음을 의미합니다. 이를 CG-NAT(캐리어급 NAT)라고 합니다.
이러한 설정에서는 통신사의 방화벽 규칙을 변경하지 않고는 OpenVPN을 작동시킬 수 없습니다.
나는 그들에게 전화를 걸었고 그들은 나에게 월 5달러의 공개 고정 IP 주소를 제공하겠다고 제안했습니다. 거기부터 모든 것이 작동했습니다.