我已經為此工作了幾週了,但似乎沒有任何進展。
我將硬體 pfsense 設定為 Internet 路由器,一切正常,但無法連接到 pfsense 上執行的 OpenVPN 伺服器。
在將 pfsense 設定為路由器之前,我將其放在舊路由器後面,該路由器充當 fake-wan 並測試了我的 VPN 設定 - 我能夠連接。但我可以讓它在我的 ISP 網路中工作。
我已經嘗試過(按此順序):
- UDP 傳入連接埠 1195
- UDP 傳入連接埠 1194
- TCP傳入連接埠1194
- TCP傳入連接埠443
似乎什麼都不起作用 - tcpdump 在這些連接埠上沒有顯示任何內容:(
tcpdump -lnni igb0 port 1194 and src host xxx.76.19.66我正在連接的遠端 IP)
我在 pfsense 上的配置遵循官方指南和嚮導設定:
- 伺服器模式是遠端存取(SSL/TLS + 使用者身份驗證)
- TLS 金鑰設定
- 證書測試和設置
- IPv4隧道網路:10.0.8.0/24
- IPv4 本機網路:192.168.10.0/24
我的防火牆規則:
伺服器的公共 IP 與在 pfsense 的 WAN 連接埠上偵測到的 IP 不同:172.18.36.162 - 這是我在 ISP 內部的本機 IP。
知道如何進一步排除故障嗎?我給 ISP 打電話,但他們沒有告訴我任何資訊。這是一個小型 ISP,我甚至不確定他們是否故意阻止任何內容。
這是 nmap 告訴我的:
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-24 09:34 W. Europe Standard Time
Nmap scan report for 24.347.74.101
Host is up (0.00s latency).
PORT STATE SERVICE
1194/tcp filtered openvpn
Nmap done: 1 IP address (1 host up) scanned in 0.89 seconds
(ip用隨機數字替換)
這應該會出現在 pfsense 的資料包擷取中,對嗎?
答案1
遲到了,但在這裡提供答案。如果您查看運營商為我分配的 IP,很明顯:172.18.36.162
子網路172.16.0.0是子網路的一部分私有IP位址區塊。
各種註冊表(由 ARIN 維護)。 172.16.0.0/12 (172.16.0.0–172.31.255.255) 保留用於專用網路 (RFC 1918)。
這意味著我的運營商有一個內部網路(和防火牆),所有網路都透過一個公用 IP 位址進行傳輸。這稱為 CG-NAT(運營商級 na)。
在這樣的設定中,如果不更改運營商的防火牆規則,OpenVPN 就無法正常運作。
我打電話給他們,他們提出以 5 美元/月的價格為我提供一個公共靜態 IP 位址。從那時起一切都順利了。