Netgate SG-1000 microFirewall

Author Topic: openvpn bahnhof  (Read 5522 times)

0 Members and 1 Guest are viewing this topic.

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #15 on: March 06, 2017, 05:24:25 am »
Jag fick igång mitt integrity ganska kvickt och jag kan titta på dina bilder vid tillfälle så att du kan få igång ditt också. Däremot sade jag upp mitt efter några dagars testande p.g.a. dålig hastighet och att integrity inte kör några egna DNS'er. Valde att köra med OVPN istället men konfigurationen är densamma för OpenVPN-klienten.

Man kan också fundera på hur man väljer vilken trafik som ska gå via OpenVPN. Allt, specifika VLAN, trafik på specifika nätverksportar/interfaces eller specifika IPs.

Det hade vart fantastiskt om du kunde göra det! Det är säkert nått enkelt jag missat.
Jag har även funderat på OVPN istället men jag gillar tanken att Bahnhof ägen all utrustning, de har ju en historia av att vara lite odrägliga när de sätter den sidan till :)
Men blir det för stort tapp i hastighet så byts det.

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #16 on: March 06, 2017, 07:44:49 am »
Vid första snabba kontrollen ser jag två grejor som är fel.

1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).

Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #17 on: March 06, 2017, 07:52:19 am »
Vi får också titta lite på dina brandväggsregler. Du måste se till att rätt trafik kommer till rätt gateway.

Vill du att all trafik i hela huset går via Integrity eller har du delat upp ditt nätverk på något vis?

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #18 on: March 06, 2017, 08:02:17 am »
Vid första snabba kontrollen ser jag två grejor som är fel.

1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).

Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.

Ok, jag var lite osäker på hur det funkade så jag fixar det direkt när jag kommer hem.

När det kommer till brandväggsregler så är jag fortfarande lite osäker.
Jag har en Asus RT-n66u med DD-WRT som jag satt upp till att skapa två Vlan, ett till hemmet och ett till ett gästhus.
Klarar min hårdvara av att leda all trafik via Integrity så är det lika bra, jag kan ju sedan undanta vissa enheter om jag skulle vilja det.
Kanske är det lika bra att skapa två anslutningar och sedan välja vad som skall gå via vad?

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #19 on: March 06, 2017, 08:07:49 am »
Ok, jag var lite osäker på hur det funkade så jag fixar det direkt när jag kommer hem.

När det kommer till brandväggsregler så är jag fortfarande lite osäker.
Jag har en Asus RT-n66u med DD-WRT som jag satt upp till att skapa två Vlan, ett till hemmet och ett till ett gästhus.
Klarar min hårdvara av att leda all trafik via Integrity så är det lika bra, jag kan ju sedan undanta vissa enheter om jag skulle vilja det.
Kanske är det lika bra att skapa två anslutningar och sedan välja vad som skall gå via vad?

Steg ett är att få igång klienten. Sen kan du fundera på hur du vill skicka trafiken. Jag valde att ha ett separat VLAN för trafiken jag vill skicka via OpenVPN då det blev smidigare för mig. Fördelen med den lösningen är att det blir enklare att köra med specifika DNSer då man kan ange det för varje VLAN (innan gjorde jag det bara för varje klient med specifik IP).

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #20 on: March 06, 2017, 08:18:40 am »
Ok, det låter ju vettigt.

Om det hjälper så ser det nu ut så här:
Direkt efter mediaboxen, eller vad den nu kallas sitter ovan nämnda router med två Vlan. En till varje "bostad".
Utgång 1-3 ligger på Vlan1 vilket täcker in två accesspunker och en PS4a
Utgång 4 sköter Vlan 2 som går till gästhuset där en accessrunkt finns.

Tanken är att sätta Sensen mellan mediaboxen och Asusroutern och sedan ge åtkomst till Sensen via Vlan1 så jag slipper bryta all nätåtkomst för att göra justeringar.

Men som du sa, först få det att fungera.

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #21 on: March 06, 2017, 08:39:33 am »
Så du låter sen pfSense sköta routing och har DDWRT som en "smart switch" för att tagga dina VLAN?

Så gör jag också i princip. pfSense som router, en större smart switch efter det och sist DDWRT som "smarta" accesspunkter utan routing som bara taggar olika VLAN på olika SSIDs/portar.

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #22 on: March 06, 2017, 09:04:41 am »
Så du låter sen pfSense sköta routing och har DDWRT som en "smart switch" för att tagga dina VLAN?

Japp, det är tanken!

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #23 on: March 06, 2017, 09:26:01 am »
Vid första snabba kontrollen ser jag två grejor som är fel.

1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).

Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.

CA bytt till none (username and/or password required)
och hela customrutan är raderad, BÅDA RADERNA.

Det funkar fortfarande inte, vad var det du ville veta om brandväggen?
NAT eller Rules?

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #24 on: March 06, 2017, 09:36:43 am »
CA ska vara den CA du la in (Integrity), som syns på din bild nr 12.

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #25 on: March 06, 2017, 09:50:25 am »
Du är fan fantastiskt!
Det CA var redan valt men jag hade lyckats att klistra in fel nyckel. Så jag klistrade in rätt och nu kopplar jag upp mot integrity.
Nu ska jag bara koppla in den och kolla vad jag får för hastighet.

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #26 on: March 06, 2017, 09:52:11 am »
Inga problem. Då är det brandväggen och NAT kvar. Posta igen om du inte får det att funka.

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #27 on: March 06, 2017, 10:13:57 am »
Inte få vad att fungera?
Jag trodde det var klart iomed att integrity.st säger att jag är uppkopplad (deras hemsida alltså)

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #28 on: March 06, 2017, 10:26:08 am »
Nja. Du får se det som att du nu har "två vägar" till internet. Din egen gateway och VPN-tunneln till Integrity.

Om du bara startar OpenVPN-klienten utan att styra om trafiken kommer du fortfarande använda din egen gateway ut. Du kan kontrollera om du går via din ISP eller via Integritytunneln t.ex. på denna länken: https://wtfismyip.com

Du vill där se att ditt hostname är från Integrity, inte från Bahnhof (om det är Bahnhof du har som ISP). Testa först att gå till länken med OpenVPN-klienten stoppad för att se hur det ser ut då. Starta sen OpenVPN-klienten och ladda om sidan. Då ska du få ett helt annat IP som leder till ett Integrity-hostname.

Annars får vi fixa till din routing/brandvägg.

Offline Callmenobody

  • Newbie
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: openvpn bahnhof
« Reply #29 on: March 06, 2017, 10:30:20 am »
NAT och rules.

Samma IP av som på men jag är inte i Gbg